«Почта России» в партнерстве с ГК «Солар», «Лабораторией Касперского», Positive Technologies и «Инфосистемы Джет» завершила начальный этап трехлетней программы по созданию защищенной от киберугроз инфраструктуры. Было внедрено свыше 30 компонентов системы безопасности и запущены основные защитные механизмы, а также организованы тренировки по отражению кибератак, по итогам которых совершенствуются оборонительные стратегии. В проекте участвуют более 250 специалистов по информационной безопасности из 22 профильных компаний, а совокупные трудозатраты уже приблизились к 100 человеко-годам.
Активная стадия проекта по формированию киберустойчивой инфраструктуры «Почты России» была официально запущена в июне 2025 года. Целью партнерства является защита стратегически значимых объектов, которая в течение трех лет реализации программы распространится на 38 тысяч отделений, 3 центра обработки данных, 11 логистических почтовых центров (ЛПЦ), 28 объектов критической инфраструктуры и более 100 тысяч рабочих мест. Программа нацелена на противодействие цифровым угрозам, поддержание бесперебойной работы логистических узлов и сохранность персональных данных миллионов пользователей.
В рамках первого этапа был создан комплекс подсистем информационной безопасности, подготовленный к последующему развертыванию на всех объектах «Почты». ГК «Солар», выступая генеральным архитектором программы, разработала унифицированную процессную и архитектурную модель, обеспечила координацию между всеми участниками и контроль за выполнением работ. Positive Technologies реализовала эффективную защиту корпоративного сегмента, внедрив решения для мониторинга, контроля уязвимостей и противодействия целевым атакам. «Лаборатория Касперского» сфокусировалась на безопасности логистических центров, интегрировав компоненты для защиты технологического оборудования и части корпоративной сети.
По окончании работ первой фазы была проведена независимая проверка достигнутых результатов в формате киберучений. Специалисты компании «Инфосистемы Джет», моделируя действия профессиональных злоумышленников, выявили, в том числе, новые сценарии стратегических рисков, при этом вредоносное программное обеспечение оперативно нейтрализовалось защитными командами.
Роман Шапиро, руководитель дирекции информационной безопасности «Почты России», отметил: «Мы завершили начальную стадию масштабного преобразования системы кибербезопасности «Почты», которое после полного внедрения позволит гарантировать надежную защиту инфраструктуры, имеющей критическое значение для миллионов граждан и компаний. Избранный нами подход к реализации стал уникальным образцом сотрудничества ведущих игроков рынка ИБ, и его итоги демонстрируют высокую результативность. Мы убеждены, что продолжение программы позволит достичь уровня зрелости, необходимого для предотвращения любых потенциальных сценариев реализации стратегических угроз для общества»
Группа компаний «Солар», выступающая генеральным архитектором программы, создала унифицированную процессную и архитектурную модель. Эта модель обеспечивает не только интеграцию всех защитных подсистем, но и постоянную концентрацию на ключевой задаче — достижении киберустойчивости ИТ-инфраструктуры «Почты России».
На первом этапе специалисты «Солар» выполнили оценку уровня зрелости системы информационной безопасности (ИБ) «Почты России» и установили целевые показатели на ближайшие годы. Была разработана целостная архитектурная модель, в рамках которой определены все подсистемы, их взаимосвязи, а также степень интеграции и автоматизации. Проектный офис генерального архитектора, в состав которого вошли 15 экспертов, подготовил 65 из 66 запланированных частных технических заданий, окончательно сформировав вид будущего ландшафта информационной безопасности. Кроме того, под руководством экспертов было разработано и согласовано 26 технических проектов и иных отчетных документов общим объемом около 350 тысяч страниц. На текущий момент успешно завершены 121 из 324 запланированных этапов, а также развернуто свыше 30 защитных подсистем. Управление информационной безопасностью централизовано в единой платформе IRP/SGRC/SOAR: созданы метрики и панели мониторинга, позволяющие в реальном времени отслеживать состояние всей комплексной системы ИБ и оперативно принимать необходимые меры.
Для независимой верификации был привлечен внешний подрядчик, чья финансовая мотивация напрямую зависит от результата — оплата производится отдельно за каждый реализованный сценарий стратегического риска. Чтобы обеспечить слаженную работу всех команд в ходе киберучений, эксперты «Солар» предусмотрели специальный этап для отработки взаимодействия между различными подрядчиками, двумя службами мониторинга и реагирования (Positive Technologies и «Лаборатория Касперского»), а также SOC «Почты России». Помимо этого, перед началом учений команда генерального архитектора совместно с ключевыми партнерами сформировала требования к усилению защиты (харденингу) ИТ-инфраструктуры, выполнила дополнительную настройку политик и средств безопасности, расширила зону контроля для максимально эффективного обнаружения угроз и настроила автоматизацию в подсистеме IRP.
Антон Ефимов, директор департамента архитектуры стратегических проектов ГК «Солар», отметил: «Каждый участник проекта обладает экспертизой в своей области, что создает мощный синергетический эффект. Однако при обеспечении киберустойчивости столь масштабной инфраструктуры основная сложность заключается не в количестве внедряемых готовых инструментов, а в сохранении концентрации на ключевой цели – создании действенной системы защиты, способной противостоять современным угрозам. Наша роль как генерального архитектора – обеспечить единый центр управления и координации всех процессов, а также при необходимости корректировать план для достижения поставленного результата. Такие корректировки действительно нужны, поскольку мы, все вовлеченные стороны, фактически разрабатываем эталонный практический подход к информационной безопасности для крупных инфраструктур – подобного в России еще не реализовывали. Именно это делает проект уникальным и значимым для всей отрасли».
Эффективную кибербезопасность корпоративного сегмента обеспечивают 76 специалистов компании Positive Technologies. Развернутый комплекс защиты включает подсистемы мониторинга инцидентов ИБ (MaxPatrol SIEM), управления уязвимостями (MaxPatrol VM), защиты конечных точек от целевых атак (MaxPatrol EDR), а также подсистему поведенческого анализа сетевого трафика для выявления скрытых кибератак (PT NAD). После полного развертывания к концу 2027 года система мониторинга событий ИБ в корпоративном сегменте станет крупнейшей российской реализацией SIEM-решения. Кроме того, эксперты Positive Technologies подготовили свыше 170 рекомендаций по усилению защиты ИТ-инфраструктуры и операционных систем, а также выполнили харденинг «золотых образов» (безопасно настроенных систем, готовых к развертыванию) для рабочих станций.
В ходе киберучений команда экспертного центра кибербезопасности (PT Expert Security Center, PT ESC) осуществляла мониторинг информационной безопасности, расследование инцидентов и частично – реагирование на атаки. Круглосуточную поддержку обеспечивали 34 специалиста компании, включая экспертов по киберфорензике. В рамках учений команда PT ESC проанализировала более 4 тысяч событий, из которых около 1,4 тысяч были классифицированы как действия «красной» команды. Приблизительно 100 инцидентов были оценены как критические – для их нейтрализации был организован отдельный канал связи с руководством SOC «Почты России». Полученный опыт будет использован для дальнейшей автоматизации процессов, чтобы на следующих этапах та же команда могла эффективно справляться с существенно возросшим объемом задач.
Алексей Трипкош, директор по эффективной кибербезопасности Positive Technologies, отметил: «Создать комплексную защиту для инфраструктуры такого масштаба, как у «Почты России», и учесть все возможные сценарии — задача высочайшей сложности. Ключевое значение имеет способность адаптировать стратегию, опираясь на данные об уязвимых местах, которые как раз и выявляются в ходе аудита безопасности, проводимого этичными хакерами. Уверенность в предотвращении критических инцидентов может быть достигнута только через регулярное тестирование. Я убеждён, что в России мы в итоге придём к модели киберучений, в рамках которых будет оцениваться стоимость потенциального взлома системы».
«Лаборатория Касперского» реализовала проект по защите производственного контура — сортировочных комплексов и систем автоматизации для трёх крупнейших логистических почтовых центров в Московском регионе. В работе участвовала команда свыше 100 экспертов различных специализаций: инженеры, проектные менеджеры, разработчики, архитекторы и аналитики технологического оборудования. Специалисты выполнили оценку уровня защищённости, разработали комплекс защитных мер, провели харденинг операционных систем и приложений (настройку ОС и ПО для противодействия кибератакам) и внедрили продукты «Лаборатории Касперского», предназначенные для технологических сегментов.
Была обеспечена полная наблюдаемость за сетевым трафиком и взаимодействиями между компонентами ЛПЦ, что позволило оперативно обнаруживать аномальную активность и снизить риски lateral movement угроз. Также развёрнута комплексная защита рабочих станций — как в пределах логистических центров, так и в корпоративной сети. Средства защиты ЛПЦ интегрированы с единым центром управления информационной безопасностью (SOC), что гарантирует видимость событий и позволяет быстро реагировать на инциденты.
Марина Усова, директор по корпоративным продажам «Лаборатории Касперского» в России, прокомментировала: «За прошедшие месяцы наша команда провела масштабную работу, результаты которой, безусловно, послужат развитию проекта и принесут пользу всей российской индустрии информационной безопасности. Инфраструктура «Почты России» отличается значительным размахом: это и технологическая сеть логистических центров со специфичным оборудованием, и разнообразное проприетарное программное обеспечение, и другие критически важные элементы. Нам требовалось не только быстро в них разобраться, но и построить надёжную систему защиты, что наши специалисты успешно выполнили. Особо подчеркну, что на начальном этапе все работы велись последовательно, с детальным тестированием каждого шага. Такой подход позволил выполнить строгие требования к бесперебойности работы и внедрить защитные решения, никак не повлияв на функционирование самих логистических центров».
На завершающем этапе первого этапа проекта компания «Инфосистемы Джет» организовала киберучения, чтобы протестировать и отладить механизмы защиты и мониторинга. В течение примерно месяца группа из 12 экспертов различных специализаций моделировала целенаправленную кибератаку, будто бы исходящую от опытных злоумышленников. Были проверены все возможные внешние векторы: физическая безопасность, беспроводные каналы связи, внешний сетевой периметр (включая веб-активы), а также человеческий фактор через методы социальной инженерии. Изначально весь сетевой периметр и веб-ресурсы были просканированы на наличие известных критических уязвимостей, после чего начался поиск потенциально новых, ранее не выявленных слабых мест.
В ходе проверки сценариев с физическим доступом на объект были реализованы даже такие нестандартные атаки, как изъятие жёсткого диска из доступного компьютера в почтовом отделении, а также скрытая установка микрокомпьютера с возможностью удалённого доступа во внутреннюю сеть.
В рамках социальной инженерии применялись пять различных методик обмана сотрудников, включая рассылку фишинговых писем с вредоносными вложениями и создание поддельных форм для сбора учётных данных.
Атакующая команда успешно выполнила более 10 вредоносных сценариев (из 37, запланированных в начале проекта), а также 4 дополнительных, о которых защищающаяся сторона изначально не подозревала. На основе этих результатов были оперативно внесены необходимые изменения в подходы к мониторингу и защите инфраструктуры.
Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет», прокомментировал: «В ходе киберучений мы столкнулись с активным и грамотным противодействием со стороны команд защиты и SOC. Это вынудило нас действовать скрытно: маскировать активность под обычные действия пользователей, применять стандартные средства администрирования на скомпрометированных машинах, методично подбирать учётные данные. Одновременно, для отвлечения внимания и изматывания обороняющихся в ключевые моменты реализации атак, мы использовали шумные отвлекающие атаки на периметр и намеренную блокировку учётных записей защитников путём грубого перебора паролей. За время учений среднее время реагирования на инциденты значительно сократилось, что говорит о более точной настройке систем обнаружения и алгоритмов реагирования».
