В 2023 году в России было отражено 65,8 тыс. кибератак на объекты критической информационной инфраструктуры (КИИ), и устранено 1,8 тыс. инцидентов. Гендиректор «Комфортел» Дмитрий Петров в интервью РБК+ Петербург рассказал, какие вызовы в области киберзащиты стоят перед телекомом и какие стратегии обеспечения кибербезопасности и защиты КИИ наиболее эффективны.

— Чувствуете ли вы, что телеком является одной из главных мишеней киберзлоумышленников?

— Основное количество инцидентов все-таки происходит не в телеком отрасли, а в ИТ. То есть они связаны с компаниями, которые не услуги связи оказывают, а являются сервис-провайдерами или оказывают услуги населению на основе ИТ. Однако риски и угрозы растут. Даже случаются крупные инциденты, которые, правда, не становятся достоянием общественности, но в отрасли известны.

— Успешная кибератака для телеком-оператора — это имиджевые или финансовые потери?

— И то, и другое. Для компании важно, чтобы ее считали надежным поставщиком услуг, а масштабный инцидент этому не способствует. Но оценить имиджевые потери в деньгах на коротком горизонте сложно. Объемы новых подключений сократятся, увеличится отток, но это произойдет не сразу. А прямые финансовые потери отследить проще: речь идет о невыставленных счетах за услуги связи, предоставленных скидках на основании претензий клиентов и т.д. Очень затратной будет замена оборудования или его перенастройка и оплата работы подрядчиков. Представьте: 50 тыс. выездов, каждый из которых с учетом срочности будет стоить в среднем по 10 тыс. руб. В итоге в 0,5 млрд руб. обошлось только устранение последствий.

На мой взгляд, наиболее эффективны человекоцентричные стратегии киберзащиты. Назовем их так, потому что в большинстве случаев источником проблемы являются действия самого человека, пользователя системы.

— Какие стратегии защиты КИИ в телекоме сейчас наиболее эффективны?

— На мой взгляд, наиболее эффективны человекоцентричные стратегии киберзащиты. Назовем их так, потому что в большинстве случаев источником проблемы являются действия самого человека, пользователя системы. Поэтому, безусловно, плясать надо от источника проблемы и проводить киберучения. Причем проводить регулярно, в разной конфигурации атак, с разным набором участников и последствий. И делать их надо так, чтобы люди не боялись, а именно учились. Если человек открывает ссылки или копирует коды, то просто должно все перестать работать — как минимум у этого сотрудника, а лучше у соседей тоже. Например, должен выключиться экран ПК. Такой опыт полезен, потому что покажет, к чему приведут действия человека. А это даст эффект, когда будет работать в комплексе с техническими средствами.

Если говорить об эшелонированной защите, то сеть должна быть сегментирована, бекапы должны делаться не только в автоматическом режиме, но и в ручном, а храниться они должны так, чтобы проходить проверку. То есть должен существовать бекап судного дня: он может быть не очень свежим, но лучше потерять данные за неделю или месяц, а не все целиком. Сеть должна быть разделена на сегменты, причем, права на внесение изменений в конфигурацию должны быть очень ограничены. При этом все изменения должны логироваться, логи — анализироваться, должны быть выстроены понятные, простые, пусть и напоминающие костыли, но триггеры, которые позволят понять, что какие-то возможности доступа дискредитированы и сейчас ими пользуется злоумышленник, а не администратор системы. Кроме того, должны быть сценарии работы в случае, если все-таки инцидент случился.

Ознакомиться с полным материалом можно здесь.