02 Февраля 2022 13:33 | 02 Фев 2022 13:33 | |

Поделиться

Антон Плетнев, «Черкизово»: Внедрение ИБ-решений в ритейле напрямую ведет к снижению ущерба от кибератак

«Специфика ритейла стимулирует процессы цифровизации»

CNews: Антон, все знают, например, об особенностях угроз и, соответственно, обеспечения информационной безопасности в банковском секторе. А как насчет продуктового ритейла? Обладает ли он своей спецификой?

Антон Плетнев: Специфика ритейла вообще и продуктового в частности — в высококонкурентной среде, непрерывной борьбе за лояльность покупателей и относительно невысокой маржинальности, что вкупе стимулирует процессы непрерывного повышения экономической эффективности, оптимизации затрат и диджитализации. При этом следует учесть, что наша группа является не просто значимым игроком в продуктовом ритейле, но и одним из крупнейших производителей продовольствия, а это, в свою очередь, означает социальную ответственность не только перед нашими покупателями, но и перед государством.

В Доктрине продовольственной безопасности России указывается, в частности, что национальным интересом государства является создание в сельском хозяйстве высокопроизводительного сектора, развивающегося на основе современных технологий. Кроме того, одними из основных задач обеспечения продовольственной безопасности названы своевременное прогнозирование, выявление и предотвращение внутренних и внешних угроз продовольственной безопасности и минимизация их негативных последствий, а также устойчивое развитие производства сельскохозяйственной продукции, сырья и продовольствия.

В этой связи можно вспомнить, как в мае 2021 г. крупнейшая в мире мясоперерабатывающая компания JBS подверглась масштабной кибератаке вируса-вымогателя, в результате чего на несколько суток приостановилась работа ее предприятий, производящих почти четверть американской говядины. Это могло повлечь за собой настоящий продовольственный кризис. В итоге хакеры получили от JBS выкуп в размере 11 млн долларов в биткоинах, а фактом атаки и ее последствиями были озабочены первые лица США. Таким образом, очевидно, что потребность в кибербезопасности продовольственного сектора в современном мире обусловлена не только минимизацией внутренних киберрисков производителей и ритейлеров, но и обеспечением продовольственной безопасности на государственном уровне.

CNews: Есть ли в группе «Черкизово» технические нюансы, влияющие на процессы обеспечения информационной безопасности?

Антон Плетнев: По ИТ-инфраструктуре и специфике бизнес-процессов мы скорее ближе к промышленной или добывающей отрасли: географически распределенная сеть, малое количество ИТ-специалистов на местах, повышенные требования к непрерывности процессов производства и устойчивости цепей поставок. При этом тренд на цифровую трансформацию в отечественной пищевой промышленности, без преувеличения, задает наша компания. Достаточно вспомнить наш полностью автоматизированный завод-робот по производству колбас, применение технологий машинного зрения и искусственного интеллекта для контроля качества и повышения производительности труда, использование устройств интернета вещей для контроля состояния животных и анализа условий их содержания с применением технологий обработки больших данных.

Внедрение таких высокотехнологичных процессов одновременно влечет за собой инвестиции в информационную безопасность создаваемой IT/OT-инфраструктуры, в частности, в системы автоматизации управления процессами информационной безопасности, в платформы централизованного менеджмента и мониторинга состояния кибербезопасности и в решения для роботизации обработки киберинцидентов, в том числе для сокращения показателей MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент). Это напрямую ведет к снижению ущерба от возможных кибератак.

«Путь централизации ИБ-процессов на единой платформе»

CNews: Как осуществляется ИБ-управление? Насколько оно централизованно?

Антон Плетнев: В части организации процессов обнаружения и реагирования на инциденты кибербезопасности на таком большом количестве конечных точек важно осуществлять оперативную координацию всех участников на местах. Необходимо осуществлять учет инцидентов кибербезопасности, автоматическое обогащение информацией из различных корпоративных систем, постановку задач из единого удобного интерфейса и последующий контроль их исполнения. Кроме того, безусловно важными для нас являются возможности предоставления отчетности по всем ключевым метрикам ИБ в масштабах всего холдинга, а также средства визуализации информации, в том числе отображение данных по инцидентам на географической карте.

CNews: Какими средствами решаются эти задачи?

Антон Плетнев: В первую очередь путем централизации множества ИБ-процессов на единой автоматизированной платформе в рамках создания современного технологически развитого SOC. Преобразования в этом направлении идут уже давно, важным этапом стали работы по внедрению системы реагирования на инциденты кибербезопасности IRP/SOAR.

Мы тщательно изучили рынок IRP/SOAR систем и по результатам остановили свой выбор на Security Vision IRP/SOAR. Следующим шагом стала реализация пилотного проекта, который был завершен в декабре 2021 г.

CNews: Почему вы выбрали Security Vision IRP/SOAR? По каким параметрам осуществлялся выбор?

Антон Плетнев: Выбор был обусловлен развитым функционалом данной платформы, обширным перечнем уже успешно реализованных командой SecurityVision проектов (в том числе в промышленности и ритейл-сегменте), гибкостью платформы и широкими возможностями интеграции с использующимися у нас средствами защиты, а также уникальным сочетанием технологий для ускорения реагирования, выявления аномалий и помощи членам команды реагирования на инциденты ИБ путем снижения рутинной нагрузки.

CNews: Что было сделано в рамках пилотного проекта?

Антон Плетнев: Во-первых, была реализована интеграция Security Vision IRP/SOAR с внешним коммерческим SOC в целях получения событий безопасности и инцидентов ИБ от SOC (через API-запросы), запроса комментариев в SOC (через API-запросы) и получения ответов, синхронизации процесса закрытия киберинцидентов.

Это позволяет формализовать и систематизировать внутренние процессы реагирования на события и инциденты ИБ, полученные от SOC, и, как следствие, повысить общую операционную эффективность. Далее, было реализовано внедрение автоматического обогащения в процессах реагирования на инциденты ИБ с целью сокращения времени реагирования и минимизации ущерба, были выполнены интеграции с MS Active Directory, MS SCCM, системой антивирусной защиты, приложением для управления IP-адресами (IPAM), VirusTotal. Также завершается реализация интеграции с кадровой бизнес-системой. Благодаря этому можно будет оперативно получать детализированную информацию по каждому сотруднику предприятий, входящих в холдинг.

Помимо этого Security Vision IRP/SOAR была интегрирована с корпоративным электронным почтовым ящиком для автоматического заведения инцидентов на основе email-сообщений от всех сотрудников компаний, входящих в группу, и был выстроен процесс обработки такого рода обращений. Интеграция системы с корпоративной электронной почтой и Telegram обеспечивает возможность оперативного оповещения команды реагирования о полученных событиях безопасности от различных источников.

CNews: Как насчет визуализации и отчетности?

Антон Плетнев: В Security Vision IRP/SOAR были реализованы отчеты по необходимым нам метрикам и согласно нашему шаблону в разрезе день/неделя/месяц. Также были созданы операционный и тактический дашборды и отражение метрик SLA, в том числе в части взаимодействия с SOC. Были реализованы индикация и отображение информации по инцидентам, происходящим в различных подразделениях, на географической карте. Также была реализована возможность создания дашбордов и отчетов с прогнозом количества инцидентов на следующий месяц по тренду, образовавшемуся за два-три последних месяца, с учетом геолокации.

CNews: Вас удовлетворили результаты пилотного проекта?

Антон Плетнев: Результаты полностью оправдали наши ожидания. Было принято решение приобрести систему и начать ее активное внедрение в промышленную эксплуатацию.

Поделиться

Короткая ссылка