Все масштабные мероприятия сопряжены с рисками потери связи, крупных DDoS-атак или получением доступа к сетям злоумышленниками. Поэтому к таким событиям важно готовиться заранее — что мы и сделали во время ЧМ по футболу в 2018 году.
На примере чемпионата мира рассказываем, что мы делаем, чтобы обеспечить безопасность и бесперебойность связи для наших клиентов во время таких мероприятий.
Задача
Orange работает с SITA — компания координирует международные рейсы по всему миру. Во время чемпионата было особенно важно, чтобы система работала — иначе туристы не могли бы прилететь или вылететь из городов, где проводился ЧМ.
Также мы предоставляли каналы связи для Visa. Если бы работа этой платежной системы приостановилась, то туристы не смогли бы воспользоваться банковскими картами.
Нам нужно было защитить свою инфраструктуру и обеспечить надежность сети — так, чтобы ни SITA, ни Visa, ни другие наши клиенты не столкнулись с проблемами со связью.
Готовиться мы начали за полгода. В результате не было ни одного форс-мажора во время ЧМ.
Как мы это сделали
Собрали все риски и выделили самые опасные
Для определения рисков мы собрали команду экспертов — технических специалистов, специалистов по кибербезопасности, по взаимодействию с операторами, органами власти, собственниками зданий, представителями продаж. Команда выделила все риски, которые могли произойти и проверила их по общей методологии.
Каждый эксперт оценил все риски по двум параметрам: вероятность наступления и потенциальный ущерб. Если по каким-то рискам оценки экспертов расходились, проводили дебаты, на которых выясняли, что эксперты могли упустить — и снова оценивали эти риски.
Так мы выявили 12 самых критичных рисков: три, наиболее опасных, в «красной» зоне; четыре в «желтой» и пять в «зеленой» зоне.
Три основных риска:
- Доступ к узлам
Во время ЧМ в городах проведения матчей доступ к некоторым узлам связи закрывался — дороги освобождали от пешеходов, а в некоторых местах для защиты от террористов доступ преграждали сотрудники полиции и ФСБ. В случае поломки узлов нашим ремонтным бригадам будет не попасть на узлы. - Кибербезопасность
Из-за увеличения трафика сети становятся более уязвимы к DDoS-атакам и другим видам киберугроз. - Целостность оборудования и коммуникаций
Важно было исключить выход оборудования из строя: из-за случайной ошибки сотрудника или по независящим от нас причинам. В том числе поломку линий связи, которые нам предоставляют наши партнеры. И продумать действия, если оборудование все же выйдет из строя.
Обеспечили доступ к нашим и партнерским узлам в зонах, где проходит ЧМ
В целях борьбы с терроризмом в городах проведения ЧМ закрывали доступ на все объекты критической инфраструктуры. Это коллекторы, канализации с кабельными трассами, международные узлы связи. Из-за этого технические специалисты Orange не могли отремонтировать во время ЧМ поломки на этих объектах — клиенты остались бы без связи.
Чтобы получить доступ к таким узлам, нужно было получить разрешение от власти, а перед этим — узнать, какие зоны в городах будут перекрыты.
Мы заранее начали работать с органами власти и операторами, чтобы определить закрытые зоны и получить к ним доступ. Единой информации об этом не было, поэтому мы связывались с администрацией городов, чтобы составить наиболее полную картину.
В итоге для каждого города, где проходил ЧМ, у нас была карта со всеми зонами с затрудненным доступом. Для каждой из таких зон мы получили разрешение на проезд.
Исключили риски поломки оборудования, в том числе резервного
Оборудование могло сломаться как из-за случайной ошибки сотрудника, так и из-за внешних причин. Мы проработали и подстраховали все возможные риски, чтобы поломки не произошло.
Прекратили профилактические работы
Мы составили график, когда и в каких городах проводятся матчи, и запретили проводить любые технические работы на это время. Все необходимые работы провели до чемпионата.
Лучше подготавливались к ремонтным работам
На ремонт отправлялись только опытные специалисты. Некоторые работы проводили только коллективно: один специалист составлял список работ, а другой перепроверял. Такие меры излишни в обычное время, но здесь они помогли избежать ошибок, которые могли дорого обойтись нашим клиентам.
Тестировали исправления в лаборатории
Перевели часть низковероятных ошибок в категорию высоковероятных. Их мы тестировали на лабораторных серверах, прежде чем вносить изменения на рабочие.
Проверили резервное оборудование
У нас всегда есть резервные узлы и линии. Здесь было крайне важно, чтобы они работали в случае непредвиденных ситуаций. Поэтому мы провели перед ЧМ тест всего оборудования. Делали эту работу ночами — днем она влияет на связь у клиентов.
Составили базу данных частых ошибок
Есть действия по ремонту или обновлению, при которых сотрудники чаще допускают ошибки. Например, если в некоторых командах неправильно задать параметр, они приводят к обнулению данных. Такие действия на время проведения ЧМ мы исключили — перенесли их на периоды до или после ЧМ.
Исключили риски повреждения магистральных сетей
Обновили информацию о линиях связи: наших кабелях и кабелях наших партнеров-операторов. Проверяли, не находится ли сеть в рисковой зоне. Например, в зоне строительства, где кабель может завалить во время работ. За такими участками трассы дополнительно наблюдали, либо сразу заменяли их на резервные.
Обеспечили защиту от DDoS-атак, протестировали систему на уязвимости и проникновение
Злоумышленники активизируются во время таких крупных событий, а возможный урон от их действий повышается в разы. Поэтому мы особенно тщательно проработали защиту от разных атак и проникновений.
Протестировали нашу систему на проникновение
Закрыли выявленные уязвимости. В том числе оценили риск проникновения к нашей системе через WiFi-сети и сделали ее более безопасной.
Обеспечили защиту от DDoS-атак
Для клиентов, которые особенно могли пострадать, на время ЧМ установили защиту с нуля — хотя обычно делаем это на платной основе. Также внедрили защиту для наших магистральных узлов, при атаках на которые могла отключиться вся наша сеть.
Запустили работу CyberSOC
Чтобы контролировать безопасность постоянно, на этом проекте стали тестировать внутренний CyberSOC. Начали применять практики, которые перенимали у французских коллег, и обрабатывали инциденты информационной безопасности.
Сверялись с самыми последними данными по уязвимостям
Мы обращались к данным из эпидем-центра Orange во Франции, когда проверяли оборудование — чтобы злоумышленники через новые уязвимости не смогли получить доступ к системе Orange.
Отразили 2 DDoS-атаки во время ЧМ
Как мы и ожидали, во время ЧМ происходили инциденты — всего более тысячи. Но благодаря нашей подготовке мы разобрались со всеми. Наши клиенты в итоге узнали об инцидентах только от нас — проблем с работой сервисов у них не произошло.
Два наиболее крупных инцидента — мощные DDoS-атаки на аэропорты Платов и Шереметьево. Мы предполагали такое развитие событий, и поэтому обе атаки наши системы выявили и отразили. Работа аэропортов на это время не остановилась.
Вывод
Для определения рисков мы собрали команду экспертов — технических специалистов, специалистов по кибербезопасности, по взаимодействию с операторами, органами власти, собственниками зданий, представителями продаж. Команда выделила все риски, которые могли произойти и проверила их по общей методологии.
К таким событиям важно готовиться заранее. Мы подготовились, и в итоге к моменту начала самого Чемпионата мира беспокоиться было уже не о чем.
Главный признак того, что мы выполнили свою работу качественно: у наших клиентов не было сбоев в работе за месяц проведения ЧМ. Все сервисы работали так же, как и в обычное время.
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.