Интервью с экспертом: «Киберучения на ПМЭФ-2022: тренировка навыков и организация взаимодействия»

30.06.2022

Теги: интервью киберучения киберполигон КИИ компьютерная атака DDoS-атака

Александр Чечин, директор Национального киберполигона компании «РТК-Солар», в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал о масштабных киберучениях, прошедших в рамках Петербургского международного экономического форума (ПМЭФ-2022).

Александр Чечин, директор Национального киберполигона компании «РТК-Солар»

В чем основная цель прошедших учений?

С начала спецоперации на нашу страну направлена беспрецедентная волна атак. Они идут в трех плоскостях: массовые DDoS-атаки, нацеленные на вывод из строя социально-значимых государственных информационных ресурсов, атаки на средства массовой информации и таргетированные атаки на критическую информационную инфраструктуру (КИИ). Для нас это большой вызов и вместе с тем уникальный опыт. Сегодня этот опыт приобретает самостоятельную ценность, и мы готовы им делиться.

Примером нашего подхода стали международные киберучения, которые мы организовали на платформе Национального киберполигона в рамках ПМЭФ-2022 под эгидой Минцифры России и Совета Безопасности Российской Федерации. На учениях мы воссоздали ровно те целевые атаки, которые направлены на российские организации. Такие тренировки необходимы для формирования навыков защиты от подобных угроз и помогают повысить киберустойчивость — способность не только своевременно выявлять и реагировать на атаки, но и быстро устранять их последствия.

Какие практические аспекты защиты объектов КИИ были в фокусе учений?

Для проведения киберучений мы развернули цифровой двойник энергетического предприятия и смоделировали на нем процессы, происходящие на объектах электроэнергетики в реальной жизни. В нашем фокусе было две основных задачи: тренировка индивидуальных навыков по выявлению, отражению и расследованию атак, а также организация взаимодействия по противостоянию киберпреступникам. Нам было важно отработать коллективный обмен данными об угрозах, при котором стороны делятся друг с другом сведениями об атаках и таким образом узнают о них на ранних этапах. Для этого в рамках учений мы организовали оперативный штаб, в состав которого вошли наши эксперты и представители Национального координационного центра по компьютерным инцидентам (НКЦКИ).

Почему фокус был сделан именно на этих аспектах?

Мы выбрали для учений электроэнергетику, поскольку это одна из тех областей, в которых хакерские атаки могут повлечь максимальный ущерб, затрагивая сразу многие сферы нашей с вами повседневной жизни. Для управления технологическими процессами в отрасли используются компьютеры, телеметрия собирается с помощью различных датчиков в цифровом виде. На фоне резко усилившегося в последнее время противостояния в киберпространстве все это несет в себе самые высокие риски с точки зрения информационной безопасности. Поэтому значение практических тренировок по противодействию атакам на системы жизнеобеспечения сегодня сложно переоценить. В целом хочется подчеркнуть, что прошедшее мероприятие не было соревновательным. Мы сосредоточились на координации усилий по защите от кибератак, поскольку такая совместная работа обогащает все стороны.

Кратко опишите легенду учений, заявленные условия, состав основных участников.

По легенде, атакам подвергалась крупная подстанция, от стабильной работы которой зависит нормальная жизнь современного города. К началу мероприятия злоумышленникам уже удалось заразить ее инфраструктуру вредоносным программным обеспечением, и они продолжали совершать атаки для получения полного контроля над объектом.

В киберучениях участвовало десять команд. Среди них были представители стран Организации Договора о коллективной безопасности (ОДКБ), отдельные команды выставили Вьетнам и Пакистан, были и сборные международные команды. Каждая команда защищала свой сегмент инфраструктуры.

Участникам нужно было расследовать произошедшие инциденты, зачистить инфраструктуру от вредоносной активности, предотвратить повторное заражение и восстановить поврежденные файлы. Для расследования атак команды использовали целый ряд отечественных инструментов кибербезопасности, в том числе систему централизованного сбора и корреляции событий Kaspersky Unified Monitoring and Analysis Platform (KUMA), платформу для оркестрации, автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты R-Vision SOAR, платформу анализа информации об угрозах R-Vision TIP и другие.

Действия команд координировал оперативный штаб: он следил за ходом расследования инцидентов, агрегировал отчеты участников, информировал их об угрозах и давал рекомендации по реагированию.

Все ли прошло по запланированному сценарию? Были ли отмечены неожиданные (незапланированные) события в ходе учений? Расскажите об этих событиях и о реакции на них участников учений.

Мы изначально ставили перед собой цель провести киберучения в штатном режиме, рассматривая, в том числе, возможность появления незапланированных событий, таких как внешние DDoS-атаки на платформу в процессе учений или другие неожиданности. Но все прошло хорошо, команда сопровождения киберучений полностью обеспечила стабильную работу. Нельзя не отметить и работу самих команд-участниц, которые также проявили себя с наилучшей стороны. Такой результат мы получили благодаря серьезной предварительной подготовке, знакомству участников с функциональными возможностями нашей платформы накануне мероприятия, слаженной работе экспертов штаба и активному взаимодействию с участниками команд.

Удалось ли добиться поставленной цели учений?

Да, все участники хорошо справились с поставленными задачами выявления, реагирования и расследования инцидентов. Результаты учений наглядно продемонстрировали положительный эффект от информационного обмена об угрозах. После того, как команды получили бюллетени от координационного центра, время выполнения задач сократилось более чем на 40%. При этом важно отметить, что нам удалось отработать взаимодействие с методической точки зрения, и в дальнейшем полученные результаты можно будет использовать при разработке соответствующих процедур по линии национальных центров кибербезопасности. В целом, мы считаем, что для формирования устойчивого навыка защиты от угроз подобные киберучения необходимо проводить на регулярной основе.

Кто и как оценивал результаты учений? Каковы итоговые оценки «жюри», и какие «отметки» получили основные участники?

Повторюсь, это были не соревнования, как такового жюри не было. Нашей целью было научить команды взаимодействовать друг с другом и со штабом, донести ценность коллективного противодействия атакам. И поэтому в киберучениях участвовали команды разного уровня. Результат, который мы в итоге получили, демонстрирует, что нам удалось достичь поставленной цели. Ну, а среди тех, кто лучше всего себя проявил, если не считать Россию, мы бы отметили активную работу и серьезную подготовку команд Казахстана и Вьетнама.

Что с точки зрения Национального киберполигона было самым сложным в процессе проведения учений?

С момента запуска проекта на платформе прошло более ста различных мероприятий, на которых тренировались отражать атаки будущие специалисты по кибербезопасности и эксперты отрасли. Мы проводили и межвузовские, и отраслевые, и кросс-отраслевые киберучения в условиях, максимально приближенных к реальным. Этот опыт, слаженность команды и продуктивное взаимодействие с нашими партнерами помогли нам подготовиться к масштабным международным киберучениям на высоком уровне.

Расширенный поиск

Статьи по теме: «Информационная безопасность»

Интервью с экспертом: «Киберучения на ПМЭФ-2022: тренировка навыков и организация взаимодействия»

Читайте также