UserGate - корпоративный центр ГосСОПКА класса "А". Что это значит для компании и ее клиентов?

UserGate получил статус корпоративного центра ГосСОПКА класса "А". Процесс получения этого статуса был очень сложным и достаточно продолжительным. Для компании было важно подтвердить компетенции специалистов, которые работают в uFactor, центре мониторинга и реагирования UserGate. Для получения статуса корпоративного центра ГосСОПКА необходимо обладать обязательными технологиями, продукты компании должны иметь встроенные процессы обнаружения кибератак, чтобы обеспечивать безопасность объектов критической информационной инфраструктуры в соответствии с законодательством.

Работа с ГосСОПКА играет важнейшую роль, и для самой компании, и для ее клиентов. Почему - рассказывает директор по развитию бизнеса UserGate Эльман Бейбутов.

Необходимое предисловие

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак появилась в России сравнительно недавно. Ее создали в 2019 году (подготовка к этому началась гораздо раньше, еще в 2013-м) в связи с резким ростом числа киберугроз, в том числе и тех, которые затрагивают работу критической информационной инфраструктуры страны. Цель создания ГосСОПКА - мониторинг угроз безопасности объектов КИИ, государственных информационных систем и реагирование на них. Объекты КИИ имеются у множества организаций, в том числе весьма далеких от функций государственного управления, и все они обязаны передавать в систему информацию об инцидентах, которые ими зафиксированы. ГосСОПКА управляется Национальным координационным центром по компьютерным инцидентам (НКЦКИ), который входит в состав ФСБ.

НКЦКИ - отнюдь не уникальное в мире явление. Структуры, ответственные за мониторинг киберинцидентов и расследование киберпреступлений, стали возникать на рубеже 2010-х годов во многих странах. Сегодня такие центры национального уровня работают в США, Канаде, Великобритании, Франции, Германии, Австралии, некоторых азиатских странах. Есть и общеевропейский центр мониторинга киберинцидентов.

Архитектура ГосСОПКА достаточно сложна, а ее концепция не идеальна и бывает критикуется ИБ-специалистами. Но тем не менее эта система стала главным и единственным в национальном масштабе центром, который аккумулирует данные о киберугрозах. И это формирует ценность системы и для заказчиков, и для всех участников российского рынка ИБ.

Почему для UserGate важно быть корпоративным центром ГосСОПКА

В перечне компаний, которые являются корпоративными центрами ГосСОПКА, всего примерно 90 организаций. Они могут работать в разных сферах деятельности, есть среди них коммерческие компании, которые специализируются в области информационной безопасности. И для них, в том числе и для UserGate, присутствие в этом списке - еще одно подтверждение высоких компетенций и определяющей роли в индустрии ИБ. Но имиджевой составляющей дело, конечно, не ограничивается.

Если говорить о значении этого "статуса" для бизнеса, то он очень важен - компания получает возможность не просто работать с клиентами, которые управляют объектами критической информационной инфраструктуры (КИИ), но и оказывать им весь спектр услуг. Кроме того, компания получает возможность расширить свой портфель услуг и для других клиентов - которые не управляют объектами КИИ, но заинтересованы в получении таких услуг от компаний с подтвержденной компетенцией и высоким уровнем доверия.

Есть еще одна, очень важная сторона нашего взаимодействия с ГосСОПКА. Мы получили доступ к дополнительной обширной информации о киберинцидентах. Эта информация, и оперативная, и ретроспективная, позволяет нам серьезно расширить собственную экспертизу и, соответственно, повысить качество услуг, которые мы оказываем.

Возможности для компаний-заказчиков

Клиенты, которые управляют объектами КИИ, обязаны взаимодействовать с ГосСОПКА и передавать в нее всю информацию о зарегистрированных киберинцидентах. Сотрудничество с компанией, которая является корпоративным центром ГосСОПКА, позволяет им передать эту функцию на аутсорс, не отвлекая свои ресурсы на взаимодействие с НКЦКИ.

Само по себе взаимодействие с ГосСОПКА - не самая сложная задача, которую необходимо решить организации с КИИ. Гораздо сложнее другое - выстроить систему выявления киберинцидентов и реагирования на них. Эта задача уже требует и компетенций, и наличия команды квалифицированных ИБ-специалистов (как минимум из восьми человек), и технологий, и ресурсов. Далеко не каждая даже очень крупная компания обладает ими. И для многих таких клиентов гораздо удобнее и выгоднее обратиться к сервис-провайдеру, который и обеспечит взаимодействие с НКЦКИ, и возьмет на себя, в качестве аутсорсера, решение всех задач, связанных и с мониторингом состояния информационной безопасности предприятия, и с информационным обменом с ГосСОПКА.

Наиболее критичный элемент здесь - команда специалистов. Во-первых, все они должны обладать очень глубокой экспертизой. Она нужна, чтобы быстро, в режиме реального времени, и реагировать на сами инциденты, и давать им характеристику, чтобы, к примеру, не отправить случайно в ГосСОПКА данные о "ложноположительном" срабатывании системы защиты. А кроме того, необходимо обеспечить круглосуточную работу таких специалистов - скорость реагирования и передачи данных в систему регламентирована и весьма критична. По сути, управление объектами КИИ требует от компании использования SOC - собственного или коммерческого.

В качестве примера можно привести диагностический центр при крупной клинике. Чаще всего эти учреждения действуют как отдельное юридическое лицо. Они собирают и хранят большие объемы данных, в том числе и персональных, и управляют элементами КИИ. По закону они обязаны взаимодействовать с НКЦКИ и отправлять в систему данные об инцидентах. Между тем содержание собственной ИБ-команды с экспертизой и возможностями уровня SOC для них практически невозможно. Создать свой собственный SOC может далеко не каждая компания. Она должна располагать ресурсами, брендом, который будет привлекать и удерживать квалифицированный персонал, способен предложить зарплаты, которые соответствуют рынку ИТ. При этом не будем забывать, что SOC нужно не просто создать, но и загрузить необходимым объемом работ (для SOC он измеряется в числе обрабатываемых событий в секунду), который есть только у самых крупных предприятий. Поэтому развивать свой собственный центр безопасности для большинства российских заказчиков просто не имеет смысла - слишком высоки экономические и организационные издержки.

И для таких организаций (а их в стране сотни, если не тысячи) единственным средством выполнения регуляторных требований становится пользование услугами коммерческого центра безопасности. И таких организаций в каждом секторе экономики очень много.

Главная выгода - компетенции

Ключевая выгода взаимодействия с ГосСОПКА для компании, которая не управляет объектами КИИ, - возможность получения знаний и актуальных данных о киберинцидентах. Для компании-заказчика не самого большого масштаба такая возможность, скорее всего, будет избыточна. А вот для операторов SOC может оказаться весьма полезной.

Необходимость получения данных из ГосСОПКА обусловлена тем, какие источники информации о киберинцидентах использует тот или иной SOC, квалификацией его персонала, его знакомством с пулом ресурсов о киберугрозах, развитостью службы киберразведки. Поэтому можно говорить о том, что для развития небольших центров взаимодействие с НКЦКИ имеет даже определяющее значение. Крупные SOC, располагающие развитой экспертизой, вполне могут обойтись и собственными ресурсами, необходимыми для развития и обслуживания клиентов. ГосСОПКА в этом случае будет еще одним важным и актуальным источником для пополнения базы знаний. То же самое можно сказать о компаниях, которые предлагают услуги в области информационной безопасности, занимаются системной интеграцией, управляют дата-центрами.

Прежде всего ГосСОПКА становится источником информации о самом киберинциденте: когда он произошел, как развивался, какой инструментарий использовался злоумышленниками, какие уязвимости использовались, какие данные и почему были скомпрометированы и т.п. Все эти данные используются в работе собственного центра безопасности, который обслуживает клиентов компании.

Кроме этого, данные, получаемые из ГосСОПКА, используются при подготовке экспертизы для продуктов UserGate, которую пишет команда uFactor. Эта экспертиза играет ключевую роль в формировании качества решений компании. И дополнительные данные об актуальных атаках приобретают поэтому особенное значение, особенно при выпуске обновлений, нацеленных на предотвращение впервые выявленных методов атак.

Важен и "накопительный" эффект - данные ГосСОПКА, конечно, позволят увеличить объем экспертизы, которым обладает команда UserGate. Их вероятную долю в общем массиве компетенций компании оценить сложно, но очевидно, что она будет достаточно велика.

Роль ГосСОПКА в развитии ИБ-рынка

Платформа ГосСОПКА создавалась НКЦКИ для обязательного взаимодействия операторов КИИ с регулирующим органом. Но она выполняет еще одну задачу, о которой нельзя не сказать отдельно.

Каждый из участников рынка информационной безопасности располагает компетенциями, которые часто являются уникальными. И UserGate, и наши коллеги, решаем одну и ту же задачу - обеспечиваем своим клиентам максимально полную и эффективную защиту от киберугроз. При этом мы конкурируем друг с другом, в том числе за счет собственной экспертизы. Поэтому никто из участников рынка никогда не раскрывает полностью свои компетенции - в противном случае компания лишится уникальных конкурентных преимуществ. Не будем забывать и о том, что участники рынка ИБ не склонны делиться своими ошибками или неприятными кейсами - это может привести к имиджевым потерям.

Наличие общей платформы для обмена информацией в значительной мере объединяет рынок, и специализированные компании, и заказчиков, которые заинтересованы в получении необходимых данных об уязвимостях и инцидентах.