Информационная безопасность операторов связи и телеком-компаний

В телеком-отрасли цифровая инфраструктура является основой бизнеса. Основные риски сосредоточены в ядре сети и системах управления абонентскими сервисами.
К ключевым объектам защиты относятся:

• опорную сеть передачи данных, ядро сети (Core Network);
• агрегирующие устройства и сегменты;
• системы управления сетью (NMS/OSS);
• биллинговые системы (BSS/OSS);
• сервисные платформы (RADIUS/DIAMETER, DNS, DHCP, email, VoIP, CDN)
• инфраструктура СОРМ;
• базы данных абонентов;
• персональные данные клиентов;
• центры обработки данных оператора;
• интеграционные API и внешние сервисы.

Нарушение доступности или компрометация этих компонентов приводит к массовым сбоям связи, финансовым потерям и регуляторным санкциям.

Телеком-инфраструктура регулярно становится целью как массовых, так и целевых атак.
Наиболее характерные сценарии:

• DDoS-атаки на опорные сети и узлы доступа;
• атаки на ядро сети и элементы сигнализации;
• компрометация биллинговых систем;
• несанкционированный доступ к персональным данным абонентов;
• проникновение через подрядчиков и интеграционные интерфейсы;
• эксплуатация уязвимостей в сетевом оборудовании;
• выведение оборудования из строя и связанные простои и дорогостоящий ремонт/замена;
• атаки на системы удаленного управления;
• инсайдерские действия сотрудников с привилегированным доступом.

Возможные последствия инцидентов
Для телеком-оператора киберинцидент означает:

• массовые перебои в предоставлении услуг связи;
• финансовые потери из-за некорректного биллинга;
• деградация сервиса или полная его потеря из-за уничтожения данных конфигураций оборудования в системах управления сетью, вмешательства в работу в прошивку устройств как на стороне оператора, так и клиентов;
• штрафы за нарушение законодательства о персональных данных (вплоть до 1-3% оборотных штрафов);
• предписания регуляторов и усиленный надзор;
• утрату доверия и последующая корпоративных и государственных клиентов;
• технологические риски при взаимодействии с объектами КИИ.

Даже кратковременный сбой в ядре сети способен повлиять на миллионы пользователей и вызвать значительный общественный резонанс.

Деятельность операторов связи регулируется отраслевым и общегосударственным законодательством.

• Базовое отраслевое регулирование

Федеральный закон № 126-ФЗ «О связи»
Определяет обязанности операторов связи по обеспечению устойчивости функционирования сетей и защите информации.
На практике это означает необходимость:

• обеспечения непрерывности предоставления услуг связи;
• защиты информации, передаваемой по сетям связи, в том числе безопасность данных абонентов и потребленных услугах;
• выполнения требований по взаимодействию с государственными системами.

Федеральный закон от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»

Обязывает операторов как владельцев/операторов информационных систем обеспечивать конфиденциальность, целостность и доступность обрабатываемой информации и применять меры защиты от несанкционированного доступа и иных угроз.
Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»

Конечно же, для операторов связи как ни для кого другого применим закон о защите ПДн. Он требует от операторов связи (как операторов ПДн) назначить ответственного, утвердить политику и локальные акты по ПДн, уведомить Роскомнадзор и принять необходимые и достаточные организационные и технические меры по защите персональных данных абонентов.
Подзаконные акты по защите ПДн (ПП РФ № 1119, приказы ФСТЭК по мерам защиты ПДн и др.) устанавливают уровни защищённости ИСПДн и набор организационных и технических мер (разграничение доступа, межсетевые экраны, антивирус, СКЗИ и др.), которые оператор связи обязан реализовать при обработке ПДн абонентов.

• Безопасность критической информационной инфраструктуры

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Многие телеком-операторы (правильнее будет сказать “все телеком операторы”, даже региональные) относятся к субъектам КИИ и обязаны:

• проводить категорирование объектов;
• обеспечивать защиту значимых объектов КИИ;
• организовывать процессы реагирования на инциденты;
• взаимодействовать с ГосСОПКА.

• Требования ФСТЭК

Приказ ФСТЭК России № 239
Устанавливает требования к созданию систем безопасности значимых объектов КИИ, включая (назовем основные):

• сегментацию сети;
• контроль доступа;
• антивирусную защиту;
• обнаружение атак;
• обеспечение целостности (в том числе резервное копирование);
• обучение персонала;
• мониторинг событий безопасности;
• реагирование на инциденты и поведение в нештатных ситуациях;
• выявление и управление уязвимостями.

• Импортозамещение средств защиты

Для операторов связи, являющихся субъектами КИИ, действуют требования по использованию сертифицированных и доверенных средств защиты.
Особое внимание уделяется:

• межсетевым экранам;
• системам обнаружения вторжений (СОВ);
• криптографическим средствам защиты;
• решениям для мониторинга и реагирования.

При проектировании архитектуры мы учитываем стратегию технологической независимости и требования к применению российских СЗИ.

В телеком-инфраструктуре ключевым является обеспечение устойчивости и масштабируемости сети при одновременной защите критичных компонентов.
Основные принципы построения СОИБ оператора связи
1. Сегментация сетевой архитектуры через зонирование сети на изолированные сегменты (ядро, агрегация, доступ, BSS/OSS, СОРМ, DMZ) с контролируемыми каналами между ними по матрице коммуникаций, где трафик между зонами фильтруется по протоколам, портам и адресам (по требованиям ГОСТ Р 53110 в части систем управления сетью). Это важно, чтобы компрометация периферийного сегмента не распространялась на ядро или биллинг; пример — атаки через абонентские роутеры, которые не дошли до магистрали.
2. Защита периметра и магистральных узлов посредством многоуровневой фильтрация на внешних стыках (DDoS‑защита, BGP‑фильтры, WAF, UTM) и встроенными механизмами безопасности магистральных маршрутизаторов/BRAS (ACL, rate‑limiting, защита управляющего трафика), включая криптозащиту стыков с другими операторами. На это важно обратить внимание, так как ядро — основной вектор DDoS и маршрутизационных атак (BGP hijacking), от него зависит вся сеть, а нормативные требования требуют изоляции от внешних сетей (например, ГОСТ Р 53110).
3. Контроль доступа к ядру сети путем централизованной AAA (через RADIUS/DIAMETER) для сетевого оборудования, многофакторной аутентификации и ролевых моделей доступа (RBAC) для АРМ инженеров, запрет прямого доступа к ядру из офисной сети, обязательного логирование всех команд. Это важно, поскольку компрометация учётки инженера даёт полный контроль над маршрутизацией и трафиком. Из требований по защите сетей операторов связи это учитывается в ГОСТ Р 53110 как мера строгого контроля доступа к системам управления сетью.
4. Контроль трафика, конфигураций и их целостности за счет DPI/NGFW для инспекции трафика по матрице коммуникаций, контроль целостности конфигураций сетевого оборудования (NTA, HIDS), аудит изменений в реальном времени с автоматической блокировкой отклонений. Аномальный трафик и несанкционированные изменения конфигурации могут быть основными векторами атак. Это позволяет реализовать требования по защите тайны связи и СОРМ (приказ Минцифры №573).
5. Централизованный мониторинг событий безопасности за счет SOC/NOC с SIEM для корреляции логов сетевого оборудования, СЗИ, биллинга, СОРМ. А для КИИ важна интеграция с ГосСОПКА. При этом журналы должны храниться не менее 3 лет, оповещения должны быть автоматизированы, а персонал иметь и пользоваться  дашбордами для оперативного реагирования. В противном случае распределённый мониторинг не позволяет вовремя выявлять атаки на масштабе сети, а требования ГОСТ Р 53110 и ФСБ по КИИ требуют централизованного сбора и анализа событий.
6. Отказоустойчивость ключевых сервисов обеспечивается резервированием BSS/OSS, DNS, DHCP, биллинга (active‑active кластеры, гео‑распределение), SLA на доступность >99,99% для критичных сервисов, тестирование сценариев отказа. Причина проста, простой биллинга блокирует подключения/оплату, DNS — всю доступность. Это важно для выполнения обязательств по 126‑ФЗ «О связи» и устойчивости КИИ.
7. Резервирование каналов и узлов посредством многоканальной топологии магистралей (LACP, SD‑WAN, резервные DWDM‑пары), гео‑резервирование ЦОД и узлов агрегации, автоматическое переключение трафика <50 мс для голоса и критичных сервисов. В результате одиночный отказ канала или узла не сможет вывести из строя тысячи абонентов, как то и требуется по ГОСТ Р 53110 в части обеспечение устойчивости сети связи общего пользования.
Архитектура системы защиты должна обеспечивать локализацию инцидента без остановки всей сети.

В проектах для операторов связи применяются специализированные решения для защиты сетевой и информационной инфраструктуры. При этом важно учитывать, чтобы решения были Российскими и сертифицированными (реестр Минцифры, ФСТЭК/ФСБ) - это важно в рамках концепции импортозамещения и интеграции с ГосСОПКА (в части систем мониторинга и реагирования на инциденты).

• Межсетевые экраны операторского класса, DPI (Deep Packet Inspection)

Межсетевые экраны нового поколения (NGFW) на периметре, магистралях и стыках, тогда как DPI для инспекции трафика по матрице коммуникаций - это нужно для фильтрации несанкционированного трафика и BGP‑атак. Требования обязательны для сетей общего пользования и КИИ

• Системы обнаружения вторжений (СОВ) и NTA (Network traffic analysis)

Анализируют сетевой трафик в режиме реального времени и выявляют аномалии (в том числе для промышленных протоколов связи). NTA используется для пассивного анализа магистрального трафика.
Критичны для своевременного обнаружения атак на ядро сети и опорную инфраструктуру. Входят в требования ФСТЭК и необходимы для работы ГосСОПКА.

• SIEM и системы централизованного мониторинга и реагирования

Обеспечивают сбор событий со всех ключевых компонентов сети, оборудования. SOAR помогает для автоматизации реагирования.
Позволяют выполнять требования как ГОСТ 53110 в части единого центра анализа событий, а также 187-ФЗ и требований приказов ФСБ об интеграции с ГосСОПКАой. Дает возможность оперативно реагировать на инциденты.

• DDoS-защита

Специализированные решения для отражения распределенных атак на доступность, особенно для ядра сети и BRAS.
Позволяют сохранить работоспособность сервисов даже при высоких нагрузках - требуется для выполнение требований к сетям общего пользования и КИИ.

• Средства управления доступом и аутентификация (IAM / AAA) а также контроль привилегированных пользователей (PAM)

Централизованные сервисы ААА на базе протоколов RADIUS/DIAMETER для оборудования, применение IAM с двухфакторной аутентификацией (2FA / MFA) ролевое разграничение доступа для АРМ и серверов BSS/OSS позволяют сохранить контроль доступа к ядру и критичным системам оператора. 
РАМ позволяет управлять доступом администраторов к ядру сети и критичным системам. Снижает риски инсайдерских инцидентов.
Все это является компонентами защиты от НСД по требованиям ФСТЭК.

• Криптографическая защита (СКЗИ, VPN)

Сертифицированные ФСБ криптошлюзы/VPN для защищённых каналов (стыки операторов, удалённый доступ), а также СКЗИ для БД абонентов необходимы для защиты тайны связи и ПДн. Сети операторов хотя и передают данные сетей общего пользования, по своей структуре и органам управления и хранения информации являются системами ограниченного доступа.

• Защита данных и целостность (EDR/XDR, HIDS, DLP)

DLP используют для предотвращения утечек ПДн и данных о сессиях (CDR), компоненты борьбы с вирусами (xDR) позволяют выявлять вредоносную активность на серверах ЦОД и в виртуализированной среде, а также на ключевых АРМах. HIDS может использоваться для создания замкнутой программной среды и контроля целостности конфигураций.
Они предотвращают распространение атак внутри инфраструктуры оператора, позволяют защищать распространение данных ограниченного доступа - например, ПДн абонентов, а также коммерческой тайны оператора. ФСТЭК регламентирует контроль целостности для категорированных систем.

• Защита биллинговых (и других “специальных”) систем оператора

Включает сегментацию, контроль доступа и мониторинг транзакций.
Необходима для предотвращения финансовых потерь и мошенничества.
В том числе сюда входят специальные сертифицированные средства и системы защиты (СОРМ), что регламентируется приказом Минцифры №573.

Системы безопасности и защиты данных - это не прихоть и не трата средств. Где-то это прямо требуется законодательством (например, законами “О связи” или приказами Минцифры), где-то это жизненная необходимость для поддержания отказоустойчивости инфраструктуры, чтобы продолжать оказывать сервис для абонентов. 
В результате внедрения полноценной системы информационной безопасности оператор связи получает:

• соответствие требованиям отраслевого и КИИ-законодательства;
• снижение риска массовых сбоев связи;
• защиту персональных данных абонентов;
• минимизацию финансовых потерь;
• готовность к проверкам регуляторов;
• устойчивую и управляемую модель ИБ.

Как правило, сеть связи оператора строится не “с нуля”, а развивается эволюционно. Поэтому вряд ли вы придете к нам с запросом “построения ИБ под ключ”. Мы готовы точечно закрыть потребность в узконишевом решении - поможем его подобрать, протестировать и потом внедрить (а при необходимости еще и взять на сервис или обучить специалистов эксплуатации). Но если говорить в целом, то наш подход включает:

• аудит сетевой и ИТ-инфраструктуры - понимание узких мест;
• участие в категорировании объекта КИИ (а он будет КИИ);
• анализ угроз и уязвимостей с составление модели угроз;
• проектирование архитектуры защиты (исходя из выявленных наиболее актуальных векторов);
• внедрение сертифицированных средств защиты и интеграция с существующей сетью;
• сопровождение и поддержку при взаимодействии с регуляторами (при необходимости).

Оставьте заявку — мы оперативно организуем встречу, подключим профильных специалистов, проведем экспресс-оценку текущего состояния с точки зрения требований по защите, выявим критичные зоны и предложим точечное решение, которое закрывает именно ваш запрос с учетом требований законодательства.