Александр Лазаричев, РСА: «Мы уверены, что все данные в АИС ОСАГО находятся под надежной защитой»
Летом 2020 года заработала новая автоматизированная информационная система (АИС) ОСАГО. Защищенную ИТ-инфраструктуру для нее построила компания «Инфосистемы Джет», а функционал разработала компания EPAM. Новая система получилась более гибкой в использовании, удобной для дальнейших инноваций и с усиленным акцентом на вопросы безопасности. О том, как строили защиту новой АИС, какие результаты она показывает сегодня и как удается обеспечивать безопасность в круглосуточном режиме, рассказал Александр Лазаричев, начальник управления ИБ Российского Союза Автостраховщиков.
Содержание |
О запуске новой системы и выборе решений
Какие требования предъявлялись к системе защиты новой АИС ОСАГО?
Александр Лазаричев: Для создания надежной системы защиты к ней предъявлялись требования Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов, а также нормативные требования Банка России. При этом мы не стали ограничиваться обязательными требованиями и дополнили функционал, которого нам не хватало в старой системе, например, в части контроля действий привилегированных пользователей. Опытная эксплуатация показала высокую эффективность внедренных решений.
Вместе со специалистами «Инфосистемы Джет» вы построили программно-аппаратный комплекс для защиты новой АИС. Расскажите подробнее, что это были за решения и как они выбирались?
Александр Лазаричев: Традиционно мы стараемся не раскрывать наименования реализованных систем безопасности, информация о которых может быть использована потенциальными злоумышленниками для поиска уязвимостей и взлома систем. Естественно, использовались традиционные направления и решения безопасности: средства защиты от несанкционированного доступа, системы разграничения доступа, учета и регистрации событий, защита от вредоносного кода (антивирус), обнаружение и предотвращение вторжений, контроль и анализ защищенности, защита среды виртуализации там, где она используется, системы защиты каналов связи и передачи данных.
О нововведениях и сложностях
В чем есть особенности создания системы защиты с нуля?
Александр Лазаричев: Система не создавалась с нуля, был использован огромный практический опыт эксплуатации старой системы как в части инфраструктуры, так и в части защиты информации. Все исторические данные, накопленные за весь период эксплуатации, необходимо было перенести в новую систему, отладить и оптимизировать работу. Кроме того, некоторые компоненты информационной безопасности целиком покрывают инфраструктуру РСА, например, антивирусная защита, сканер анализа защищенности и другие. При проектировании новой системы защиты, естественно, мы учитывали существующие решения и рассматривали их дальнейшее использование, в том числе с точки зрения производительности: а хватит ли мощности, чтобы проанализировать объем возникающих событий. В новой АИС количество событий и транзакций значительно возросло, поэтому оборудование, которое применялось для старой системы, не позволяло нам обеспечить должный уровень доступности к ним. Значит, нужна была модернизация. В настоящее время система безопасности ежедневно обрабатывает порядка 1,5 млрд событий, в результате обработки из которых еще примерно 50 подлежат доскональному анализу.
Есть ли что-то кардинально новое, что не использовали ранее?
Александр Лазаричев: Мы постоянно проводим анализ рисков, анализируем новые угрозы, проводим аудиты. Понимаем, что возникающие угрозы могут быть нейтрализованы как существующими средствами защиты, так и появляющимися новыми инструментами и технологиями. Полезной стала реализация системы контроля привилегированных пользователей. Это, с одной стороны, добавило неудобств в работе администраторов, может, создало дополнительные точки отказа системы, но, с другой стороны, добавило ответственности в их действиях, ведь любые попытки обойти контроль пресекаются и фиксируются.
Были ли какие-то сложности при выстраивании системы, или все проходило гладко?
Александр Лазаричев: Были многочисленные дебаты в период проектирования. Не все решения, которые изначально рассматривались, вошли в итоговый проект. Были обсуждения, уточнения, расчеты, рассматривались альтернативные варианты, но в конце концов мы выбрали именно тот вариант, который нам оптимально подошел с точки зрения общей производительности, обеспечения безопасности, требований нормативных актов и сертификации, где это требуется.
Вы изначально планировали задействовать 8 разных производителей решений для системы защиты АИС ОСАГО, или это вышло случайно? И как происходила интеграция этих решений и безопасное подключение к АИС для 44 страховых компаний?
Александр Лазаричев: Не стояло цели выбрать решение одного производителя. Мы просто выбирали те решения, которые нам реально необходимы и удобны, не определяя, выбирать решение одного производителя или разных. Главное было соблюсти баланс стоимости и производительности.
Сама интеграция происходила поэтапно. Сначала разворачивалась ИТ-инфраструктура и накладывались средства защиты, создавались тестовые среды с синтетическими данными. Затем к тестовым средам подключались страховые компании, чтобы они могли все проверить, удостовериться в производительности и доступности. Дальше мы развивали систему. Выстраивали таким образом, чтобы обеспечить резервирование доступа в случае отключения того или иного канала связи. Проводились тесты, страховые компании в этом активно участвовали. Период становления прошел безболезненно. Мы получали обратную связь от страховых компаний с результатами тестов доступности и производительности. Постепенно производилась тонкая настройка внедренных средств защиты, подготовка к работе в промышленной среде.
О круглосуточной защите новой АИС ОСАГО
Как вы обеспечиваете мониторинг безопасности новой АИС ОСАГО?
Александр Лазаричев: Здесь мы использовали новое для нас решение. Решения, которые использовались ранее, не имели централизованной обработки, были обособленными. События приходилось обрабатывать отдельно в каждой системе, будь то антивирус или, например, защита от несанкционированного доступа. А сейчас это все происходит централизованно и обрабатывается в единой системе сбора и корреляции событий информационной безопасности (SIEM), анализируется на предмет возможных инцидентов, выдается заключение. Для полноценной защиты необходимо, чтобы анализ событий происходил 24/7, потому что система эксплуатируется в круглосуточном режиме. Обеспечить необходимый уровень анализа событий своими силами мы не смогли бы. Это более затратно с точки зрения привлечения квалифицированных специалистов и обеспечения круглосуточного анализа. Поэтому часть функций по мониторингу мы передали Центру мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Какие еще преимущества такого взаимодействия вы видите?
Александр Лазаричев: Jet CSIRT помогает разбирать сложные события, участвует в расследовании инцидентов. Консультации специалистов были полезными как на начальной стадии работы с новой АИС, так и сегодня, когда у нас возникают различные вопросы по эксплуатации или по обеспечению безопасности в ней.
Про результаты и перспективы
Какие результаты уже дало внедрение, и насколько эффективна созданная система защиты?
Александр Лазаричев: Мы мониторим информационное пространство, отслеживаем, какие происходят утечки. Например, кто-то в прессе говорит, что утечка могла произойти из базы данных РСА. Мы эти события анализируем, рассматриваем. Пока у нас не было повода сказать, что из АИС ОСАГО утекли данные. Но, к сожалению, периодически возникают случаи, когда люди жалуются на то, что к ним обращаются некие страховые агенты, которые утверждают, что получили их персональные данные и номера телефонов из «открытой» базы РСА и предлагают купить полис ОСАГО. Но такого в принципе не может произойти, поскольку АИС ОСАГО не является открытой и в ней отсутствуют контактные сведения, которые позволяли бы звонить людям и предлагать им условия для покупки страхового полиса. У нас не хранятся контактные данные пользователей, и мы уверены, что все данные в АИС ОСАГО находятся под надежной защитой.
Какие у вас планы, текущее направление работы?
Александр Лазаричев: Сейчас новая система находится на начальном этапе развития, возможны ложные срабатывания – проводим тонкую настройку, обучаем наших специалистов. Планируем дальнейшее улучшение и совершенствование системы защиты информации.