Компания «СёрчИнформ» обращалась в Госдуму и Минцифры с предложением создать в стране центры мониторинга внутренних угроз подведомственных учреждений крупных государственных структур. Идея нашла одобрение у чиновников, но дальше него дело не пошло.
Цель государственных центров мониторинга внутренних угроз госорганизаций, в необходимости создания которых уверена «СёрчИнформ», заключается в защите небольших подведомственных учреждений крупных государственных структур от сливов конфиденциальной информации их сотрудниками. Таких, в которых установлено около 200-300 компьютеров.
«Защита от внешних угроз в стране более-менее налажена: функционируют SOC, можно воспользоваться защитными сервисами телеком-провайдеров. Кроме того, наша компания специализируется именно на защите от внутренних угроз. Поэтому идея не предполагает мониторинг внешних», – пояснил Председатель совета директоров «СёрчИнформ» Лев Матвеев.
Схема создания
В первую очередь центры мониторинга внутренних угроз, как считают в компании, необходимо создать для небольших подведомственных организаций госструктур, которые больше всех от них страдают: Минздрава, Минпромторга, Пенсионного фонда, Федеральной службы безопасности и др.
Созданные центры мониторинга станут выходом для этих подведомственных организаций, так как они не могут нанять высококвалифицированного ИБ-специалиста и тем более создать полноценной службу ИБ из-за недостатка средств и компетенций. Кроме того, они сталкиваются с отсутствием мотивации у необходимых специалистов идти к ним работать, вызванным желанием сохранить свою квалификацию.
Финансирование центров мониторинга «СёрчИнформ» должно осуществляться из средств государственного бюджета, поиск кадров для них — среди соискателей на рынке. Компания готова передать организаторам центров мониторинга методику их создания, обучить нанятых сотрудников и наладить в них все процессы. Также в её планах предоставлять им свои программные решения. В случае успешной работы центров мониторинга в России компания считает целесообразным начать их продвижение в дружественных странах.
Приступить к реализации своей идеи в «СёрчИнформ» готовы при первой возможности. В настоящее время компания оказывает услугу ИБ-аутсорсинга среднему и малому бизнесу, по сути, создав при помощи франчайзи-партнеров аналог центров мониторинга внутренних угроз госучреждений, а также программу обучения для их будущих сотрудников.
Финансовые и технические сложности
Процесс выделения средств из государственного бюджета на создание центров мониторинга будет сложным и, соответственно, займет длительное время. Не исключено, что средства на него не найдутся и вовсе.
«Вероятность, что идея будет реализована — очень низкая, так как государство не даст на нее деньги. ИБ-специалисты на рынке сейчас самые востребованные и дорогие, бюджеты на такие центры мониторинга никто закладывать не будет», — считает ведущий инженер CorpSoft24 Михаил Сергеев.
Реализация проекта будет ещё более затруднительной: сложности появятся в ходе предварительного аудита информационных систем и проведения проектно-изыскательских работ для построения центра мониторинга. Они будут связаны с наличием в крупных государственных структурах определённых уникальных процессов.
«Например, в подведомственных учреждениях Минздрава особым образом обрабатываются некоторые персональные данные граждан. Этот процесс происходит в самописных автоматизированных системах. Они были созданы очень давно, их производитель к настоящему времени прекратил свою работу. В результате информацию о событиях, происходящих в этих системах, у их владельцев возможности передавать кому-либо нет», — поясняет руководитель отдела отраслевых архитекторов Innostage Максим Хараск.
Далее возникнут проблемы с согласованием доступа к информационным системам госучреждений.
«Гипотетически создание подобной сети подразумевает, что подведомственные организации будут вынуждены передавать на откуп сторонней организации критически важные данные и ресурсы своих информационных систем. В случае с подведомственными организациями Ростеха, среди которых огромное количество предприятий ВПК, в том числе строго засекреченных, это абсолютно недопустимый сценарий», – поясняет эксперт Центра продуктов Dozor ГК «Солар» Руслан Добрынин.
Если доступ к информационным системам будет предоставлен и центры мониторинга начнут функционировать, госучреждения столкнутся с рисками потери контроля над ними и небезопасного удалённого подключения.
«Кроме того, периметры предприятий в этом случае станут более размытыми, чем сейчас, проведение расследований инцидентов очень сильно усложнится, а возможности для утечек не сократятся, а возрастут», — отмечает Руслан Добрынин.
В работе центров также возникнут сложности в связи с тем, что контроль за деятельностью госучреждений в области информационной безопасности осуществляют регуляторы. При этом нагрузка на самих регуляторов значительно возрастёт, так как им придётся контролировать выполнение требований не только подконтрольными организациями, но и центрами мониторинга.
Вердикт
Ввиду перечисленных сложностей возможность создания центров мониторинга внутренних угроз небольших подведомственных учреждений госструктур вызывает большие сомнения.
«Более реальным представляется оказание услуг по "сервисной модели" со строгим разграничением зон ответственности между внутренней службой и сервис-провайдером. При этом было бы правильным, чтобы таких сервис-провайдеров было от трёх до пяти. Это позволит создать на рынке конкуренцию и тем самым повысить качество сервисов», — заявляет Руслан Добрынин.
В то же время, идея создания центров мониторинга как минимум заслуживает внимания, так как позволяет подсветить ряд проблем в области защиты от внутренних угроз небольших госучреждений.
«Она является интересной с точки зрения развития ИБ-компетенций в стране», — добавляет руководитель направления Центра компетенций по информационной безопасности «Т1 Интеграции» Валерий Степанов.
