Как устроена киберзащита мобильного оператора: репортаж из киберцентра Turkcell
Мобильный оператор lifecell привез 11 украинских журналистов в главный офис компании Turkcell Group в Стамбуле, познакомил с руководством группы и показал центр оперативного управления турецкой мобильной сетью и центр кибербезопасности.
Ранее ЭП опубликовала интервью с владельцами lifecell и Turkcell. Не менее интересным опытом стало посещение центра операционного управления и центра кибербезопасности Turkcell.
Представители крупнейшего в Турции мобильного оператора показали, как следят за исправной работой огромной телекоммуникационной системы и как защищают ее от кибератак.
ЭП записала самые интересные факты, озвученные во время экскурсии.
Как выглядит центр управления Turkcell
Turkcell — крупнейший мобильный оператор в Турции. У него 36,7 млн абонентов, а всего в этой стране живет 79,5 млн человек. Оператор покрывает мобильной связью всю страну, площадь которой составляет 783 тыс км кв. Для сравнения: площадь Украины с оккупированными территориями равна 603 тыс км.
Специалисты Turkcell управляют телекоммуникационной сетью из операционного центра, расположенного в главном офисе оператора в азиатской части Стамбула. Центр управления представляет собой просторное помещение формата open space, главным элементом которого является огромная информационная панель — дашборд.
На панель в режиме реального времени выводятся ключевые данные о состоянии сети. Перед дашбордом сидят инженеры, которые отслеживают показатели и реагируют на инциденты, связанные с работой сети.
Дашборд позволяет визуализировать данные и сгруппировать их по смыслу на одном экране для более легкого визуального восприятия.
Центр операционного управления Turkcell. Видео автора
Крайний левый фрагмент панели выводит на микроэкраны ТВ-каналы, которые оператор транслирует абонентам через мобильное приложение TV Plus и сет-топ-боксы. Здесь собраны примерно 130 телеканалов, 90 из них работают в формате HD. Если что-то происходит с качеством трансляции одного из каналов, система отмечает его красным цветом.
По словам представителя Turkcell, в Турции существуют перебои с поставками электроэнергии, поэтому следующим по важности фрагментом дашборда является карта Турции, где желтым цветом отмечены базовые станции (БС), у которых в главном электрокабеле нет питания и они работают на резервном источнике.
Красным цветом отмечены неработающие БС, причем в центре управления не знают причину их неисправности. Для ее определения и устранения к БС должна выехать ремонтная бригада.
На нижний экран выводятся ключевые показатели работы мобильной сети, например, количество падений сегментов сети. Качество ее работы иллюстрируют три цвета: зеленый — штатная работа, желтый — проблемы, красный — критическое состояние.
На иллюстрации выделена часть города, где ряд факторов повлиял на снижение эффективности работы сети. Инженер может кликнуть на это место, и система покажет подробную информацию о факторах, повлиявших на работу сети.
Для отслеживания стамбульской городской агломерации на дашборд выводят отдельную карту. В верхнем левом углу выведена информация, сколько у Turkcell БС 2G, 3G, 4,5G и сколько из них не работает или работает в аварийном режиме.
Немало БС работает только в летний туристический сезон. Таких станций больше 100 штук.
О стабильности работы телекоммуникационной сети говорит количество обращений абонентов в колл-центр. Если текущий показатель превышает среднюю норму, это сигнал инженерам.
Дашборд также показывает объем дата-трафика голосовых сервисов по регионам, провинциям, городам. Рост трафика отображается зеленым цветом, падение — красным.
Оптоволоконная сеть Turkcell подсоединена к телеком-инфраструктуре Google, Facebook, Deutsche Telekom и других компаний, чтобы свести к минимуму уровень задержки передачи сигнала между абонентами и сервисами этих компаний. Это популярная практика среди мобильных операторов, потому что такое решение разгружает сеть передачи данных.
Отдельный сегмент дашборда посвящен абонентам фиксированного интернета, которых у Turkcell более 1,3 млн. Часть из них подключена по технологии DSL, а часть — по оптоволокну. Оператор заявляет, что абоненты могут подключиться на скорости до 1 Гбит/с.
Затем специалисты оператора повели журналистов в центр кибербезопасности, запретив вести фото- и видеосъемку.
Центры кибербезопасности Turkcell
В целом к обеспечению кибербезопасности Turkcell причастны примерно 130 человек. Непосредственно в Центре кибербезопасности работают 24 человека.
Центр состоит из нескольких департаментов. Один занимается защитой телекомсистемы, другой — защитой корпоративных клиентов, еще есть лаборатория, где расследуют киберпреступления.
Украинским журналистам показали департамент по защите телекомсистемы оператора.
"Раньше существовали два типа компаний: те, которые будут взломаны, и те, которые уже взломаны, — рассказывает директор по управлению технологиями и безопасностью Turkcell Феридун Акташ. — Сегодня существуют другие типы компаний: "хакнутые", которые об этом знают, и "хакнутые", которые об этом еще не знают.
Невозможно утверждать, что мы на 100% защищены от кибератаки. Если кто-то вам об этом говорит, то это ложь. Все, что мы можем делать, — это идентифицировать атаку и мгновенно на нее реагировать".
Акташ показывает журналистам дашборд киберзащиты. Он структурирован подобно дашборду по управлению сетью, однако его размеры меньше примерно в три раза. На одном из экранов дашборда визуализирована воронка киберугроз.
Каждый день автоматический алгоритм анализирует более 3,5 млрд неперсонализированных логов абонентов оператора и в результате анализа посылает 500-600 аварийных сигналов. На момент экскурсии система послала 265 сигналов тревоги.
Каждый такой сигнал система автоматически подвергает более глубокому анализу. В результате она каждый день выдает специалистам киберцентра три-четыре инцидента, которые требуют вмешательства человека.
Примечательно, что все дашборды — это внутренняя разработка Turkcell, причем некоторые из дашбордов полностью лицензированы.
Четыре года назад, когда был запущен киберцентр, и информационная система киберзащиты только разрабатывалась, время реакции специалистов на критические инциденты могла достигать 30 дней. Сейчас время реакции составляет 3 минуты и продолжает уменьшаться.
На дашборд выводятся результаты анализа трафика всей телекоммуникационной сети Turkcell.
Специалисты центра киберзащиты в режиме реального времени видят попытки распространения вредоносных программ, интенсивность и цели DDoS-атак, случаи, когда один из более 4 тыс сотрудников Turkcell неправильно вводят пароль доступа к программным комплексам мобильного оператора.[BANNER1]
На отдельный экран выводятся топ-5 стран, с территории которых идут атаки. Каждая страна отображена в процентном соотношении по количеству атак, которые идут с ее территории. В топе с большим отрывом от остальных находятся Китай и Россия.
"Это не сами страны, а операторы, потому что атаки идут через операторов, — объясняет Акташ. — Это показатель за последний день (Акташ показывает на фрагмент дашборда, посвященный атакующим странам. — ЭП). Китай и Россия — это норма. Если говорить о том, кто хочет "слушать" весь мир, то это Китай, Россия, Германия, Великобритания и США".
Отдельный фрагмент дашборда посвящен мониторингу кибербезопасности VIP-персон Turkcell Group, которых больше сотни. Это весь руководящий состав телекоммуникационной компании, они часто являются мишенями для атак. Ситуацию усугубляет то, что они используют много разных устройств.
Отдельно выведена новостная лента, которая отслеживает информацию о киберинцидентах из социальных сетей и новостных источников. В топ ленты выводятся сообщения, где есть ключевые слова, связанные с Turkcell.
Где берут киберспециалистов и сколько они зарабатывают
Акташ говорит, что на рынке труда Турции существует дефицит специалистов в сфере кибербезопасности. Он отказался назвать размер зарплаты таких специалистов, которые работают в Turkcell, но отметил, что они зарабатывают на 50% больше любого IT-специалиста среднего уровня.[L]
Существует еще одна трудность с поиском специалистов в сфере кибербезопасности: такие люди должны быть гражданами Турции.
В отличие от найма обычных IT-специалистов, когда границы стран не имеют значения, в найме "киберспециалистов" огромное значение имеет доверие. "Это самая важная вещь для кждой страны", — подчеркивает Акташ.
По этой причине в Турции три года назад появилась инициатива "Киберлагерь". В него может попасть любой гражданин Турции, который отучился в университете не менее двух курсов.
Ежегодно в лагерь подаются 2-3 тыс человек. Они проходят четыре-пять этапов экзаменов и интервью, отбор очень жесткий. За три года лагерь выпустил более 100 специалистов.
В конце обучения участники "Киберлагеря" попадают на две недели в отель, откуда не могут выходить. В течение этого времени они проходят множество тренинговых программ, соревнований и затем сдают финальный экзамен. Часть выпускников идет работать в Turkcell, часть — в другие компании.