Об успешном опыте создания Центра практической кибербезопасности рассказал на прошедшем в Магнитогорске форуме «Цифровая устойчивость и информационная безопасность в России» начальник управления информационной безопасности Росреестра Сергей Данилов.
История создания Центра практической кибербезопасности началась в Росреестре еще в 2020 г., задолго до выхода Указа Президента России №250. Ранее подразделение ИБ было единым блоком с ИТ департаментом и занималось больше «бумажной» безопасностью, вся инфраструктура Росреестра и его ключевые системы были построены без учета требований информационной безопасности. При создании новой структуры ИБ был сделан упор на практическую безопасность.
Среди целей при создании Центра были выделены: повышение практической защищенности ИС, обеспечение процессов обнаружения, предупреждения и ликвидации компьютерных атак, развитие ИБ в соответствии с нормативными требованиями. Главной целью стало исключение недопустимых для Росреестра событий и обеспечение устойчивой работы ведомства в случае любой кибератаки.
В ходе работ были проанализированы сценарии недопустимых для ведомства событий и проведена практическая проверка их реализации, проанализирована инфраструктура и сформировано целевое состояние ИБ Росреестра, разработаны технический проект Центра и программа развитии ИБ в организации на период до 2025 г. Была создана команда реагирования на киберинциденты и закрыт внешний периметр ИС, проведена работа по повышению грамотности в области кибербезопасности сотрудников Росреестра.
Были выделены шесть типов недопустимых событий:
- нарушение работы ключевых ИС;
- подмена сведений в реестрах и фондах данных;
- полная или частичная утрата данных;
- блокировка рабочих станций сотрудников и серверов организации;
- утечки конфиденциальной информации и персональных данных;
- нелегальное использование ресурсов Росреестра.
Были выделены 13 целевых и ключевых ИС, подлежащих защите, созданы 17 проектов по развитию ИБ Росреестра. В результате принятых мероприятий в Росреестре развернута инфраструктура ИБ и внедрены базовые процессы, обеспечивающие мониторинг и исключение недопустимых событий. Ведется мониторинг событий ИБ, управление активами и уязвимостями, реагирование на инциденты ИБ.
В перспективе планируется расширить область действия Центра на новые целевые ИС, провести масштабирование Центра на территориальные управления Росреестра. Также в планах руководства Центра включить требования по результативной ИБ в нормативные документы ведомства и обеспечить их выполнение, учитывать требования по ИБ при проектировании и модернизации новых ИС, внедрять дополнительные технологии и развивать процессы ИБ с учетом развития других сервисов Росреестра.
События 2022 г. показали, что проведенные мероприятия существенно повысили уровень защищенности организации. Зафиксировано 120 млн компьютерных атак на ресурсы. Семь компьютерных инцидентов признаны серьезными, когда средства защиты работали на полной мощности. Самым громким инцидентом стал дефейс сайта Росреестра 28 июня 2022 г. Атака была реализована через незакрытую уязвимость ПО Bitrix в модуле обратной связи. На устранение киберинцидента ушло пять часов. После этого сервис ни разу не прекратил работу, все технические проблемы были вне зоны информационной безопасности.
Серьезной проблемой руководитель Центра считает фишинговые сайты, маскирующиеся под Росреестр и нелегально предоставляющие информацию. Силами Центра было закрыто порядка 150 сайтов-двойников Росреестра.
В настоящий момент Единый государственный реестр недвижимости содержит 10 млрд записей. Любая утечка и деструктивные действия для ИС критичны. Средствами мониторинга еженедельно анализируется около 30 тыс. событий в секунду, автоматически регистрируются более 45 тыс. событий подозрительной активности в неделю, из них около 115 инцидентов требуют реагирования со стороны специалистов ведомства. Всего Центром контролируется безопасность 20 тыс. ИТ-активов в информационной инфраструктуре Росреестра.
Работа мониторинга позволила специалистам Центра выявить и отреагировать на случаи превышения служебных полномочий, установки и использования хакерского ПО, попытки несанкционированного доступа и на действия, которые могли привести к утечке данных. Среди зафиксированных атак – атаки на сетевую инфраструктуру, попытки подбора паролей, эксплуатация известных уязвимостей, использование запрещенных сервисов и атаки на прикладное ПО.
В планах Центра на 2023 г. – полное покрытие мониторингом инфраструктуры Росреестра и исключение всех недопустимых событий, а к 2025 г. автоматизация мониторинга и реагирования в режиме 24/7, донастройка ИТ и ИБ систем, проверка результатов на киберучениях. Все эти работы ведутся с учетом развития иных суперсервисов Росреестра и требований регуляторов.