| Заказчики: Департамент информационных технологий Москвы (ДИТ) Москва; Государственные и социальные структуры Подрядчики: Визум (Visum), Национальный Инновационный Центр (НИЦ) Дата проекта: 2025/01 — 2026/12
Бюджет проекта: 359 643 803 руб.
|
В начале декабря Департамент Москвы по конкурентной политике опубликовал тендер[1] на оказание услуг по анализу защищенности информационных систем и ресурсов города Москвы, предлагая за них 359,6 млн рублей. В соответствии с документацией эти деньги предполагается выплатить победителю конкурса в течении двух лет по мере выполнения им указанных в тендере задач. Техническое задание подписано руководителем ДИТ Москвы Эдуардом Лысенко. Подача заявок на участие в конкурсной процедуре продлится до 20 декабря.
В техническом задании указано, что проверка должна выполняться в течении 710 дней с момента подписания контракта, хотя он может прекратиться и досрочно в случае исчерпания финансирования. Предполагается, что проверка проводится в пяти основных направлениях: стресс-тест с точки зрения внешнего нарушителя («черный ящик»), на что предлагается потратить 22,72% от цены контракта; защита от внутреннего нарушителя («белый ящик») – 71,66%; анализ опасности мобильного приложения – 4,28%; безопасность ЦОД – 0,71%; и возможность атаки через беспроводные сети – 0,54%. На подготовку всего процесса и согласование проводимых работ предполагается потратить еще 0,09% от бюджета проекта. Работы должны проводится как в 2025, так и в 2026 годах.
Целями этой деятельности являются снижение технических и репутационных рисков, связанных с возможной недоступностью информационных ресурсов Москвы, сервисов и нарушением целостности информации ограниченного доступа, в связи с несанкционированным доступом, а также повышение эффективности расходования бюджетных средств, которые тратятся на защиту информации ограниченного доступа, посредством формирования программы мероприятий по повышению уровня защищенности информационных ресурсов на основе результатов оценки эффективности применяемых мер по обеспечению информационной безопасности.
Все работы и время их проведения согласуются с заказчиком. Исполнитель сначала самостоятельно проводит анализ защищенности указанной системы, затем предлагает методы анализа ее защищенности, которые согласуются с заказчиком. Причем, во время исследования допускает возможность использования последовательно нескольких методов из цепочки атак: запуск, закрепление, повышение привилегий, обход защиты, получение учетных данных, сбор информации, горизонтальное перемещение, вывод данных и даже нанесение урона.Как создать ПО для технологического моделирования на замену западному совместно с партнёрами. Опыт «СИБУРа» представлен на TAdviser SummIT 
Для проведения анализа методом «белого ящика» ДИТ Москвы даже выделяет собственные ресурсы, расположенные внутри своей корпоративной сети, и позволяет установить на них ПО для имитации атак. Исследование методом «белого ящика» – одно из наиболее ресурсоемких, поскольку предполагает использование следующих методов анализа защищенности: подбор учетных данных (идентификаторов, паролей, ключей) как напрямую путем прямых попыток доступа к ресурсам, так и оффлайн-подбор на основе хэш-значений; проведение атак типа «отказ в обслуживании» DDoS; эксплуатация одной или нескольких выявленных уязвимостей и повышение привилегий; развитие атаки вплоть до получения максимального доступа к одному или нескольким критически важным ресурсам, таким как домен Active Directory корпоративной сети или СУБД.
Из технического задания видно, что в случае перебора паролей или использования DDoS-атак нагрузка на внутреннюю сеть может быть сильно увеличена. Правда, предполагается, что эти работы будут согласованы с заказчиком и проводиться по ночам или в выходные дни, однако граждане могут пользоваться мобильным приложением или порталом Москвы в любое время. Впрочем, в требованиях к качеству оказываемых услуг заказчик прописал не только соблюдение согласованных сроков проведения исследования, но и отсутствие случаев полной остановки или отказа в обслуживании информационных ресурсов и аппаратного обеспечения.
Следует отметить, что ранее аналогичные конкурсы уже проводились. В частности, в октябре 2022 года аналогичный тендер организовал сам ДИТ Москвы на сумму 284,6 млн рублей. Он предполагал оказание услуг в течении 600 дней и был выигран компанией «Визум». Кроме того, в 2015 году также ДИТ Москвы проводил тендер[2] на выбор поставщика услуг по анализу защищенности информационных систем, доступных из сети Интернет. Естественно, тогда стоимость была сильно ниже – всего 9,5 млн рублей – и победителем стало ЗАО «Национальный инновационный центр».
2022: ДИТ Москвы выбрал подрядчика для масштабного тестирования защищённости ИТ-систем
ДИТ Москвы заключил госконтракт с компанией «Визум» объёмом около 284,6 млн рублей на оказание услуг по анализу защищённости информационных систем, которые находятся в ведении департамента[3]. Информация об этом была опубликована в конце октября 2022 года на портале госзакупок. Срок выполнения работ - 600 дней, работы будут проводиться в несколько этапов в 2022-2024 гг.
В рамках проекта предстоит провести анализ защищенности с использованием доступа к информационным ресурсам и аппаратному обеспечению с учетом возможностей внешнего нарушителя, а также внутреннего нарушителя – с использованием доступа к информационным ресурсам и аппаратному обеспечению из локальных сетей. Помимо этого, требуется анализ защищенности беспроводной сети, информационных систем со стороны приложений для мобильных устройств и анализ защищенности элементов инфраструктуры ЦОД.
«Визум» должен выявить уязвимости информационных систем ДИТ Москвы, связанные с обеспечением ИБ и ошибками конфигурации компонентов ИТ-инфраструктуры, оценить текущий уровень защищенности ИТ-систем, доступных из интернета, и провести анализ текущего состояния защищенности периметра ЦОД.
Применяемые исполнителем средства и методики анализа защищённости должны быть предварительно согласованы с ДИТ Москвы и предусматривать проведение тестирования на проникновение нарушителя в информационные системы, в том числе методами социальной инженерии в случае необходимости, сказано в техзадании.
Тестирование на проникновения внешним нарушителем будет представлять собой практическую демонстрацию возможных сценариев атаки, позволяющих злоумышленнику обойти механизмы защиты системы и получить максимальные привилегии в ее критически важных компонентах. А тестирование на проникновение со стороны внутреннего нарушителя должно показать максимально возможный уровень доступа в критически важных компонентах инфраструктуры.
В техзадании сказано, что анализ защищённости ИТ-систем ДИТ Москвы проводит, чтобы снизить репутационные и технические риски, связанные с возможной недоступностью сервисов и целостностью информации ограниченного доступа, не содержащей сведения, составляющую гостайну, в связи с несанкционированным доступом.
Целями работ также указаны повышение эффективности расходования бюджетных средств на защиту информации посредством оценки эффективности применяемых мер ИБ и формирование программы мероприятий по повышению уровня защищенности городских информационных систем, оператором которых является ДИТ Москвы.
Наибольший объём расходов в рамках контракта предусмотрен на анализ защищённости с использованием доступа к информационным ресурсам и аппаратному обеспечению из локальных сетей, т.е. со стороны внутреннего нарушителя. На него приходится более 60% стоимости всего госконтракта.
Схожие услуги ДИТ Москвы закупал также в 2020 и 2021 гг., но тогда сроки оказания услуг, прописанные в техзаданиях, были короче – 345 и 300 дней соответственно. А начальная цена этих контрактов составляла около 150 и 167 млн рублей соответственно.
В обоих предыдущих случаях госконтракты по итогам тендеров также были заключены с «Визум», следует из информации на портале госзакупок. Впоследствии к ним заключались дополнительные соглашения, в соответствии с которыми увеличивался объём услуг и итоговые цены договоров.
По данным базы юрлиц «Контур.Фокус», «Визум» была образована в 2015 году. Там же содержится информация о 33 госконтрактах совокупным объёмом около 2,1 млрд рублей, заключенных с «Визум» разными организациями за всё время.
В 2021-м выручка компании составила около 409 млн рублей, а самым крупным её госконтрактом в том же году стал договор с ДИТ на услуги по анализу защищенности информационных систем. В 2022 году «Визум» заключила госконтракт с Минцифры объёмом около 337 млн рублей на проведение независимого анализа защищенности госинформсистем. А в 2018-м она участвовала в обеспечении кибербезопасности объектов Чемпионата мира по футболу.
Учредителями «Визум» выступают физлица, российские граждане – Тамара Иконникова и Маргарита Хохлова. Гендиректор компании – Александр Иконников. Он ранее был сотрудником «Инфосистемы Джет», где занимался работой с органами власти.
Александр Иконников рассказал TAdviser, что костяк команды «Визум» составляют эксперты в сфере информационной безопасности, обладающие многолетним опытом работы в отрасли. Исследователей отдела анализа защищённости он называет «особой гордостью компании, профессионалами высшего уровня, вошедшими в команду «Визум» из различных организаций».
Гендиректор «Визум» заявил TAdviser, что для исполнения контрактов с ДИТ Москвы и Минцифры у компании достаточно собственных ресурсов (инженеров анализа защищённости, аналитиков, методологов, административных сотрудников). По его данным, по состоянию на конец октября в компании работает 110 человек, и штат активно растёт.
Александр Иконников говорит, что преимущественно «Визум» работает с госсектором. Есть, контракты и с частными структурами, однако в силу специфики бизнеса компания не раскрывает детали своего сотрудничества с ними. Также, по его словам, в компании никогда не стремились к публичности и саморекламе.
Гендиректор «Визум» оценивает текущий уровень угроз для вычислительной инфраструктуры и информационных систем страны как высокий. Хакеры становятся всё изощрённее, атаки идут в постоянном режиме как из дальнего зарубежья, так и с территории сопредельных государств и со всех часовых поясов. Активно применяется социальная инженерия, удалённое заражение конечных устройств. Так как самое слабое звено любой безопасности, в том числе информационной – это человек, то в отношении него и сфокусированы все взломы.
 | Статистику конкретную - насколько выросло количество кибер-нападений - привести достаточно сложно, так как мы можем оперировать только теми атаками, которые обнаружили и отразили или предотвратили. Но даже то, что мы видим – с февраля 2022 года рост существенный, кратный, - отмечает Александр Иконников. - Именно поэтому на первый план сейчас выходит оперативный поиск уязвимостей, их устранение, разведка и расследование инцидентов, а также повышение уровня осведомленности государства и основных экономоператоров о характере актуальных угроз информационной безопасности. |  |
Примечания
