И быть частью, и взаимодействовать! Дискуссия на SOC-Форуме 2021 вокруг работы системы ГосСОПКА

8 декабря, 2021

И быть частью, и взаимодействовать! Дискуссия на SOC-Форуме 2021 вокруг работы системы ГосСОПКА

Дискуссия «ГосСОПКА: взаимодействовать или быть частью» по странному стечению обстоятельств не была обозначена как ключевая на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ» (SOC-Форум 2021).

Странным это выглядит потому, что на SOC Форуме в очередной раз за этот год был отмечен резкий рост киберпреступности. Причём пятиуровневая классификация этого явления, предложенная «безопасниками» Ростелекома, на своей вершине размещает те группировки, чьей целью является не воровство или вымогательство, но шпионаж, а арсенал инструментов и технологий которых «позволяет обойти СЗИ любого вендора» (и, похоже, это не маркетинговое преувеличение, а намёк на природу работодателей и заказчиков услуг упомянутых группировок). При этом до недавнего времени «частные» атаки группировок с таким уровнем профессионализма сегодня превратились, по мнению безопасников Ростелекома, в регулярные операции.

Принимая во внимание ещё и такое обстоятельство, характерное для нынешних кибератак, как атаки через партнёров (атаки типа supply chain), что также отмечалось на ряде «ибэшных» мероприятий этого года и на SOC Форуме 2021, идея создания системы ГосСОПКА и НКЦКИ является единственной альтернативой позиции «нехай тля подавится!», озвученной в одном из анекдотов, описывающим попытку противодействия атакам всепожирающей тли на посевы только лишь увеличением посевных площадей.

В нынешней трансформируемой и автоматизируемой «цифрой» экономике информационная сетевая инфраструктура – это именно те «посевные площади», которые должны быть защищены от кибер-«тли» технологиями и методологиями, которые быстрее всего будут созданы за счёт осмысления полного набора информации о природе (в широком понимании смысла этого слова) кибератак.

Это понимают не только регуляторы, но и наиболее продвинутые и ответственные участники экономических связей и системы госуправления, что привело к появлению такого своеобразного оксюморона, как термин «корпоративная ГосСОПКА».

Пример такой работающей структуры корпоративного уровня был приведён в выступлении представителя «Норильского Никеля». В составе этого экономического образования 60 «юрлиц», из которых лишь 11 являются объектами КИИ. Тем не менее, кибербезопасность всех структур «Норильского Никеля» обеспечивается на основе коллективного опыта этих структур.

К работе именно на основе такого подхода («ГосСОПКА – это все объекты КИИ И все владельцы информационных ресурсов») на старте дискуссии призвал представитель НКЦКИ. Однако пока реальная ситуация выглядит гораздо неприглядней. Из 2300 участников системы в активную работу вовлечены лишь несколько десятков её участников.

Как отметил модератор дискуссии, директор центра мониторинга и реагирования на киберугрозы Solar JSOC, Ростелеком-Солар, нередко кибератаки являются типизированными, характерными для конкретной отрасли («атаки на сектор» по выражению Владимира Дрюкова). На примере банковского сектора Владимир Дрюков рассказал о том, как в 2014 году «песочницы» ловили атаку в одном банке, и обмен информацией между финансовыми организациями позволял эффективней отражать атаку в других банках.

В то же время без эффективной работы единого координационного центра по обнаружению и противодействию кибератакам трудно «купировать» источники современных атак типа supply chain. На это обратил внимание представитель АО «Россельхозбанк», принявший участие в дискуссии.

Одновременно с дискуссией проводились блиц-опросы «общественного мнения» по теме взаимодействия компаний с системой ГосСОПКА, в ходе которых выяснилось, что не менее половины респондентов формально подходят к этой работе и лишь около четверти поддерживают необходимость активной вовлечённости в создании базы знаний на базе ГосСОПКА. При этом из вопросов аудитории выяснилось, что некоторые участники форума озабочены возможностью попадания под внеплановые проверки в связи с предоставляемой ими информацией о компьютерных инцидентах.

Отвечая на высказанные опасения, представитель НКЦКИ обратил внимание аудитории, что проведение проверок в части их планирования регламентировано нормативной документацией и призвал не опасаться их прямого увязывания с предоставляемой в ГосСОПКА информацией.

Что же касается самого содержания этой информации, то внимание аудитории было обращено на необходимость не только информирования о факте инцидента, но и предоставления сведений об извлечённом опыте в ходе работ по его обработке. И в связи с этим уместно высказать сожаление о том, что на дискуссии не были разобраны примеры такого рода «насыщенной» знаниями информации, не обсуждались вопросы унификации или типизации «форм» предоставления сведений в ГосСОПКА.

Тем не менее, дорогу осилит идущий!

И хочется надеяться, что будут найдены аргументы и стимулы, которые приведут к тому, что, как образно выразился Алексей Новиков, директор экспертного центра безопасности Positive Technologies, не останется в отечестве «безопасников», узнающих об инцидентах в сфере ИБ из прессы, вместо того, чтобы быть своевременно проинформированным из профессиональных источников.

Смотрите также