‒ Сергей, что из себя представляют такие центры кибербезопасности и почему о них заговорили именно сейчас?‒ На самом деле это не новое явление, и заговорили о кибербезопасности давно. Эта тема вытесняет все остальные, когда речь заходит о самых больших вызовах, связанных с интернетом. Представьте себе: утекшие персональные данные клиентов, парализованные рабочие процессы, уничтоженная репутация. Это реальность, с которой сталкиваются сотни компаний в разных странах.Каждую неделю мы фиксируем десятки попыток несанкционированного доступа к проектам наших клиентов, а случаи рассылки вредоносного ПО исчисляются сотнями. Для непрерывного мониторинга и устранения угроз информационной безопасности и создаются Центры кибербезопасности (SOC). Они работают по всему миру на самых разных уровнях.Национальные центры кибербезопасности занимаются защитой национальной инфраструктуры. Локальные центры действуют практически во всех крупных международных компаниях как корпоративные подразделения. Есть провайдеры услуг SOC-as-a-Service, то есть на киберзащиту можно подписаться, как на Netflix или любой другой облачный сервис.Аттестованные центры кибербезопасности, такие как hoster.by, ‒ это центры, которые подтвердили соответствие установленным регулятором стандартам. По требованиям аттестованного SOC это 12 человек в штате: аналитики и специалисты по мониторингу, администраторы, специалисты по кибербезопасности, анализу защищенности и вредоносного ПО, группы реагирования и расследования.В нашем центре в смене одновременно работает минимум 6 человек, которые в режиме 24/7 без выходных осуществляют мониторинг, анализируют события информационной безопасности, моментально реагируют на инциденты.‒ Каким атакам интернет-ресурсы в Беларуси подвергаются чаще всего?‒ Большую часть составляет фишинг, или имитация ресурсов популярных компаний. А также преступления с использованием социальной инженерии. Мне запомнилась цифра, которую озвучил начальник кибербезопасности «Приорбанка» Сергей Меньшиков на форуме Belarus IGF 2023.В начале 2023 года они зафиксировали около 50 фишинговых ресурсов, которые так или иначе имитировали их сайт. Именно в финансовом секторе предсказуемо наблюдается максимальное число атак.Кто из нас лично не сталкивался или хотя бы не читал о звонках от «представителей банка», после которых со счетов исчезают деньги?Что касается кибератак, которые фиксируются в нашем центре кибербезопасности, то помимо фишинга в топе различные варианты несанкционированного доступа через подбор паролей, рассылка вредоносного ПО, в том числе шифровальщиков и вирусов-майнеров. Не теряют популярности и DDoS-атаки.Также мы фиксируем спуфинг-атаки ‒ это своеобразная маскировка под другой объект: например, под знакомого вам отправителя email или другую компьютерную систему через имитацию IP-адресов. Бытовой и понятный пример ‒ возможность мошенников позвонить вашим близким так, чтобы при вызове на экране их телефона отобразился ваш контакт.Недавно мы также предотвратили попытку дефейса ‒ это атака, направленная на привлечение внимания: например, когда на главной странице сайта размещается нежелательная информация, другие страницы обычно просто блокируются.К слову, запуск SOC усилил защиту всех наших клиентов, а не только тех, которые используют услуги центра кибербезопасности.‒ Каким образом? Все клиенты подключены к каким-то системам SOC? ‒ Запуск SOC позволил четко регламентировать процессы информационной безопасности. В целом услуги стали более защищенными ‒ все виды хостинга и даже домены. Важно понимать, что мы стали аттестованным центром не с нуля. Мы многие годы занимаемся мониторингом, предотвращением и реагированием на киберинциденты как провайдер хостинга и облачных решений.У нас больше ста тысяч клиентов, соответствующая инфраструктура, компетентные специалисты, стандарты предоставления услуг и опыт. Оставалось лишь изучить требования для аттестации, подстроить процессы и средства защиты, распределить роли и нанять еще несколько экспертов.Если же строить центр кибербезопасности с нуля, то это очень сложно и затратно. Ведь вам как минимум нужно где-то найти специалистов по информационной безопасности, а они являются одними из самых дефицитных на рынке труда. Плюс определенные средства защиты, которые нужно приобрести и интегрировать, что выливается в ощутимые вложения.Кроме того, одних специалистов и программных инструментов недостаточно.‒ Как рядовой компании определить для себя, нужен ей свой SOC или услуги аутсорсера?‒ SOC точно нужен организациям из финансового и государственного секторов, но они, как правило, об этом знают. А также интернет-магазинам, промышленным предприятиям, страховым и медицинским организациям, букмекерским конторам, IT-сектору. Любой компании нужно правильно оценить финансовые, правовые и репутационные риски, связанные с возможными киберпреступлениями. Если они значительны, то стоит обратиться к услуга SOC.‒ Как считаете, скоро ли появятся автоматизированные инструменты, которые будут способны защищать от большинства типов киберпреступлений без вовлечения такого количества людей, работающих в SOC?‒ Не уверен, что одна-единственная волшебная «таблетка» вообще возможна.Многообразие преступлений с приставкой «кибер» слишком велико. На каждый инструмент защиты всегда будет появляться новый тип угроз. К тому же огромная часть проблем связана с человеческим фактором. Если против DDoS-атак, вирусов, различных способов взлома есть понятные методы борьбы, то что противопоставить паролю «12345» к админке сайта? Или стикеру с паролями на мониторах сотрудников многих компаний? Я считаю цифровую грамотность одним из главных навыков современного человека, вне зависимости от его возраста и профессии.Что касается именно веб-угроз, то мы разработали инструмент hoster Guard. Это многоуровневая защита веб-ресурсов от большинства типов атак и нежелательного трафика. Возвращаясь к медицинским метафорам, это что-то вроде «антибиотика широкого спектра действия». Но, повторюсь, в вопросах безопасности возможен только комплексный подход.‒ Что технически сложнее: предотвратить атаку или восстановить работу ресурса после нее?‒ Тут все зависит от типа атаки: например, некоторые шифровальщики даже не предусматривают возможность расшифровать файлы. Как это было с кейсом NotPetya, когда были атакованы компании по всему миру от Maersk до «Роснефти» с требованием выкупа за возможность вернуть доступ к файлам.В итоге оказалось, что все данные просто стирались, а промышленным гигантам потребовались месяцы, чтобы вернуться к полноценной работе. Это десятки, если не сотни миллиардов долларов ущерба по всему миру.Но я поставил бы вопрос не о том, что технически сложнее, а что правильнее. Наш приоритет ‒ это именно предотвращение атак, а не просто регистрация инцидентов и оперативное восстановление работы. Поэтому команды реверс-инженеров, pentest-специалистов и специалистов по киберразведке проверяют ресурсы на возможность нежелательного проникновения.И хотел бы повторить важный тезис ‒ любая информационная безопасность начинается с цифровой грамотности.Уделяйте ей время, не ленитесь периодически менять пароли и правильно их хранить, обновлять программное обеспечение, обращать внимание на подозрительные письма и звонки, обучать сотрудников. Это решит львиную долю потенциальных проблем.