CISO РТК-ЦОД: Несмотря на недостатки в функционале и производительности, российские ИБ-решения часто дороже импортных

Денис Поладьев: Главный фокус нашей стратегии — киберустойчивость корпоративных сред, систем обеспечения жизнедеятельности дата-центров, а также облачных инфраструктур и других сервисов компании.

У нас много задач по внедрению в ИТ-инфраструктуру подходов безопасности по умолчанию (Security by design) и сетевому доступу с нулевым доверием (Zero trust network access — ZTNA). Эти подходы предполагают дальнейшее масштабирование средств защиты информации и повышение эффективности их применения. Кроме того, мы, как и многие крупные компании российского рынка, сосредоточены на выполнении новых регуляторных требований, введенных за последние годы — в частности, на импортозамещении.

Денис Поладьев: В первую очередь мы опираемся на ресурсы собственной команды дирекции информационной безопасности РТК-ЦОД, которая за последние годы прошла существенную трансформацию: прибавила в экспертизе и численности.

Мы привлекаем к сотрудничеству по ряду задач коллег из «Солар», а также используем отдельные сервисы других известных игроков там, где это поможет обеспечить комплексную информационную безопасность и повысить эффективность бизнеса. У нас выстроено плотное рабочее взаимодействие как с государственными регуляторами, так и с блоком информационной безопасности «Ростелекома», нашим корпоративным регулятором и аудитором. Переход на отечественную информационную систему управления и учета по мировым стандартам

В последние годы мы работаем над повышением эффективности взаимодействия с подразделениями эксплуатации ИТ-инфраструктуры, службой безопасности, эксплуатации ЦОД. Общими усилиями с подразделениями эксплуатации в 2025 г. мы провели первые в РТК-ЦОД киберучения. Также в рамках программы Awareness проделана большая работа со всеми сотрудниками. Теперь можно с уверенностью сказать: все сотрудники так или иначе — ИБ-ресурс нашей компании, ведь каждый из них — неотъемлемая часть ИБ-системы.

Денис Поладьев: В связи с ежегодным ростом в мире количества кибератак и постоянным увеличением средних значений финансовых потерь, мы наблюдаем и у себя рост затрат на обеспечение информационной безопасности. Это касается как затрат на персонал, так и на реализацию защитных мер. На сегодняшний день, несмотря на недостатки в функционале и производительности, значительная часть отечественных решений, к сожалению, превосходит по стоимости зарубежные аналоги, что в т.ч. напрямую влияет на увеличение бюджетов на ИБ. Мы с пониманием относимся к этой проблематике и по достоинству оцениваем масштаб инвестиций вендоров в разработку и совершенствование их продуктов и сервисов, однако хотелось бы видеть более гибкое ценообразование, особенно применительно к решениям в части сетевой безопасности.

В последнее время на рынке наблюдается усиление конкуренции в ключевых продуктах. Надеемся, что такая конкуренция положительно повлияет на их стоимость, функциональность и качество.

Денис Поладьев: Дирекция информационной безопасности РТК-ЦОД в настоящее время является службой одного окна по вопросам информационной безопасности и напрямую подчиняется генеральному директору. Чуть более двух лет назад мы объединили ряд подразделений, которые находились в различных функциональных блоках и занимались вопросами информационной безопасности по различным направлениям (inhouse и front-office).

Если говорить о структуре, она не нова и, как мне кажется, идентична большинству структур в других развитых крупных компаниях. В состав дирекции входят два департамента: один объединяет компетенции по разработке и управлению архитектурой и методологией информационной безопасности; в другом сконцентрированы компетенции по внедрению средств защиты, их поддержке, мониторингу и расследованию инцидентов ИБ, а также управлению сервисами.

Важно отметить, что, несмотря на иерархичность структуры, мы поддерживаем плоское взаимодействие между сотрудниками различных отделов и департаментов РТК-ЦОД на проектах. Для эффективного обмена опытом и развития компетенций в процессе проектной работы крайне важно плотно взаимодействовать и «переопыляться».

Денис Поладьев: Угрозы атаки через цепочки поставок (supply chain) в последние годы особенно актуальны, ведь по различным данным около 30% успешных атак происходит через подрядные организации. Мы уделяем данному вопросу большое внимание. Во-первых, активно взаимодействуем с юридической службой и проектным офисом на этапе заключения договоров с подрядными организациями — от детализации требований и разграничения зон ответственности до включения в договора типовых соглашений по кибербезопасности. Во-вторых, организуем защищенный и контролируемый доступ подрядных организаций к нашей ИТ-инфраструктуре. А в-третьих, с прошлого года начали выборочно проверять подрядные организации на соблюдение требований информационной безопасности на проектах.

Денис Поладьев: Самые разные сложности возникают практически ежедневно, ведь у нас огромное количество инфраструктур, к которым предъявляются различные требования от ГИС, ИСПДн и КИИ до требований к платежным системам (PCI DSS) и защиты банковских операций (ГОСТ 57580). Также мы ежегодно проходим аудиты в рамках международной системы сертификации системы управления ISO 27001, ISO 27017, ISO 27018. Мы стараемся применять и другие современные фрэймворки.

Если говорить о ключевых вызовах, с которыми в настоящее время борется любое подразделение ИБ, на мой взгляд, это:

1. эффективность и совместимость средств ИБ со стеком применяемых ИТ-решений, особенно в сочетании с импортозамещением как средств ИТ, так и средств ИБ;
2. непрерывная инвентаризация ИТ-активов и периметра;
3. обеспечение информационной безопасности унаследованных систем и сервисов, их планомерная миграция и вывод из эксплуатации;
4. развитие партнерских отношений со службами эксплуатации и разработки, что крайне необходимо для выстраивания эффективных процессов обеспечения информационной безопасности;
5. совершенствование экспертизы и удержание команды ИБ. Один из ключевых вызовов для компаний сейчас — подбор, адаптация и повышение компетенций персонала службы ИБ.

Денис Поладьев: Каждый ЦОД обладает эшелонированной системой защиты с точки зрения и физической, и информационной безопасности. Подчеркну, что облачные инфраструктуры и системы жизнеобеспечения ЦОД не связаны между собой: они обладают отдельными, комплексными средствами защиты информации с глубокой сегментацией. К системам применяются корпоративные политики информационной безопасности, которые включают необходимый комплекс мероприятий: от защиты межсетевого взаимодействия и контроля доступа до антивирусной защиты и мониторинга инцидентов ИБ.

Если говорить об облачных инфраструктурах, то все они очень разные в зависимости от предназначения. В них базово реализуются политики ИБ РТК-ЦОД и меры, направленные на соответствие различным регуляторным требованиям, о которых мы говорили выше (ГИС, ИСПДн, КИИ, PCI DSS, ГОСТ 57580). Рассказать подробнее не могу по понятным причинам.

Денис Поладьев: На мой взгляд, основные сложности возникают с выполнением требований импортозамещения. Российские вендоры за последние годы проделали огромную работу по развитию своих продуктов, однако мы до сих пор сталкиваемся с трудностями, связанными с надежностью, производительностью, функциональностью, совместимостью отдельных решений и их поддержкой. Тут важно отметить именно проблематику встраивания отечественных средств ИБ в импортозамещенные архитектуры и их взаимосовместимость с другими российскими продуктами ИБ и ИТ. При этом мы прекрасно понимаем, что импортозамещение в нашей сфере — это абсолютно правильный вектор и современное условие, которое необходимо выполнять.

С 1 марта, например, вступил в силу новый приказ ФСТЭК России с требованиями по защите ГИС (приказ ФСТЭК от 11.04.2025 № 117), и, чтобы запланировать их реализацию, ИТ-рынок ожидает публикации нового методического документа, декомпозирующего меры защиты в ГИС, которые пришли на смену методичке 2014 г.

Не могу не упомянуть и о проблематике организации защищенного удаленного доступа к инфраструктурам. Кроме того, в последнее время наблюдается и ужесточение требований к моделированию угроз и нарушителей, что, в свою очередь, приводит к ужесточению требований к организации криптографической защиты в инфраструктурах. К ряду систем в этом случае необходимо применять СКЗИ класса КВ, что кардинально меняет условия удаленного администрирования. Все это влечет за собой существенные дополнительные затраты бизнеса на соблюдение уровня SLA и новые требования к работе команд эксплуатации.

Денис Поладьев: Законодательство всеобъемлюще влияет на наш бизнес и систему управления информационной безопасностью. Мы являемся лицензиатами ФСТЭК и ФСБ России. Для нас в равной степени важны как реальная кибербезопасность, так и обеспечение выполнений требований законодательства и подзаконных актов. Поэтому законодательные требования, с одной стороны, стимулируют развитие процессов и систем ИБ, с другой стороны, влияют на скорость отдельных процессов и требуют дополнительных инвестиций в проекты.

Например, возникшая недавно тенденция увеличения количества объектов КИИ серьезно влияет на удержание и подбор персонала: ведь с учетом рисков уголовной ответственности не каждый сотрудник готов соблюдать ограничения и обеспечить поддержку столь критичных объектов. Впрочем, 27 января в первом чтении были приняты законопроекты № 1071966-8 и № 1081967-8, которые меняют подход к нарушению правил эксплуатации и частично переводят нарушения со стороны подразделения эксплуатации в административную плоскость. Надеемся, что законодателям удастся в ближайшее время окончательно урегулировать данный вопрос.

Про проблематику импортозамещения мы уже говорили ранее.

Денис Поладьев: У нас есть различные инфраструктуры и сервисы, где эти зоны ответственности дифференцированы по-разному, при этом они прозрачны и зафиксированы в типовых договорах. Однако чаще всего используется классическая модель Shared Responsibility Model: мы предоставляем услуги размещения оборудования (colocation) и защищенной инфраструктуры (IaaS), т.е. обеспечиваем поддержку средств ИТ и информационную безопасность контура управления инфраструктурой, а клиент, получив в свое распоряжение вычислительные ресурсы, реализует меры и процессы ИБ на уровне развернутой на облачных ресурсах информационной системы.

На рынке облачных инфраструктур бытует мнение, что при наличии у такой инфраструктуры аттестата соответствия требованиям к ИБ клиент уже по умолчанию защищен и не обязан самостоятельно предпринимать какие-либо меры. Это заблуждение: клиент обязан не только выстроить ИБ в своей информационной системе, но и проводить ее аттестацию (если необходимо) с опорой на аттестат и меры, реализованные на уровне контура управления и системы виртуализации облачного провайдера.

Правильное понимание организации данной модели критически важно для обеспечения кибербезопасности при использовании услуг облачных провайдеров.

Денис Поладьев: В последние несколько лет наши клиенты стали уделять вопросам обеспечения ИБ больше внимания. Их экспертиза в этой области возрастает с каждым годом. Требования к обеспечению ИБ к ЦОД, облачным инфраструктурам и сервисам стали необходимой константой. Мы неоднократно сталкивались с ситуациями, когда клиенты из сегмента B2B предъявляли требования к защищенности инфраструктуры по классу ГИС несмотря на то, что их сервисы не являлись государственными информационными системами, просто для них это некий уровень защищенности облака, которому они доверяют.

Денис Поладьев: Мы стараемся выступать не только как контролирующая функция, но и выстраивать партнерские взаимоотношения со смежными подразделениями и встраиваться в существующие ITSM-процессы. Коллеги из эксплуатации ИТ-инфраструктуры обычно очень поддерживают нас в достижении целевого состояния процессов. Ведь модернизировать существующую процессную модель намного эффективнее, чем пристраивать рядом новые процессы, которые друг друга дублируют.

Каждый блок старается отстаивать свои цели и интересы в рамках выполнения бизнес-целей — и это нормально. Подразделения ИТ традиционно сосредоточены на удобстве эксплуатации и работоспособности, ИБ — на безопасности сервиса, а это зачастую разные полюсы.

К сожалению, не обходится и без конфликтов. Если они не решаются на старте, мы улаживаем их вплоть до на уровня высшего руководства (CEO). Чтобы лучше понимать друг друга и синхронизироваться по проблематике, проводим регулярные встречи с ключевыми смежными блоками на уровнях менеджмента технических специалистов, ведем разъяснительную работу.

Первое время после трансформации дирекции ИБ конфликтов было больше, в последнее время их количество заметно снизилось и продолжает снижаться. Мы продолжаем налаживать взаимодействие по ключевым направлениям, т.к. мы убеждены, что в современном мире не может быть эффективных процессов ИБ без эффективных процессов ИТ и наоборот. Мы с коллегами существуем в тесной взаимосвязи.

Денис Поладьев: Устранение уязвимостей для нас — один из приоритетных процессов, что обусловлено широким применением средств автоматизации при совершении атак APT-группировками, а также доступностью инструментов ИИ.

Процесс устранения уязвимостей является непрерывным и простроен совместно с блоками эксплуатации ИТ. В первую очередь мы сосредоточены на безопасности периметра — опубликованных сервисов и приложений: ежедневно мониторим его защищенность с использованием сервиса непрерывного пентеста (CPT). В зависимости от критичности уязвимости и возможности ее эксплуатации, у нас с ИТ-подразделениями установлены соглашения об уровне операционного обслуживания (OLA) по их устранению.

Например, за 2025 год мы устранили более 10 тыс. периметровых уязвимостей. Существенный вклад в эту масштабную работу внесли коллеги из ИТ-подразделений, так как большая часть таких активностей ложится на их плечи. Большое им спасибо! Наши показатели по устранению уязвимостей — хороший пример эффективного взаимодействия ИТ- и ИБ-подразделений.

С внутренними уязвимостями мы боремся аналогичным образом, отличие только в периодичности сканирования и в меньшей жесткости OLA по устранению.

Денис Поладьев: Инцидентов информационной безопасности, мишенями которых становятся ЦОД и системы их жизнеобеспечения, с критичными последствиями и сбоями в функционировании дата-центров, у нас не было. Были минорные инциденты, связанные с нарушением политик ИБ или с выявлением вредоносного программного обеспечения.

Время от времени возникают инциденты ИБ с облачными инфраструктурами. Они чаще связаны с DDoS-атаками, попытками эксплуатации уязвимостей и брутфорс-сервисов. Однако благодаря мероприятиям по реагированию такие атаки, как правило, не приводят к нарушению установленного уровня обслуживания (SLA).

Как и многие службы ИБ крупных компаний, мы постоянно работаем в режиме повышенной готовности, порой в выходные и праздничные дни, чтобы обеспечить безопасность и непрерывность нашего бизнеса и бизнеса наших клиентов. Однако из-за роста количества APT-группировок в мире, доступности хакерских инструментов и искусственного интеллекта, ни одна компания ни в одной стране сегодня не может гарантировать 100% защищенность от кибератак.

Денис Поладьев: Это зависит от контекста — в зависимости от предъявляемых требований. Есть комплекс мер и средств ИБ. Если говорить о корпоративных средах, то для контроля действий сотрудников вместе с базовыми мерами защиты используется DLP-система.

В облачных инфраструктурах DLP не применяется, но, как правило, наряду с решениями по защите удаленного доступа и другими средствами ИБ, мы применяем и PAM-решения для контроля действий администраторов.

Клиентский ресурсный пул и его системы находятся в зоне ответственности клиента, с нашей стороны контроль осуществляется лишь в части соблюдения требований и технических условий по процедурам доступа к управлению вычислительными ресурсами облака.

Подрядчики, в зависимости от инфраструктуры, к которой они имеют доступ, обязаны выполнять ряд требований как по технической защите удаленного доступа, так и иных мер, реализованных в конкретной инфраструктуре. Полностью раскрыть состав мер не могу.

Денис Поладьев: Мы применяем комплексный подход в соответствии с нашими политиками информационной безопасности — от постановки на мониторинг CPT до публикации через межсетевые экраны нового поколения (NGFW) и уровня приложений (WAF), а также обеспечиваем защиту от DDoS и двухфакторную аутентификацию (2FA).

Периодически проводим комплексные пентесты на всей инфраструктуре с привлечением компаний из топ-5 рынка, тесты на проникновение в рамках аттестационных испытаний, реализуем триаж кода программных продуктов, разрабатываемых РТК-ЦОД. Помимо вышеперечисленного, мы всерьез подумываем о запуске программе Bug Bounty применительно к веб-приложениям, которые разрабатывает компания, однако тут возникают различные регуляторные вопросы и законодательные ограничения.

Денис Поладьев: С учетом поэтапного расширения команды мы, также как рынок, ощущаем острый дефицит таких ролей, как архитектор ИБ и офицер ИБ. Подбор кандидатов на данные роли с первостепенно необходимыми знаниями и навыками занимает от 5 месяцев.

Денис Поладьев: На этот вопрос вряд ли можно ответить однозначно, но, пожалуй, сложнее или непривычнее защищать все-таки отечественные решения: не все они широко применяются на практике и не успели «обрасти» сообществами, в котором можно решить любые проблемы. Многие отечественные решения, по сути, проходят «ходовые испытания» сразу «в бою», что, безусловно, вызывает сложности, так как мы часто играем роль тестировщиков на живых проектах в «проде».

Из простых примеров, с которыми часто сталкиваемся. При установке средств доверенной загрузки на отечественные ноутбуки некоторых производителей, если такой ноутбук разрядился, он «кирпичится», и для его восстановления требуется программатор. Во время пусконаладочных работ программно-аппаратные комплексы некоторых производителей средств сетевой безопасности сразу отправляются в сервисный центр или требуется подключить представителя вендора к решению технической неисправности.

Однако большинство производителей остро реагируют на выявление подобных проблем и стараются приложить все возможные усилия для их решения. Устранение недостатков занимает у вендора много времени, что может негативно отразиться на реализации проектов.

Денис Поладьев: На мой взгляд, в настоящее время острее всего стоит вопрос наличия надежных высокопроизводительных NGFW, аналогичных ведущим западным решениям по функционалу. Хочется верить, что известные отечественные вендоры сдержат обещания доработать решения данного класса в наступившем году.

Прежде всего хотелось бы увидеть больше зрелых решений, которые перед выводом на рынок проходят более тщательное тестирование функционала в современных нагруженных сложных архитектурах, совместимых с ключевым окружением. Также хотелось бы видеть больше решений класса ZTNA, защиты облачных платформ (CNAPP) и совершенствование функционала SIEM-систем.

Денис Поладьев: В ближайшие годы мы вместе с ИТ-подразделениями продолжим работу по импортозамещению и расширению зон покрытия EDR, харденингу DCAP, NTA, в настоящее время рассматриваем внедрение систем класса Deception.

В этом и следующем году для нас и продуктового блока РТК-ЦОД одним из важнейших приоритетов является развитие сервисов информационной безопасности (SaaS и PaaS), предоставляемых потребителям «Турбо Облака».