Кибербезопасность в Пулково

Какое место занимает кибербезопасность в стратегии развития Пулково?

Центральное — как и у любого другого аэропорта. Тем более за последние два года масштаб угроз резко увеличился. В 2022 г. на Пулково было совершено около 22,5 тыс. кибератак, а в 2024-м мы всего за 10 месяцев зафиксировали 5,3 млн инцидентов — в 235 раз больше! Мы понимали, что нас будут атаковать, но не ожидали, что станем даже более популярной целью, чем аэропорты Московского авиационного узла.

Это часть нашей новой реальности, и мы вынуждены к ней адаптироваться: модернизировать инфраструктуру, усиливать ИБ-команду и внедрять современные методы защиты. Нам уже давно противостоят не любители-одиночки. 

Какие киберугрозы наиболее актуальны для аэропортов?

Во-первых, DDoS-атаки. Они направлены на перегрузку наших систем и могут вызывать серьезные сбои. Во-вторых, атаки, направленные на поиск и эксплуатацию уязвимостей в наших сервисах. Видимо, всем хочется посмотреть, как мы управляем аэропортом :) В-третьих, фишинговые рассылки, направленные на эксплуатацию уязвимостей нулевого дня или ранее неизвестных. Эти риски нам удалось минимизировать за счет обучения сотрудников и использования автоматизированных средств защиты. 

Во время крупных международных мероприятий, например ПМЭФ, количество различного рода атак вырастает в десятки раз. Самое интересное, что мы фиксируем огромное число инцидентов, даже когда ивент проходит не в Санкт-Петербурге. Так, во время форума БРИКС в Казани Пулково подвергся непрерывной кибератаке, которая длилась 48 часов. Хотя нет, у нас было целых 10 минут передышки :) Тогда мы насчитали за сутки почти 500 тыс. инцидентов! 

Нельзя исключать и человеческий фактор — самый сложный элемент в любой системе кибербезопасности. Каких угроз стоит особенно опасаться? Расстроенного сисадмина (и я серьезно!). Даже при качественном отборе и строгом контроле привилегированных пользователей остается риск, что кто-то оставит себе лазейку или попадет под влияние злоумышленников. 

PT Sandbox в Пулково

В 2023 г. вы внедрили PT Sandbox. Почему вы выбрали именно это решение?

В 2022 году нам пришлось отказаться от облачных продуктов для анализа и фильтрации трафика, которыми мы пользовались раньше. Мы провели комплексное тестирование и сравнительный анализ доступных на российском рынке песочниц и в итоге остановились на PT Sandbox.

Во-первых, решение показало высокую эффективность: в испытаниях PT Sandbox выявлял свыше 80% угроз, тогда как другие песочницы — порядка 50%. Во-вторых, продукт легко интегрировался в нашу инфраструктуру, что заметно сократило время развертывания. Кроме того, мы получили значительную поддержку от команды Positive Technologies, включая консультации и помощь в настройке системы.

Как проходило внедрение? Вам пришлось что-то менять в инфраструктуре?

Мы разделили проект на несколько этапов. Сначала провели аудит инфраструктуры и определили области, требующие изменений. Затем подготовили инфраструктуру и настроили зеркалирование почтового трафика в песочницу. Параллельно проводилось обучение наших ИБ-специалистов: нам хотелось, чтобы сотрудники не только понимали, как работать с системой, но и могли эффективно анализировать поступающие от нее данные. Наконец после успешных испытаний мы поставили PT Sandbox в разрыв почтового трафика, чтобы автоматически фильтровать вредоносные файлы.

С какими трудностями вы столкнулись во время внедрения?

Основной вызов заключался в адаптации PT Sandbox к специфике нашей инфраструктуры. Система должна была работать на Astra Linux, и мы стали одними из первых, кто развернул песочницу на российской ОС. В процессе, само собой, получили целый букет всяких интересностей :) Когда инструкции не помогали, на помощь приходили специалисты Positive Technologies: мы общались с разработчиками, оперативно выявляли и закрывали ошибки. Партнеры сыграли важную роль в успешной реализации проекта: они давали полезные рекомендации, обновляли и адаптировали решение с учетом наших потребностей. 

Отладка заняла примерно год, но нужно учитывать, что параллельно мы разворачивали на Astra Linux и другие ИТ- и ИБ-продукты. Из-за этого сроки проекта растянулись: пришлось решать множество проблем с совместимостью, но мы осознанно шли на эти риски. Сейчас все работает отлично.

Какие сценарии вы реализовали в PT Sandbox?

Первый — анализ почтового трафика, это, пожалуй, самое важное направление. Второй — автоматическая проверка файлов, которые загружаются в периметр сети. Третий сценарий — регулярный мониторинг рабочих станций на наличие ВПО.

Благодаря автоматизации у ИБ-специалистов стало меньше рутинной работы и освободилось время для решения стратегических задач. Кроме того, мы минимизировали число ошибок, связанных с человеческим фактором.

Взгляд в будущее

Как в целом изменилась кибербезопасность аэропорта за последние два года?

Я упоминал, что мы регулярно сталкиваемся с кибератаками, и на данный момент у нас получается их отражать. Это результат методичной работы по построению комплексной системы безопасности Пулково. Наше главное достижение в том, что кибератаки не затрагивают пассажиров аэропорта. Люди приезжают, проходят все процедуры и спокойно улетают. Тот факт, что в этот момент мы отражаем волны кибератак, остается для них незаметным. Пулково продолжает работать, несмотря на любые угрозы.

Поделитесь планами на будущее.

Наша цель предельно проста — успешно отражать новые вызовы злоумышленников, поэтому мы продолжаем подготовку ИБ-специалистов и внедрение современных систем обнаружения и противодействия киберугрозам. В том числе присматриваемся к ИИ-решениям, которые помогут обрабатывать большие объемы данных. В ближайших планах — протестировать несколько российских продуктов, включая решения Positive Technologies. Кроме того, мы начали активнее вкладываться в обучение и развитие сотрудников. Тем не менее на рынке сейчас дефицит кадров, и специалистов по-прежнему не хватает.