Киберучения с промышленной спецификой

Как усилить защиту корпоративного ИТ-периметра на промышленных предприятиях

Как усилить защиту корпоративного ИТ-периметра на промышленных предприятиях
Антон Кокин: «При киберзащите важно не только обеспечивать процессы ИБ, но и помнить, что данные процессы выполняются людьми. А они должны знать и тренировать свои навыки. Один из лучших способов — это
киберучения»

Производственные предприятия стремятся отрепетировать действия своих ИТ-специалистов, чтобы качественнее реагировать на возможные инциденты безопасности

Aктуальная задача бизнеса — усиление защиты корпоративного ИТ-периметра и снижение рисков, связанных с вредоносной активностью в сети. С этой целью Трубная Металлургическая Компания (ТМК) уже несколько лет проводит учения для ИТ-специалистов дочерних подразделений, привлекая для этого своего доверенного партнера, одного из лидеров ИТ-рынка — ГК Softline. О том, какие навыки отрабатываются на киберучениях и почему в них вовлекаются не только «безопасники», журналу «Эксперт-Урал» рассказал директор по инфраструктуре и кибербезопасности ТМК Антон Кокин.

— Насколько критично для ТМК обеспечить надежную защиту ИТ-инфра­структуры компании?

— Если мы говорим о киберзащите вообще, то предполагаем обеспечение безопасности трех важнейших составляющих: конфиденциальность, целостность и доступность информационных средств. Соответственно, это не только риски кибератак, что, конечно, в последнее время стало очень важным, но и риски, связанные с обеспечением непрерывности работы тех компаний, у которых есть безостановочные циклы производства. Такие угрозы у нас зафиксированы на уровне корпоративных рисков, и мы проводим достаточно масштабную работу по их устранению.

— В последние годы холдинги и крупные предприятия в России проводят киберучения, чтобы отрепетировать определенные действия специалистов, организаций и качественнее реагировать на возможные инциденты безопасности. В ТМК уже несколько лет проводятся такие кибер­учения. Можете поделиться опытом?

— К этой истории мы подошли больше пяти лет назад. На днях завершили уже четвертые корпоративные киберучения. На таких мероприятиях создаются условия, максимально близкие к реальным, по аналогии с учениями пожарных, которые должны знать как минимум, где у них лежат средства тушения и как быстро и грамотно ими распорядиться.

Ежегодно в одной точке, на корпоративном мероприятии «Горизонты», собираются самые активные молодые специалисты ТМК. Они защищают проекты, разрабатывают различные новаторские решения. В рамки такого форума очень хорошо вписался формат киберучений. А дальше мы стали масштабировать киберучения, привлекать к участию в них не только собственно киберзащитников, но и других участников процесса: ИТ-специалистов, инцидент-менеджеров и даже сотрудников производственных подразделений.

В этом году мы шагнули еще дальше: участниками киберучений стали также разработчики, которые благодаря такой вовлеченности и взаимному проникновению знаний начинают понимать, как различные изменения связываются с инфраструктурой и влияют на безопасность конечного продукта. А с другой стороны, киберзащитники начинают понимать процессы разработки и их проблематику.

В киберучениях 2023 года участвовали 50 человек, которых мы отобрали из 55 тысяч сотрудников предприятий ТМК. Мероприятие проходило пять дней, я бы даже сказал, пять суток. Проект был реализован при активном участии специалистов Infosecurity a Softline company. Мы поставили разработчикам пять бизнес-задач, которые те решали на предложенной нами инфраструктуре.

Работа в команде

— Какие цели и задачи при проведении киберучений ставятся в ТМК?

— В любой компании присутствует базовая ИТ-инфраструктура, на которой очень важно отработать навыки киберзащиты, поскольку в 90% случаев атака начинается через базу. Поэтому подходы к защите в принципе универсальны и применимы на большинстве предприятий. Но, конечно, есть особенности, связанные со спецификой промышленного производства. На кибер­учениях мы используем также технологические компоненты, которые присутствуют в том числе в производстве, — это программируемый логический контроллер и атаки с использованием промышленных протоколов. Предложенные нами бизнес-задачи были получены на основе предварительно проведенного опроса внутрикорпоративных бизнес-заказчиков.

В нашей компании разрабатывается большое количество программных продуктов. Важная цель киберучений — вовлечение максимального количества участников для обмена знаниями, соединение команд. В этом формате есть возможность показать, как достижения одного из членов коллектива влияют на общий результат.

— Насколько важен очный формат в проведении киберучений?

— В период пандемии у нас был опыт проведения таких учений в онлайн-формате, их результативность оказалась низкой. Очный формат очень важен, поскольку мы ставим людей в узкие рамки, моделируем стрессовую ситуацию, которая позволяет участникам быстрее решить все задачи и раскрыть свой потенциал. Удаленный формат не позволяет из этого воспроизвести многие вещи. В очном формате лучше реализуется коммуникация между сотрудниками.

Кроме того, в очном формате у нас есть возможность провести мини-ассессмент и определить ИТ-резерв, в чем нам также очень помогает корпоративный университет ТМK2U.

— Можно ли провести киберучения такого масштаба самостоятельно и в чем ценность привлечения подрядчика — сторонней специализированной организации?

— Самостоятельно учения провести можно, но при этом необходимо учесть огромное количество особенностей. Прежде всего, это связано с подготовкой соответствующей инфраструктуры, так называемых киберполигонов. Потому мы обратились к услугам одной из самых компетентных в России команд по кибербезопасности. Как правило, у сторонних специализированных организаций есть готовая инфраструктура, которая кастомизируется под запросы заказчиков. В этом случае, проводя киберучения, особенно первый раз, можно использовать методики, уже отработанные у других заказчиков.