Игорь Ляпунов, ГК «Солар»: развивать навыки ИБ помогает азарт и конкуренция

О том, как повысить киберустойчивость цифровой экономики, о развитии навыков команды киберзащиты и о Международном киберчемпионате, финал которого пройдет на площадке ЦИПР, рассказал генеральный директор ГК «Солар» Игорь Ляпунов.

— Последние два года из-за массовости атак на российские объекты часто говорят о полномасштабной кибервойне. Видите ли вы какие-либо изменения в этой ситуации и расстановке сил?

— Уже в начале года эксперты «Солара» отметили трехкратный рост доли атак высокой критичности. Массовые удары сменились более продвинутыми, с использованием вредоносного софта, который базовые системы обнаружения не отслеживают. Киберпреступники закладывают больше временных и финансовых ресурсов, тщательнее готовятся к сложным целевым атакам на критическую информационную инфраструктуру страны.

Атаки становятся деструктивнее, их задача не в том, чтобы получить выгоду, а в том, чтобы полностью уничтожить цель, максимально затруднить восстановление, саботировать работу сервисов, имеющих большое значение для общества и нанести ущерб экономике. Больше всего DDoS-атак по нашим данным приходится поэтому на госсектор, телеком, финансовые, ИТ-компании. Мы достойно отвечаем на эти вызовы, извлекаем уроки из опыта. Во все новые проекты цифровой экономики заложен аспект кибербезопасности, а лучше сказать, киберустойчивости — особенно в государственные, где за соблюдением стандартов ИБ внимательно следят регуляторы. Новый национальный проект «Экономика данных» призван вывести цифровизацию на качественно новый уровень: выстроить безопасный механизм создания и внедрения инноваций. Коммерческим организациям, чтобы управлять ситуацией, необходимо также комплексно подходить к своей кибербезопасности, делать ставку не только на технологии, но и на процессы, на повышение ИБ-культуры в своей компании и на развитие соответствующих навыков сотрудников.

По-прежнему два главных барьера на рынке ИБ — недостаток качественных импортонезависимых российских технологий и дефицит квалифицированных специалистов. Поэтому логичный путь — формирование внутренних кадровых резервов. Это работа с начинающими специалистами, и даже с будущими, развитие штатных сотрудников, повышение их квалификации и навыков. Такая стратегия не только будет работать на сокращение разрыва между спросом и предложением, но и на удержание талантов. Потому что на сегодняшнем перегретом рынке работодателям невозможно конкурировать исключительно за счет финансовой мотивации, и перспектива профессионального роста, работа в масштабных проектах становятся для сотрудников преимуществом.

— Обучением и развитием навыков сотрудников занимаются многие компании. Есть лиотраслевая специфика в кибербезопасности?

—  Киберпреступники постоянно обновляют свои тактики и инструменты, поэтому и ИБ-специалистам необходимо поддерживать актуальность компетенций в соответствии с уровнем угроз. Соответственно, и программа обучения должна быть гибкой, изменяемой, обучение — регулярным, а в роли преподавателей практикующие эксперты. В отличие от многих других профессий, об изменениях векторов атак, новых тактиках и инструментах злоумышленников невозможно оперативно узнавать, например, из открытых источников. «Солар» получает такие данные в ежедневном интенсивном противостоянии с врагом. Отслеживая и отражая атаки, мы сами собираем базу знаний, одну из самых обширных в отрасли. Обучение неотделимо от опыта еще и потому, что для «безопасника» важно, как он проявляет свои знания на практике: насколько быстро реагирует, как принимает решения, как взаимодействует команда.

— Но ведь практика для ИБ-специалиста — это инцидент, то есть критическая ситуация, до решения которой неопытного сотрудника не допустят. До какой степени учебная тренировка может приблизиться к реальным условиям?

— Конечно, в обучающих практиках всегда будет сохраняться некоторая условность. Имитация атак на реальной инфраструктуре компании позволяет тестировать одновременно и ее защищенность, и уровень подготовки команды, но сложность атак, их разрушительность, разумеется, будет понижена, чтобы не нанести настоящий ущерб. К тому же проведение таких киберучений требует приостановки деятельности компании, что мало кто может себе позволить.

Если учения проходят на киберполигоне, создается максимально достоверная цифровая копия инфраструктуры, и атакующие могут себя не сдерживать. Однако отличия все равно будут, и это не всегда плохо. Учебная ситуация позволяет препарировать атаку и действия по ее отражению, посмотреть на нее в приближении. При проведении киберучений на платформе «Солар Кибермир» мы оцениваем компетенции до и после и видим значительный рост. Да и сами участники говорят, что чувствуют прогресс. По нашим оценкам, комплексное обучение позволяет за два-три месяца прокачать навыки специалиста от джуниора до мидла. За 2023 год мы провели киберучения для более чем 200 организаций, в которых приняли участие более 1000 ИБ-специалистов.

Компенсировать отсутствие реального риска может азарт, соревновательный элемент. Он всегда присутствует в сфере кибербезопасности, ведь сама наша работа — это игра против соперника, борьба на опережение, состязание с киберпреступниками в навыках, в смекалке, в снаряжении. ИТ-соревнования и хакатоны помогают выявить самых целеустремленных и талантливых будущих специалистов, а на киберполигонах проходят битвы и чемпионаты для опытных сотрудников компаний и госорганизаций. «Солар» регулярно выступает организатором таких мероприятий, и одно из них – Международный Киберчемпионат по Информационной Безопасности – в этот раз пройдет на ЦИПР.

— Это мировая практика?

— Да, подобные соревнования проводятся с 2006 года, но чаще все-таки на уровне однойстраны или региона. Мы же в прошлом году получили более 160 заявок с трех континентов. В отборочном этапе состязались 40 команд из 20 стран: СНГ, Ближнего Востока, Средней и Юго-Восточной Азии, Африки и Южной Америки.

Формат соревнования предполагает, что каждая команда отражает последовательные атаки на свой участок, смоделированный на киберполигоне — у нас это были виртуальные города, цифровые копии типовых критических инфраструктур. В этом году география Киберчемпионата по Информационной Безопасности тоже обещает быть очень широкой — сейчас обрабатываются заявки и формируется список из сорока команд, допущенных до отборочного тура. По нашей задумке, Киберчемпионат будет еще интереснее за счет новых сценариев атак, которые мы наблюдаем в реальной жизни, обеспечивая защиту объектов КИИ и крупнейших компаний. Для нас важно, чтобы соревнование не было формальным, стерильным — задачи должны соответствоватьуровню участников, и по опыту мы знаем, что к участию заявятся очень сильные команды.

— На ваш взгляд, каковы главные цели участников Международного Киберчемпионата по Информационной безопасности?

— Я думаю, для большинства участников главная цель — обмен опытом и взаимодействие с лидерами мирового ИБ-сообщества. Ведь киберугрозы — это глобальная проблема, но при этом в каждой стране есть своя специфика. Последние два года российские практики кибербезопасности очень интересны специалистам за рубежом. Россия столкнулась с беспрецедентным количеством различных киберугроз, атаки в целом стали сложнее, но подходы глобальным образом не изменились, а вот в защите произошел качественный скачок. Суровый опыт помогает участникам из России демонстрировать на международных соревнованиях впечатляющие результаты, но бывают и сюрпризы, и темные лошадки. Уверен, что и в этом году Киберчемпионат сможет нас удивить, а удивление — это ключ к познанию.