• Microsoft
• Adobe
• Oracle
• Forcepoint
• Fortinet
• Mikrotik
• Lenovo
• Samsung
• Dell
• HP
• Cisco

Множество других компаний тоже или временно закрываются в РФ, или прекратили поставки оборудования и поддержку пользователей.

Это приводит к проблемам в ИБ, поскольку перестает работать функционал обновлений и исправлений, отключаются подписки.

Следует отметить, что часто компании объявляют об уходе, чтобы не попасть под удар самим, при этом они не закрывают контракты и не прекращают оказание услуг, но CISO надо планировать свои действия на шаг вперед, чтобы быть готовыми к внезапному изменению условий или неожиданным последствиям.

Что же предпринять CISO в первую очередь в складывающейся ситуации?

• Успокаивать менеджеров и «гасить» попытки совершать необдуманные действия. Каждый день начальникам служб ИБ приходится отвечать на вопросы менеджмента по поводу последних слухов и новостей, связанных с санкциями или уходом технологических компаний из России. Покажите, что у вас есть план действий и все под контролем. Бизнесу сейчас нужна поддержка.

• Не паниковать самим. ИБшники тоже люди, и им свойственны сомнения и тревога. Сейчас важно действовать спокойно и обдуманно, не провоцируя и не поддерживая панику в компании.

• Оценить риски. Составить перечень используемых средств защиты, определить страну происхождения и оценить вероятность прекращения работы. В качестве основных рисков можно рассмотреть следующие:
  - Поставщик объявит об уходе, и будет невозможно продлить лицензии и подписки, когда их срок закончится;
  - Отключение обновлений сигнатур, вирусных баз, контента для IDS/IPS, сетевых экранов, SIEM;
  - Немедленное отключение подписки, блокирующие обновления, превращение СЗИ в «кирпич»;
  - Использование работающих в инфраструктуре СЗИ как средств для несанкционированного доступа и атак (пока о таких случаях не сообщалось, но исключать такую возможность нельзя).

• Выстроить приоритет действий на основе оцениваемого ущерба и вероятности наступления рискового события. Даже если производитель еще не ушел или не объявил об уходе (и даже если объявил о том, что не уйдет), необходимо подстраховаться и подготовить запасной вариант: развернуть демо-стенды или пилотные версии аналогичных систем российских производителей, чтобы обеспечить восстановление основных функций даже при самом негативном сценарии.

• Обратить внимание на IT. Помочь коллегам продублировать системы, поддерживающие основные бизнес-процессы – к примеру, операционные системы и офисные пакеты.

• Начать обучение и тренировку персонала и поддержки на тестовых версиях продуктов.

• Максимально ограничить каналы доступа в нашу инфраструктуру и из нее (к примеру, google DNS, блокировка по referrer, использование TeamViewer и т. п.). Это мелочи, которые в нынешней ситуации могут стоить многого, поэтому важно начать уже сейчас.

• По возможности отказаться от закупки и внедрения иностранных СЗИ, чтобы не добавлять новые риски в свой список.

• Обратить внимание на атаки на цепочки поставок! Этот момент часто выпадает из поля зрения, но сейчас слабозащищенные поставщики услуг могут быть использованы для атак на корпоративную инфраструктуру крупных компаний.
  

Даже в стрессовых условиях важно не забывать – что ИБ – это взаимосвязанная система, включающая риски, требования и меры защиты. Без этого всё быстро погрузится в хаос и станет неуправляемым. Да, риск-модели поменялись, но только в плане вероятности наступления тех событий, о которых ранее и думать не хотелось. Важно помнить, что цель состоит не в самих подсчетах, а в том, чтобы понять, зачем мы что-то делаем.

Рекомендуем обратить внимание на community базу рисков и проектов реализации защитных мер, где можно получить информацию о вариантах наиболее актуальных рисков, и мер по их снижению с конкретными действиями (например, как с помощью referrer на nginx заблокировать доступ к сайтам), а также мер по противодействию санкциям. База пополняется, позволяя участникам сообщества обмениваться опытом друг с другом.

Cписок первоочередных действий по нейтрализации негативных эффектов, связанных с уходом поставщиков и санкциями:

• Произвести инвентаризацию ACL. Любая система деградирует со временем, обрастая исключениями, и теряет свою эффективность. Если этот процесс не выполняется регулярно, необходимо пересмотреть списки доступа в/из Интернет, технологические сети и пр. – и максимально жестко ограничить доступ, предоставляя его по заявкам и под ответственность владельцев систем.

• Перевыпустить сертификаты на внешние коммуникации компании. Сейчас некоторые зарубежные CA начали отзывать сертификаты, выданные российским компаниям. Пока не подобран хороший надежный поставщик, можно в крайнем случае использовать letsencrypt.

• Начать создавать типовые рабочие места на российском ПО (ОС Astralinux, RedOS, AltLinux; офисные пакеты МойОфис), разворачивать домен на альтернативном ПО. Жить без обновлений некоторое время можно, но недолго, а легально лицензии на ПО может быть невозможным приобрести через некоторое время.

• По аппаратному обеспечению ситуация пока неясна. Поэтому:
  - Оптимизировать парк «железа»:
  - Ждать появления решений и альтернативных вариантов поставок;
  - Как альтернатива – переходить в крупные ЦОД в России;

• Подобрать замены для критичных сервисов:
  - Контроль входа в интернет: планируем переход от Checkpoint, Fortinet, Palo Alto к Usergate, Континент, VIPnet.
  - От решений All-in-One придется перейти к отдельным продуктам, часто разных производителей. 
  - Готовимся к этому, в том числе и морально 😉
  - Сменить корпоративный браузер. От Chrome придется перейти на Яндекс Браузер, Firefox
  - Заменить многофакторную аутентификацию: Мультифактор, Indeed;
  - Заменить антивирус на Kaspersky, DRWeb
  - Заменить SIEM на RUSIEM, PT SIEM
  

• По возможности локализовать всю инфраструктуру:
  - Для малых компаний – в облачных сервисах в РФ;
  - Для средних – гибридная модель;
  - Для крупных – предпочтительно on premise, поднимать браузерные сервисы для работы пользователей.

• Важно не забывать о рисках, связанных с утечками данных по вине поставщиков услуг и облачных провайдеров. И конечно же, принимаем в расчет архитектуру бизнеса, который защищаем.

• Спросить рекомендаций у регулятора или аудитора, какие решения стоит использовать, чтобы поддержать соответствие и приемлемый уровень безопасности. Консультации – это тоже их работа 😉

• Пересмотреть существующие контракты на аутсорсинг функций ИБ и с осторожностью заключать новые:
  - Как правило, аутсорсеры хуже владеют внутренним контекстом компании и потому отрабатывают не всегда эффективно;
  - Отдавая функции на аутсорс, надо осознавать, что эти задачи будут в руках сторонних специалистов, плохо это или хорошо;
  - Внимательно рассмотреть вопросы форс-мажора в условиях обслуживания, чтобы в самый критический момент не оказаться без поддержки;
  - Сложившаяся ситуация приведет к появлению большого числа малокомпетентных поставщиков услуг и падению их качества. Внимательно относитесь к выбору.