Зловред не пройдет!

В рамках развития новых цифровых сервисов и модернизации ИТ-инфраструктуры сеть автозаправочных комплексов «БРСМ-Нафта» преимущественно своими силами, при поддержке вендора, развернула новую систему информационной безопасности на базе шлюзов безопасности Check Point и новой гипермасштабируемой платформы Maestro.

Сеть АЗК «БРСМ-Нафта», представленная на укранском рынке около трех десятков лет, насчитывает 210 автозаправочных комплексов и 6500 штатных сотрудников. Согласно оценкам отраслевых экспертов, компания входит в тройку крупнейших импортеров бензина. Основным видом хозяйственной деятельности предприятия является розничная торговля автомобильным топливом. «БРСМ-Нафта» запустила первый в Украине формат полноценного супермаркета на АЗК. Сегодня работает уже 13 таких объектов, площадью около 300 кв. м и с ассортиментом, который превышает 5000 единиц. Чтобы сэкономить время, наши клиенты получили возможность делать покупки прямо по дороге домой.

В последние годы компания внедряет ряд стратегических изменений в своей деятельности, направленных на повышение качества и скорости обслуживания клиентов. К примеру, недавно появилась возможность покупать топливо через мобильное приложение BRSM Plus.

Разумеется, все это невозможно без надежной и безопасной ИТ-инфраструктуры. Поэтому для поддержки инициатив бизнеса, включая развитие системы лояльности и приложения для смартфонов, новых цифровых сервисов, обеспечение дистанционной работы части сотрудников и т.п., перед ИТ-департаментом «БРСМ-Нафта» и его руководителем, Вячеславом Шевчуком, встала задача модернизации инфраструктуры, включая системы информационной безопасности.

Поскольку в свое время компания, как многие другие в нашей стране, пострадала от атаки компьютерного вируса-вымогателя NotPetya, а также с учетом актуального ландшафта киберугроз, было принято решение строить новую систему информационной безопасности, основываясь на стандарте ISO 27001. Для этого требовалось внести изменения в организационную структуру ИТ-департамента, разработать и внедрить политики и правила работы с информационными системами предприятия, развернуть технические средства защиты информации и ограничения доступа и т. д.

«Разнородное каналообразующее оборудование, местами устаревшее технически и морально. Были вопросы к отказоустойчивой работе. Страдали сервисы, зависящие от внутренних каналов. Отсутствовали службы инспектирования трафика, — рассказывает Вячеслав Шевчук. — Поэтому начали мы с детального описания текущего состояния сетевой и серверной инфраструктуры, а потом приступили к их трансформации в соответствии с лучшими мировыми практиками. После квартала напряженной работы и реализации ряда проектов модернизации, мы пришли к целевой схеме сети и уже могли формулировать требования к системе кибербезопасности».

«БРСМ-Нафта» искала комплексное решение, которое позволило бы защитить всю инфраструктуру от сетевого периметра главных объектов до терминала оператора на АЗС. Также среди требований были возможность централизованного управления службами безопасности и гибкое масштабирование.

Круг претендентов из числа лидеров рынка Next Generation Firewall (NGFW) был очерчен на основании технических исследований экспертов независимой NSS Labs. Поскольку Вячеслав Шевчук убежден, что невозможно объективно оценить, как поведет себя то или иное решение в реальных условиях и на имеющейся инфраструктуре, одним из важных моментов при выборе оборудования стало проведение нагрузочных тестов в продуктивной среде. Что и было реализовано для двух лучших по цене предложений на тендерной площадке. Хотя это и забирает немало ресурсов, как со стороны заказчика, так и поставщиков. По итогам тестирования «БРСМ-Нафта» определила для себя оптимальное решение, максимально отвечающее всем требованиям. В результате выбор был сделан в пользу предложения Check Point.

«Для меня первоочередным приоритетом были технические возможности и надежность системы безопасности. Поскольку в случае блокирования критичных сервисов каким-нибудь шифровальщиком, потери бизнеса будут несоизмеримы с разницей в цене, — говорит Вячеслав Шевчук. — Кроме того, при выборе решения я оценивал его не только с точки зрения задач сегодняшнего дня, но и на обозримую перспективу».

«Мы шли в этот проект с нашим флагманским продуктом Maestro. Его особенность в том, что он позволяет гибко распределять ресурсы и масштабировать вычислительные мощности, а также обеспечивает высокую отказоустойчивость, — дополняет Герман Хохлов, инженер по безопасности представительства Check Point. — Идея заключалась в том, чтобы развернуть устройства, которые будут загружены на 30-50%. С учетом планов развития «БРСМ-Нафта», уже в перспективе нескольких лет они исчерпают свой запас мощности и тогда заказчик сможет по мере необходимости докупать шлюзы безопасности и добавлять их в кластер. А система будет автоматически балансировать нагрузку между всеми подключенными NGFW. Это одно из первых в Украине внедрений Maestro».

Для быстрой и качественной реализации проекта «БРСМ-Нафта» в первую очередь обучила своих сотрудников на сертифицированных курсах до уровня Check Point Certified Expert. Затем была создана команда из архитекторов и инженеров по управлению сетевой и серверной инфраструктурами, куда также вошли специалисты техподдержки. В результате фактически своими силами компания ввела в эксплуатацию NGFW и настроила все модули безопасности, включая удаленный доступ сотрудников к корпоративным ресурсам. Причем, благодаря предварительному нагрузочному тестированию решения с интеграцией в продуктивную среду, миграция на Check Point NGFW заняла всего около двух недель. И это с учетом согласований окон обслуживания (поскольку АЗК работают круглосуточно).

«Нужно отдать должное нашему партнеру, — отмечает Шевчук. — В процессе запуска у нас возникало немало вопросов. Порой, не имея опыта работы с конкретным оборудованием, сложно определить правильное направление для поиска решения. В таких случаях вендор всегда приходил нам на помощь и оперативно помогал. Например, на одном из начальных этапов, только устранив все ошибки на уровне Active Directory, мы смогли поднять интеграцию».

Реализация проекта внедрения Check Point NGFW позволила «БРСМ-Нафта» модернизировать архитектуру сети с точки зрения безопасности, стандартизировать и оптимизировать процессы администрирования ИТ-инфраструктуры, наладить отказоустойчивую связь между АЗК и ЦОД с шифрованием информации при ее передаче по открытым каналам, обеспечить защищенный удаленный доступ сотрудников.

«Построение защиты мы начали с периметра. В частности, перешли на новый VPN сервис, который позволяет устанавливать безопасное соединение с фильтрацией трафика, защитой от вирусов, ботов и шифровальщиков. Мы получили повышение производительности с одновременным снижением нагрузки на ИТ-персонал. В настоящее время мы завершаем развертывание защиты рабочих станций и ноутбуков. Затем планируем проработать безопасность мобильных устройств, потенциально имеющих доступ к конфиденциальной информации. Обеспечение ИБ — это кропотливая, непрерывная ежедневная работа», — считает Вячеслав Шевчук.

«Мы рады предоставить свои флагманские продукты компании «БРСМ-Нафта» и особенно ценим доскональный подход таких клиентов, в рамках которого при выборе решений для кибербезопасности во главу угла ставятся технические характеристики, эффективность и удобство в использовании, а не один лишь ценовой фактор, — комментирует внедрение Александр Савушкин, директор по развитию бизнеса компании Check Point Software Technologies в странах СНГ, Украине и Грузии. — Правильно построенный процесс и слаженная команда на стороне клиента играют решающую роль в быстрой и качественной интеграции, а также в том, как решение будет работать в будущем. И наши коллеги из «БРСМ-Нафта» справились с этими задачами на все 100%».