У Москвы весьма обширное ИТ-хозяйство, в столичном центре обработки данных сосредоточено более 300 информационных систем. Многие из них критически важны для функционирования городской инфраструктуры, а значит, требуют повышенной защиты. Техническую политику, основные принципы создания ИТ-ландшафта и информационных систем, в том числе и политику безопасности, определяет государственная программа Москвы «Информационный город». О том, как устроена работа по защите городских информационных ресурсов, с какими вызовами приходится сталкиваться и чем опыт столицы может быть полезен бизнесу, рассказал заместитель руководителя столичного Департамента информационных технологий (ДИТ) Александр Горбатько.
Какие ключевые задачи в области информационной безопасности стоят перед ДИТ и с какими основными проблемами приходится сталкиваться при их решении?
Москва – это крупная корпорация. Одна из основных задач ДИТ – безотказная и непрерывная работа информационных систем 24 часа в сутки 365 дней в году, обеспечение конфиденциальности и целостности персональных данных граждан. В этом и заключается для нас понятие безопасности.
Сложные высоконагруженные системы, как дома, строятся по определенным принципам. Все инфосистемы города сконцентрированы в Общегородском центре обработки данных, размещенном на трех географически разнесенных площадках.
Ежедневно в информационные системы столицы заходят около тысячи системных администраторов. В ЦОДе большое количество систем, и всегда существует «человеческий фактор», поэтому доступ к ним осуществляется по определенным правилам, которые постоянно развиваются. Есть даже отдельная система, контролирующая действия администраторов внутри городского ЦОДа.
Наши технические задачи – построение и совершенствование имеющегося ИТ-ландшафта, соблюдение политики разделения защищенных систем от нулевого до десятого уровня отказоустойчивости. Особо критичные системы должны работать всегда – следовательно, затраты на их разработку и защиту более высоки. В других системах могут быть перерывы в работе – например, в ночное время или в праздники. С учетом этого информационные системы категоризируются по уровню защиты и финансовым затратам.
Основная организационная задача – доведение информации до наших сотрудников, подрядчиков, инженеров. Последние вирусные эпидемии нас почти не затронули, так как мы знали о них заранее и проводили профилактические мероприятия, информируя органы власти Москвы и пользователей, что нужно делать, а чего, наоборот, стоит избегать. Аналогичная работа идет постоянно, так как подобные угрозы возникают очень часто. Блок ИБ взаимодействует с федеральными структурами – регуляторами отрасли (ФСТЭК, ФСБ и ФСО) и видит все тенденции данной сферы. Более того, мы постоянно сотрудничаем с государственными центрами мониторинга: FinCERT – Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Центробанка, ГосСОПКА – Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, – потому что нам важно иметь больше источников информации о происходящем в мире в области ИБ.
Даже элементарное обновление операционных систем – важный элемент в общей совокупности мер по обеспечению безопасности информационной среды. Червь WannaCry, используя машинные протоколы инфообмена, проникал в системы, которые вовремя не были обновлены.
Человеческий фактор – вторая по распространенности причина происшествий в области ИБ после вредоносных программ. Что делает ДИТ для повышения грамотности пользователей с точки зрения кибербезопасности?
Многое. Практически в течение всего мая текущего года мы совместно с Роскомнадзором и Департаментом образования города Москвы проводили лекции в московских школах по грамотной работе в Интернете. Важно отметить, что нашей аудиторией стали не только школьники, но и учителя. Считаю, что именно через электронное образование можно повысить уровень восприятия ИТ-отрасли. Мы стараемся воспитать квалифицированных пользователей или даже администраторов – будущих создателей новых информационных систем.
Мы занимаемся повышением грамотности как населения, так и самих работников ДИТ. Для коллег используется система дистанционного обучения для прохождения электронных учебных интерактивных курсов, разработанных при участии наших экспертов по ИБ. В курсах в том числе затронут актуальный вопрос защиты от методов социальной инженерии. Кроме того, сотрудники могут пройти очное обучение в специализированных аккредитованных учебных заведениях.
Для самообразования работниками ДИТ используются электронная библиотека, телеграм-канал «ЭруДИТ», база знаний на портале in.mos.ru. Проходят мероприятия по обмену опытом «ДИТ говорит» и кросс-продуктовые проекты. На постоянной основе по корпоративной электронной почте осуществляется информационная рассылка по вопросам обеспечения ИБ – например, о защите от актуального в настоящее время вредоносного ПО.
Как организована защита городских инфоресурсов?
Централизованный блок ИБ вырабатывает принципы взаимодействия с регуляторами и правила оперативного информирования. Кроме того, есть локальные ИБ-блоки, которые приближены к разработчикам и погружены в отрасль. Например, в образовании есть свой блок ИБ, который хорошо знает отраслевую задачу. Но при этом он должен выполнять правила, исходящие от централизованного блока, который и контролирует их исполнение. Он же имеет возможность проверять надежность систем, привлекая компании, которые пытаются проникнуть в них и сломать до того, как это попытается сделать реальный злоумышленник. Мы работаем на опережение: регулярно проводим аудиты и своеобразные тесты, привлекаем, как бы парадоксально это ни звучало, специально обученных хакеров – они испытывают наши системы на прочность, пробуют их взломать, тем самым выявляя слабые места и подсказывая, что нам стоит доработать.
Какие современные сложные задачи есть в вашей работе?
Такие задачи все время возникают. Мы активно участвуем во всех интернет-сообществах по ИБ, работаем с регуляторами и видим тенденции. Создаются системы с искусственным интеллектом, повышается мощность вычислительной среды. Это требует совершенно другого класса противодействия атакам, потому что данные технологии позволяют вскрыть любую существующую защиту. Борьба «щита и меча» всегда была, есть и будет. Как только мы научимся применять при аутентификации распознавание лиц и биометрию, тут же появятся средства, которые начнут использовать эти же технологии для взлома информационных систем.
Обратная сторона распределенных вычислений и дата-майнинга – это объединенные для попытки проникновения вычислительные мощности. Последние атаки показали, что можно объединить большое количество машин и использовать для взлома значительные мощности даже без участия человека. А при добавлении искусственного интеллекта получается орудие, способное пробить любую защиту. Это надо просто учитывать и применять в нашей работе.
Вы к этому готовы?
Мы обязательно будем готовы. Пока этого еще нет, есть только тенденции, и мы их знаем.
Информационная гигиена
Не стоит относиться к информационной безопасности как к чему-то необъятному и непонятному, считает Александр Горбатько. Это совершенно простые правила, которые надо знать и соблюдать ежедневно: не разбрасывать логины и пароли, регулярно их менять, не открывать ненужные письма, использовать достоверные источники информации, не заходить на фишинговые сайты, пользоваться антивирусом, вовремя обновлять информационные системы. «Это азбука, но все начинается с малого», – подчеркнул он.
Согласны ли вы с тем, что самое эффективное средство защиты – профилактика и вкладывать в устойчивую ИТ-инфраструктуру гораздо эффективнее, чем тратиться на средства защиты, накладываемые на уже построенные системы? И можно ли назвать архитектуру ИТ-систем Москвы зрелой с точки зрения ИБ?
Да, однозначно. Каждые 30 секунд кто-то пытается проникнуть в городские системы. Хорошо, что в 95% случаев это просто интерес обычных горожан, прочитавших инструкцию об использовании «дырок» в операционных системах. Сейчас несложно стать «бытовым хакером» – в Интернете огромное множество инструментов, которые позволяют это сделать. Но 5% – это серьезные атаки, от них приходится защищаться, в том числе прибегать к внешним компаниям и просить помощи у регулятора.
Мы сейчас пытаемся решить важную задачу – не только предотвратить атаку, но и наказать нападающего. С нашими техническими возможностями логирования и аналитики мы можем найти любого, кто пытается проникнуть в городские системы. Но, по закону, дальше действовать вправе только правоохранительные органы.
Наша задача – работать на упреждение. Когда систему уже взломали, можно сделать хороший пиар о ее спасении, но это значит, что техническая служба и отдел безопасности плохо сработали, не предусмотрели необходимого заранее.
Истории с WannaCry – это недостаток профилактической работы и качественного построения как самих систем, так и их защиты. Безопасность не может «стоять в сторонке» при разработке информационной сиситемы и создании ИТ-ландшафта. Безопасность строится вместе с администраторами и разработчиками.
В последнее время Москва очень быстро запускает новое программное обеспечение, и мы дорожим умением выпускать качественные и востребованные сервисы. Но при этом всегда приходится искать компромисс – как внедрить сервис быстро и в то же время отладить ИБ.
Изначально уязвимые и вынужденные заниматься ИБ, «умные» города последние несколько лет пытаются превратить недостаток в преимущество, становясь поставщиками не только ИТ-услуг, но и услуг ИБ. Не намерен ли ДИТ предоставлять услуги ИБ для своих подрядчиков, тем самым повышая и уровень защиты городских систем?
Компетенции у нас высокие, но работать на рынок мы не планируем. С точки зрения методологии и опыта мы всегда открыты, участвуем во всех семинарах и конференциях, готовы рассказывать, что нужно делать, и показывать, как это реализовано практически.
А есть необходимость раскрывать «зонтик» над теми подрядчиками, где уровень ИБ ниже?
Для этого у нас есть регламенты и контроль подрядчиков, в этом состоит наша воспитательная роль: мы рассказываем, на что нужно обратить внимание. Но «построить» коммерческую организацию – не в нашей компетенции. Если подрядчик работает с нашей системой, мы требуем обеспечить безопасность такой работы.
Но ведь современные архитектуры устаревают?
Они все время видоизменяются, это живой организм. Сейчас мы подключаем российский сегмент Интернета (RSNet), появляются новые международные и отечественные решения, их добавляем в ИТ-ландшафт. Например, для усиления защиты переходим к модели ZeroTrust для разделения системы внутри защищенного сегмента ЦОДа. Множество систем и администраторов иногда начинают мешать друг другу, технологическая модерация позволяет отделить проблемы одной системы от другой. Мы стараемся свести к минимуму человеческий фактор, совершенствуем технический ландшафт, чтобы недобросовестных исполнителей отделить от добросовестных. Проект пилотируется полгода, и ряд систем уже перешли на эту модель защиты.
Это небыстрый процесс, но даже один межсетевой экран на другой сразу сменить невозможно. Надо учитывать, что это высоконагруженное устройство: у нас почти нет «окон», когда можно все выключить и что-то починить. Мы всегда должны исправлять и совершенствовать работающий механизм. И это, наверное, самая большая трудность – как сделать его совершеннее, не нарушив принципов бесперебойного функционирования. Все работы проводятся только в ночное время и в праздничные дни.
На программу «Информационный город» в 2016 году было потрачено около 40 млрд руб., на ИБ – 500 млн руб. Это обычная пропорция в стоимости защиты и защищаемых объектов. Но в «умном» городе, где речь идет в том числе о физической безопасности жителей, об экологии, разве расходы на ИБ не должны быть выше?
Затраты на ИБ варьируются в зависимости от задач. Если у нас появляется более высоконагруженная система, критичная с точки зрения доступности для пользователей, то мы выделяем больше средств на ее защиту.
Базис, централизованная защита – общегородской ЦОД, система ZeroTrust, ПО для логирования действий администраторов в ЦОДе. Эти расходы довольно просто посчитать. Дальше в каждом направлении есть свои особенности.
Что из опыта столицы в области кибербезопасности может быть полезным для защиты корпоративных инфоресурсов?
Здесь две составляющие: организационная и техническая. У нас довольно обширная библиотека методик, регламентов взаимодействия. Есть большая лаборатория, там мы тестируем все без исключения решения. Все, что закупается для нужд города, тестируется на подтверждение технических характеристик и на совместимость. Информация о результатах отладки как ПО, так и оборудования открыта, мы можем точно сказать, что работает, а что – нет.
К сожалению, все высокопроизводительное «железо» не российское. Мы полностью перешли на отечественный антивирус, но уйти от некоторых зарубежных разработок не можем, как бы мы ни хотели заниматься импортозамещением. В городские системы ежедневно заходят почти 2 млн пользователей. Обеспечить такую мощность и обновить ПО до того, как появятся атаки, наши производители пока не могут.
Думаю, это экономическая проблема: чтобы разрабатывать и обновлять продукт такого уровня, нужен рынок, одна Москва не может обеспечить достаточный финансовый поток. Но подобных корпоративных клиентов, потребляющих тяжелое оборудование с похожими нагрузками, очень мало. Чтобы иметь постоянную финансовую подпитку и совершенствоваться, аналогичный продукт должен продаваться на мировом рынке.