Использует Start AWR c 2020 года
Чистая прибыль: 147,5 млрд руб. (2024)
Сотрудники: 61 000+
Компания также поставляет электроэнергию в Казахстан, Китай, Монголию, Турцию, Киргизию, Азербайджан и Беларусь. В состав объектов Интер РАО входят 41 тепловая электростанция, 18 энергосбытовых компаний и 10 гидроэлектростанций.
ПАО «Интер РАО» — российская энергетическая компания, которая снабжает страну тепловой и электрической энергией и остается единственным оператором экспорта и импорта электроэнергии в РФ.

Как субъект КИИ «Интер РАО» повышает кибербезопасность через ITSM-интеграции

10 минут
Логотип «Интер РАО»
Результаты
98% сотрудников получили положительную оценку уровня защищенности и теперь:
в 4 раза реже переходят по фишинговым ссылкам,
в 2 раза чаще сообщают о подозрительных ситуациях и возможных целевых атаках,
в 3 раза реже вводят логины и пароли на фишинговых сайтах.
Решение
Внедрили Start AWR для обучения сотрудников и тренировки навыков защиты от цифровых атак.
Интегрировали платформу Start AWR с Naumen Service Desk, ITSM-продуктом, который компания использует для обработки тикетов.
Задача
Помочь сотрудникам оперативно распознавать кибератаки и сообщать о них службе безопасности — повысить осведомленность в ИБ у 43 000 сотрудников дочерних компаний в России, настроить систему для быстрой обработки уведомлений от работников, которая поможет классифицировать и анализировать атаки.

Как мы интегрировали Start AWR с Naumen Service Desk

Интер РАО обратилась в Start X, чтобы повысить уровень осведомленности 43 тысяч сотрудников всех дочерних обществ в России. Было важно, чтобы сотрудники замечали цифровые атаки и сообщали о них в службу безопасности.

Служба ИБ хотела настроить работу с уведомлениями от сотрудников — получать их максимально быстро, добавлять свои комментарии, распределять их по реальным и учебным атакам с помощью токенов. Все уведомления специалисты по безопасности хотели собирать в одной системе, чтобы анализировать и принимать по ним решения.

Сначала Интер РАО внедрил Start AWR — платформу для автоматизированного непрерывного обучения и тренировки навыков по информационной и физической безопасности. В Start AWR можно назначать сотрудникам обучение и отработку навыков по защите от цифровых атак, а команде ИБ — управлять цифровым иммунитетом компании, кастомизировать курсы и целевые имитированные атаки.

Затем Интер РАО интегрировал Start AWR с Naumen. С 2013 года компания использует ITSM-продукт Naumen Service Desk для отработки тикетов. Чтобы сотрудники оповещали команду ИБ об атаках по электронной почте, специалисты Start AWR настроили передачу данных с платформы в Service Desk с помощью API.
Start AWR можно интегрировать c ITSM, SIEM, IDM и другими платформами, используемыми в КИИ
Мы настроили интеграцию так, чтобы каждое оповещение сотрудника о подозрительных письмах в Naumen автоматически фиксировалось как безопасное действие в Start AWR и влияло на рейтинг сотрудника.

Получите доступ к тре­нажеру противодействия актуальным цифровым атакам

Это практический курс Start AWR, который поможет сотрудникам распознавать фишинговые письма и безопасно на них реагировать
Скриншот интерфейса тренажёра

Что получилось после интеграции Start AWR c Naumen

За полгода использования Start AWR в связке с Naumen Service Desk интегральная оценка защищенности всей компании от угроз человеческого фактора выросла с критической до средней.

Больше половины сотрудников перестали переходить по фишинговым ссылкам и скачивать вложения в имитированных атаках:
Источник: график из отчета об эксплуатации системы для Интер РАО
В три раза сократилось количество сотрудников, которые дали доступ к своему аккаунту, введя свой пароль на имитированной фишинговой странице:
Источник: график из отчета об эксплуатации системы для Интер РАО
В четыре раза сократилось количество сотрудников, которые переходят по опасным фишинговым ссылкам в имитированных атаках:
Источник: график из отчета об эксплуатации системы для Интер РАО
В два раза чаще сотрудники сообщают об имитированных атаках, пересылая письма в ИБ:
Источник: график из отчета об эксплуатации системы для Интер РАО
Работники стали сообщать о подозрительных письмах без усилий команды ИБ. Служба ИБ может собирать уведомления и по реальным атакам, анализировать данные и на их основе обновлять процессы реагирования на инциденты.

В Интер РАО увидели связь между навыками и опасными действиями в имитированных атаках. Сотрудники дочерних компаний, которые плохо проходили обучение, в два-три раза чаще переходили по ссылкам в имитированных фишинговых атаках:
Источник: график из отчета об эксплуатации системы для Интер РАО

Как нам это удалось

Мы настроили токены, прописали правила и сняли нагрузку с отдела ИБ. Сотруднику достаточно переслать подозрительное письмо на адрес электронной почты службы ИБ — система зачислит баллы за бдительность и распределит письмо. Уведомления по реальным атакам попадают в отдел ИБ, а по имитированным атакам — фиксируются в AWR.
Источник: график из отчета об эксплуатации системы для Интер РАО
Как мы автоматизировали процесс с помощью ITSM-продукта:
  1. Чтобы система Naumen распознавала имитированные фишинговые атаки, мы добавили в письма специальный тег.
  2. В Naumen создали правило, которое проверяет тело запроса на наличие тега. Если тег есть, Naumen берет токен пользователя из фишинговой ссылки в письме вида: /payload/openLink/?token={token}. Если токена нет, то она потенциально реальная, и специалист ИБ ее обрабатывает согласно регламентам.
  3. Naumen отправляет POST-запрос по API в адрес Start AWR по типу: COMPANY.RU/payload/reportMail?token={token}.
  4. Start AWR автоматически присваивает пользователю статус «Сообщил об атаке», который влияет на рейтинг защищенности сотрудника.
  5. Naumen категоризирует запрос, отправляет ответ пользователю и закрывает запрос.
В таком сценарии ITSM-продукт не переправляет письмо специалистам ИБ и не отвлекает их, а автоматически направляет сотруднику ответное письмо с благодарностью за уведомление.

Служба ИБ может запросить доступ к базе уведомлений от пользователей через API и обмениваться данными с другими компаниями. Еще через API мы можем интегрировать Start AWR c Security Email Gateway, чтобы блокировать электронные адреса отправителей или ссылки на фишинговые сайты.

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.