ИБ в России после 24 февраля: под угрозой все гражданские и негражданские объекты
Сфера информационной безопасности (ИБ) в России пережила за последние три месяца тектонический сдвиг – после начала спецоперации на Украине наша страна столкнулась со всеми видами атак, многочисленными утечками данных, уходом западных компаний, и даже с угрозой устойчивого функционирования Интернета на территории страны.
Какова в настоящее время ситуация с инфобезом в РФ, обсуждают на проходящем 17-19 мая форуме по практической безопасности Positive Hack Days 11. В среду форум посетила и корреспондент D-Russia.ru – по её субъективному мнению, интерес к теме ИБ по сравнению с прошлым годом сильно увеличился.
Об атаках и угрозах
Как сообщил в ходе пленарной дискуссии представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) ФСБ России Сергей Корелов (не путать с IT-экспертом Сергеем Кареловым – ред.), при беспрецедентных DDoS-атаках на российские ресурсы использовались не только ранее взломанные устройства, но и были задействованы пользователи, осознанно предоставляющие свои устройства для атак – для этого им достаточно было открыть в браузере определённый ресурс.
С масштабными атаками удалось справиться, фильтруя трафик на границе РФ (такую фильтрацию обеспечивает Роскомнадзор, в чьём ведении находится созданный в 2019 году Центр мониторинга управления сетями связи общего пользования, ЦМУ ССОП; в его функции входит раннее выявление, анализ угроз ССОП, исследование мер противодействия угрозам – ред.), это помогло многим организациям. Однако последняя тенденция такова, что иностранные ресурсы, участвующие в атаках, начали уходить в VPN-сети, которые работают в РФ.
Деятельность злоумышленников контролируется из единого центра, сказал Корелов, на каждый день хакерам выдаются цели, этим обеспечиваются массированные атаки.
Ещё одна проблема, с которой столкнулись российские компании с точки зрения ИБ, – прекращение работы облачных сервисов западных вендоров и, соответственно, прекращение работы межсетевых экранов. Среди других проблем, которые перечислил Корелов, – дефейс сайтов, волна шифровальщиков (небольшая, по его словам), публикация в открытом доступе данных российских компаний.
При этом ситуацию с утечками, по его словам, можно характеризовать как «утечки ради утечек», т.е. ради создания негативного информационного поля. Нельзя исключить и дальнейшее возникновение серьёзных инцидентов, чему пример – взлом видеохостинга RuTube 9 мая. Очевидно, он готовился заранее именно к этой дате.
Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин напомнил ИБ-специалистам о социальной ответственности, что особенно актуально именно сейчас – нельзя скрывать информацию о слабых местах в инфозащите, ведь российский софт сейчас «под микроскопом» у злоумышленников.
Об утечках данных Бенгин добавил, что у хакеров сейчас не стоит вопрос монетизации украденных данных – им за это уже заплатили.
Алексей Новиков (Positive Technologies) отметил, что атакам за последние месяцы подвергались даже те компании, которые раньше и не подозревали, что могут быть интересны злоумышленникам.
Владимир Дрюков («Ростелеком-Солар») сказал, что под угрозой кибератак сейчас находятся все российские гражданские и тем более негражданские компании и организации, только лишь по причине своей принадлежности к РФ. Данную ситуацию можно охарактеризовать как «сезон беззакония», поскольку хакеры могут атаковать российские организации фактически без риска преследования в своих юрисдикциях, т.е. проводить на нашей стране своего рода «учения».
Как уточнил Бенгин, эту опасность уже прочувствовали на себе регионы, в настоящее время там созданы штабы «для трансляции имеющихся ИБ-решений».
Эксперты также отметили отсутствие новостей о взломах банков, эта отрасль оказалась готова к масштабным атакам. При этом пострадавшие в результате ИБ-инцидентов СМИ и ФОИВ, как оказалось в результате изучения взломов, были атакованы не напрямую, а через сторонних подрядчиков (баннерные сети, счётчики посещаемости, расписание сеансов в онлайн-кинотеатрах и пр.).
Участники дискуссии также призвали СМИ и сообщество внимательнее относиться к достоверности информации – до 95% сообщений об атаках, взломах и утечках в российских организациях, в том числе на специализированных форумах, сейчас являются фейками. Это и есть признак информационной войны.
Об указе президента
В начале мая был подписан указ президента России «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», документ предусматривает создание специальных ИБ-подразделений в ФОИВ, госкомпаниях, государственных фондах и иных органах (организациях), работающих в соответствии с федеральными законами, а также персональную ответственность руководителей этих органов (организаций) за состояние ИБ.
«Напомню, что, согласно этому указу, информационная безопасность сегодня в фокусе внимания руководства страны, и руководители компаний, в ведении которой находится объект критической инфраструктуры, лично отвечают за те последствия, которые могут произойти», — подчеркнул Владимир Бенгин. Он объяснил, что в руководстве компаний также должен быть человек, ответственный за ИБ, и отвечает такой человек не просто за выполнение требований, а за отсутствие инцидентов. В этой связи и полномочия у таких специалистов должны быть расширены, такие люди должны быть «встроены» во все бизнес-процессы организации. Соответствующий документ сейчас готовят в ФСБ и Минцифры.
Указ президента также предписывает через 2,5 года полностью перейти на российские решения в сфере ИБ – таким образом импортозамещение стало обязательным, а не опциональным, напоминает Бенгин. В связи с этим Минцифры в настоящее время ведёт работу по сбору информации о том, какие ниши в сфере ИБ не могут быть закрыты российскими решениями. Минцифры призывает всех участников рынка ИБ предоставлять информацию об импортных продуктах, не имеющих российских аналогов.
По оценке Новикова (Positive Technologies), в России присутствует 90% необходимых технологий в области ИБ.
Также, по традиции, был отмечен кадровый дефицит специалистов – в области безопасности он теперь почти удвоился. Если раньше дефицит оценивали в 20 тысяч специалистов, теперь он дошёл до 35 тысяч.
По сообщению Positive Technologies, посетил форум и глава Минцифры Максут Шадаев. Вместе с заместителем директора по развитию бизнеса Positive Technologies Борисом Симисом они обсудили вопросы импортозамещения в сфере ИБ, возможности российского технологического рынка, а также законодательные инициативы по поддержке IT-компаний в России.
Министр поделился мнением о том, как безопасникам следует говорить об угрозах и кибербезопасности с высшим руководством компаний на понятном языке, о важности постоянного поиска уязвимостей в инфраструктуре компаний специализированными командами. Глава Минцифры также подчеркнул, что для развития цифровых технологий в России есть все возможности, для IT-бизнеса есть рынок, а государство поможет компаниям-разработчикам.
«Отсутствие инцидентов — показатель работающей кибербезопасности. Когда функционируют цифровые сервисы, их должно быть видно. В случае работающей кибербезопасности все с точностью до наоборот», — отметил Максут Шадаев.
«Постоянный поиск уязвимостей специализированными командами — правильная практика, которая должна стать гигиеническим минимумом при построении информационной безопасности в любой компании», — добавил министр.
Фото (с) Татьяна Костылева