Шаг к киберустойчивости: «Почта России» завершила первую фазу масштабного проекта с участием лидеров рынка ИБ

«Почта России» совместно с ГК «Солар», «Лабораторией Касперского», Positive Technologies и «Инфосистемы Джет» завершила первую фазу 3-летнего проекта по построению киберустойчивой инфраструктуры. Внедрено более 30 подсистем кибербезопасности и реализованы ключевые механизмы защиты, проведены киберучения, по итогам которых корректируются защитные меры. Над проектом работает свыше 250 экспертов по кибербезопасности из 22 ИБ-компаний, а общие трудозатраты по проекту уже составили около 100 человеко-лет.

Старт активной фазы проекта построения киберустойчивой инфраструктуры «Почты России» был объявлен в июне 2025 г. В России это первый пример масштабной кооперации лидеров рынка информационной безопасности. Его цель — обеспечить защиту стратегически важной инфраструктуры, которая за 3 года реализации проекта должна охватить 38 тысяч отделений, 3 центра обработки данных, 11 логистических почтовых центра (ЛПЦ), 28 объектов критической инфраструктуры и более 100 тысяч рабочих станций. Программа проектов направлена на предотвращение киберугроз, обеспечение непрерывности работы логистических центров и защиту персональных данных миллионов клиентов.

В ходе первой фазы проекта был сформирован комплекс подсистем обеспечения ИБ, готовый к дальнейшему тиражированию на всю инфраструктуру Почты. ГК «Солар», как генеральный архитектор программы проектов, разработала единую процессную и архитектурную модель, обеспечила координацию всех участников и контроль работ. Positive Technologies обеспечила результативную кибербезопасность корпоративного сегмента, внедрив решения для мониторинга, управления уязвимостями и защиты от целевых атак. «Лаборатория Касперского» сосредоточилась на кибербезопасности логистических центров, интегрировав подсистемы для защиты технологического оборудования и частично для корпоративного сегмента.

По завершении работ в рамках первой фазы проведена независимая верификация достигнутых результатов в формате киберучений. Компания «Инфосистемы Джет», имитируя атаку профессиональных злоумышленников, выявила в том числе новые сценарии стратегических рисков, при этом вредоносное ПО оперативно устранялось командами защиты.

Роман Шапиро

руководитель дирекции информационной безопасности АО «Почта России»

«Мы завершили первый этап масштабной трансформации кибербезопасности Почты, которая после завершения ее тиражирования позволит нам обеспечить надежную защиту инфраструктуры, критически важной для миллионов граждан и бизнеса. Выбранный нами подход к реализации стал уникальным примером кооперации лидеров рынка ИБ, и его результаты показывают высокую эффективность. Мы уверены, что дальнейшая реализация программы позволит нам достичь уровня зрелости, необходимого для предотвращения любых сценариев реализации стратегических рисков Общества».

Архитектура комплексной кибербезопасности

ГК «Солар», генеральный архитектор программы проектов, разработала единую процессную и архитектурную модель, которая позволяет не просто интегрировать все подсистемы защиты, но и удерживать фокус на главной цели — киберустойчивости инфраструктуры «Почты России».

Первоначально эксперты «Солара» провели оценку уровня зрелости ИБ «Почты России», зафиксировали целевые значения по годам. Была сформирована единая архитектурная модель: определены все подсистемы, их взаимосвязи, степень интеграции и автоматизации. Проектный офис генерального архитектора, включающий 15 экспертов, проработал 65 частных технических заданий (из 66 запланированных), окончательно определив облик будущего ИБ-ландшафта. Помимо этого, под руководством экспертов, сформировано и утверждено 26 технических проектов и других отчетных материалов – в общей сложности 350 тысяч страниц документации. На данный момент успешно реализован уже 121 из 324 намеченных этапов и развернуто более 30 подсистем. Управление информационной безопасностью централизовано в едином окне IRP/SGRC/SOAR: разработаны метрики и дашборды, которые позволяют в режиме реального времени отслеживать состояние всей комплексной системы обеспечения информационной безопасности и принимать оперативные меры.

Для проведения верификации был выбран независимый подрядчик, который явно замотивирован на результат – реализация каждого отдельного сценария стратегического риска оплачивается отдельно. Для эффективной совместной работы команд в ходе киберучений эксперты «Солара» предусмотрели этап слаживания и отработки взаимодействия между различными подрядчиками, двумя службами мониторинга и реагирования на стороне Positive Technologies и «Лаборатории Касперского», а также SOC Почты России. Кроме того, в преддверии киберучений команда генерального архитектора совместно с ключевыми подрядчиками сформировала требования к харденингу ИТ-инфраструктуры, произвела донастройку политик и средств защиты, расширила зону покрытия для максимально эффективного детектирования угроз и настроила автоматизацию в подсистеме IRP.

Антон Ефимов

директор департамента архитектуры стратегических проектов, ГК «Солар»

«Каждый подрядчик в проекте силен в своей зоне компетенции, и это позволяет достичь синергии. Однако при построении киберустойчивости такой масштабной инфраструктуры ключевой вызов не во внедрении большого числа готовых решений, а в том, чтобы не потерять фокус на главной цели – формировании реальной работающей защиты, устойчивой к современным угрозам. Наша ключевая задача как генерального архитектора – обеспечить единую точку управления и координации всех процессов, а при необходимости – корректировать намеченную траекторию, чтобы достичь результата. И такие корректировки, конечно, требуются – ведь мы все, участники проекта, по сути, вырабатываем эталонный подход к практической ИБ для крупных инфраструктур – такого в нашей стране до сих пор не делалось. Именно поэтому проект уникален и значим для всей отрасли».

Корпоративный сегмент

Построение результативной кибербезопасности корпоративного сегмента обеспечивают 76 специалистов компании Positive Technologies. Созданный комплекс обеспечения ИБ включает в себя подсистемы мониторинга событий ИБ (MaxPatrol SIEM), подсистему управления уязвимостями (MaxPatrol VM), подсистему защиты конечных устройств от целевых атак (MaxPatrol EDR) и подсистему поведенческого анализа сетевого трафика для обнаружения скрытых кибератак (PT NAD). Подсистема мониторинга событий ИБ в корпоративном сегменте после ее полномасштабного развертывания к концу 2027 года станет крупнейшим внедрением российской SIEM-системы. Также специалисты Positive Technologies разработали более 170 рекомендаций по усилению защиты ИТ-инфраструктуры и операционных систем, харденингу «золотых образцов» (безопасно преднастроенных систем, готовых для развертывания) для рабочих станций.

Во время киберучений команда экспертного центра кибербезопасности (PT Expert Security Center, PT ESC) осуществляла мониторинг ИБ, расследование киберинцидентов и, частично, реагирование на кибератаки. Поддержку 24/7 обеспечивали 34 специалиста компании, включая экспертов по форензике. В рамках киберучений команда PT ESC проанализировала свыше 4 тыс. событий, около 1,4 тыс. были квалифицированы как действия «красной» команды. Из них около 100 инцидентов были признаны критическими – для их нейтрализации был выстроен отдельный канал коммуникации с руководством SOC Почты России. Полученный в ходе киберучений опыт будет использоваться для дальнейшей автоматизации, чтобы к следующим этапам справляться той же командой с кратно возрастающим числом задач.

Алексей Трипкош, директор по результативной кибербезопасности Positive Technologies: «Построить защиту в масштабах инфраструктуры Почты России и предусмотреть все крайне сложно, важно корректировать свои действия исходя из знаний об узких местах, которые и определяются после проверки защищенности белыми хакерами. Уверенность в том, что не случится недопустимое, возможна только в случае регулярной проверки. Я уверен, что в конечном итоге в России мы придем к проверке защищенности в формате кибериспытаний с определением стоимости взлома».

Логистический сегмент

«Лаборатория Касперского» обеспечила кибербезопасность производственного контура — сортировочного оборудования и автоматики для 3 крупнейших ЛПЦ Московского региона. В проекте задействована команда из более 100 специалистов разных направлений: инженеры, руководители проектов, разработчики, архитекторы, исследователи технологического оборудования. Эксперты провели анализ защищенности, выработали меры защиты, обеспечили hardening ОС и ПО (настройки ОС и ПО, направленные на противодействие киберугрозам) и внедрили средства защиты «Лаборатории Касперского» для технологического сегмента.

Была обеспечена видимость сетевого трафика и взаимодействий между компонентами ЛПЦ, что позволило выявлять аномалии и минимизировать риски горизонтального перемещения угроз. Также развернута всеобъемлющая защита рабочих мест — как в ЛПЦ, так и в корпоративном сегменте. Средства защиты ЛПЦ подключены к единому центру управления кибербезопасностью (SOC), что обеспечивает видимость и оперативное реагирование на инциденты.

Марина Усова

директор по корпоративным продажам «Лаборатории Касперского» в России

«За последние месяцы наша команда проделала большую работу, которая, несомненно, внесёт вклад в дальнейшее развитие проекта и принесёт пользу всей отечественной ИБ-отрасли. „Почта России“ обладает масштабной инфраструктурой: это и технологическая сеть логистических центров с уникальным оборудованием, и различное проприетарное ПО, и другие важные элементы. Нам было необходимо не только разобраться в них в сжатые сроки, но и выстроить качественную систему защиты, с чем наши специалисты успешно справились. Отдельно отмечу, что на первом этапе все работы велись поэтапно с тщательным тестированием. Это позволило соблюсти высокие требования к бесперебойности и запустить системы защиты без какого-либо влияния на функционирование самих ЛПЦ».

Проверка итогов киберучениями

Для отладки механизмов защиты и мониторинга в завершение первой фазы проекта компания «Инфосистемы Джет» провела верификацию достигнутых результатов в формате киберучений. Около месяца команда из 12 специалистов разного профиля имитировала целевую кибератаку от продвинутых злоумышленников. Проверялись все доступные извне векторы: физический контур, беспроводные сети, внешний сетевой периметр (включая веб-ресурсы), человеческий фактор (социальная инженерия). Сначала весь сетевой периметр и веб-ресурсы были проверены на известные критичные уязвимости, затем начались поиски ранее неизвестных уязвимостей.

В рамках проверки взлома с физическим проникновением на объект были осуществлены даже такие специфические сценарии атаки, как хищение жесткого диска из доступного компьютера в отделении Почты, а также установка скрытого микрокомпьютера с удаленным доступом в атакуемую сеть.

В социальной инженерии применяли 5 различных техник обмана пользователей, в том числе вредоносные вложения в фишинговые письма и поддельные формы ввода учетных данных.

Команда нападающих успешно реализовала более 10 вредоносных сценариев (из 37, выделенных на начальном этапе проекта), а также 4, о которых ранее сторона защиты не догадывалась. На основе этих находок оперативно были внесены соответствующие корректировки в подходы к мониторингу и защите.

Андрей Янкин

директор центра информационной безопасности, «Инфосистемы Джет»

«В процессе киберучений мы наблюдали активнейшее противодействие со стороны команд защиты и SOC. Это заставило нас работать скрытно: маскироваться под легитимную активность пользователей, использовать распространенные средства администрирования для работы на взломанных машинах, медленно перебирать учетные данные пользователей и т.п. В то же время в моменты активной реализации вредоносных сценариев для нейтрализации и выматывания сопротивляющейся команды защитников мы применяли отвлекающие шумные атаки на периметр и блокировку учётных записей защитников намеренным грубым перебором паролей. За время проведения киберучений среднее время реагирования на атаки заметно снизилось, что свидетельствует о более точной настройке алгоритмов обнаружения и реагирования».

Завершение первой фазы проекта — важный шаг к достижению киберустойчивости инфраструктуры «Почты России». Впереди — дальнейшая реализация запланированных этапов, интеграция новых подсистем защиты и регулярное тестирование системы на устойчивость к киберугрозам.