«Безопасность – это отсутствие опасности!». О системе внутригосударственной коллективной кибербезопасности через призму дискуссий и комментариев SOC-Форума 2021

20 декабря, 2021

«Безопасность – это отсутствие опасности!». О системе внутригосударственной коллективной кибербезопасности через призму дискуссий и комментариев SOC-Форума 2021

По свежим следам SOC-Форума 2021 в качестве, пожалуй, самого яркого его момента можно было отметить, что впервые в публичном пространстве «схлестнулись» такие принципиально разные точки зрения на организацию киберзащиты информационных и информационно-управляющих систем (ИС&ИУС), как купирование угрозы за счёт превращения атаки в экономически нецелесообразное мероприятие, и альтернативный «экономическому» организационно-технологический подход, когда за счёт комплекса оргмероприятий и архитектурно-технологической оптимизации ИС&ИУС и автоматизации SOC успешная кибератака становится невозможной.

А в качестве дополнения ко второму подходу, сформулированному Юрием Максимовым из Positive Technologies, уместно обратить внимание на комментарий заместителя руководителя ФСТЭК Виталия Лютикова, который в ответ на вопрос о новых руководящих указаниях со стороны регулятора в ответ на «облачные» инновации обратил внимание на то, что для повышения уровня защиты от кибератак ещё не исчерпаны имеющиеся резервы и ресурсы.

В этой же связи уместно также отметить и достаточно нестандартный взгляд Юрия Максимова на вопрос финансирования сферы информационной (ИБ) и кибербезопасности (КБ), год за годом традиционно упоминаемый в качестве «болевого» момента «отрасли».

«Нам не нужно ссылаться на то, что нам нужны деньги. За деньги крутой результат купить нельзя! Давайте делать результаты. Надо больше простых измеримых результатов!», – заявил представитель Positive Technologies.

И это не «лозунговщина», ибо из комментариев Юрия Максимова и Виталия Лютикова следовала весьма очевидная и методически безупречная истина, что если задумываться о вопросах ИБ&КБ ещё на этапе проектировании ИС&ИУС, то вопрос о финансировании ИБ&КБ естественным образом увязывается с темой финансирования «цифровизации» как таковой.

 

О текущем моменте

После того, как на канале BIS TV стали выкладываться записи дискуссий и докладов на недавно прошедшем SOC-Форуме 2021, появилась возможность «отжать словесную воду» из выступлений и комментариев и сосредоточиться на анализе сказанного по существу.

И «существо» нынешней ситуации в сфере защиты страны от киберугроз в чём-то очень напоминает предвоенную ситуацию второй половины 30-х годов XX века. Судите сами.

Сложилось технологическое ядро силы, нацеленной на получение выгод от противоправных действий (читай разведывательных, диверсионных, военных) с конечной целью получения экономической выгоды. Технологическое ядро в виде промышленного производства, эксплуатации и поддержки на протяжении жизненного цикла инструментов для взлома информационных систем жертвы или противника, в виде условий для кадровой подпитки «киберзла», в виде технологий монетизации и извлечения иной выгоды от такого взлома в интересах агрессора.

Такая обобщённую картину была нарисована в ходе стартовой дискуссия «Кибербезопасность: перезагрузка» с длинным «слоганом» «Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов». Модератор дискуссии и другие её участники привели также конкретные «метрики» результатов нынешней работы нынешних киберагрессоров, характеризующие скорости реагирования на появление в Сети новых информационных государственных ресурсов, времён обновления хакерского инструментария в ответ на защитную реакцию атакованной стороны, оценки выгод, уже полученных киберагрессорами и киберпреступниками.

В этих обстоятельствах те члены мирового сообщества, что считают себя выгодополучателями от сложившейся ситуации, «торпедируют» официальные попытки объединения мирового сообщества для решения ключевых проблем глобальной кибербезопасности.

В результате создание реально работающей межгосударственной системы кибербезопасности откладывается на неопределённый срок и подменяется, похоже, двухсторонними договорённостями, содержание которых не вполне доступно для широкого круга специалистов в сфере ИБ&КБ, которые в результате питаются, зачастую, кулуарными «сплетнями». В качестве примера можно привести изредка проскальзывавшие на SOC-Форуме 2021 в виде своеобразного «25 кадра» предположения о включении вопросов ИБ&КБ в повестку дня недавней виртуальной «встречи» президентов России и США.

В этих условиях на первый план выходит создание системы внутренней коллективной кибербезопасности, естественным центром «кристаллизации» которой должен был бы стать НКЦКИ при активном участии отраслевых и региональных центров компетенций в сфере ИБ&КБ, из которых наиболее известен своими достижениями, похоже, ФинЦЕРТ Банка России. На SOC-Форуме 2021 были представлены также центры ИБ&КБ-компетенций в ТЭКе, в Минэкономразвития, в Норникеле, центры ряда регионов Сибири.

И в связи с актуальностью упомянутой «кристаллизации» опыта и знаний в сфере ИБ&КБ в сочетании с очевидным ростом уровня киберугроз (в количественном и качественном измерениях) обращает на себя озвученная на Форуме «либерально-демократическая» выжидательная позиция сил, должных ускорить эти процессы кристаллизации. Вручение хрустальных моральных стимулов – это конечно может быть одним из инструментов стимуляции к сотрудничеству и обмену опытом, но хотелось бы надеяться, что есть и будут использованы более эффективные стимулы и катализаторы.

В качестве примера можно привести упоминавшиеся на Форуме вполне конкретные и измеримые шаги ФСТЭК по созданию центра компетенций для обеспечения безопасной разработки и эксплуатации ОС на основе «ядра Linux», направленные на консолидацию компетентностей академической науки и ИТ-компаний под эгидой регулятора.

Что же касается ситуации, когда из 2300 участников системы ГосСОПКА в активную работу вовлечены лишь несколько десятков её участников, то её исправлению в складывающихся условиях должны ИМХО служить не только меры убеждения и морального поощрения, но и технологические меры в виде стандартизации/унификации форм отчётов о киберинцидентах, стандартизации/унификации интерфейсов передачи информации из корпоративных SOC-ов и SOC-ов ФОИВ-ов напрямую в систему ГосСОПКА или через промежуточные аналоги системы ГосСОПКА на отраслевом и региональном уровнях. И внедрение этих интерфейсов.

Безусловно, говорить проще, чем делать. Но дорогу осилит идущий! И это не слова, есть конкретные примеры достижения поставленных целей, когда таковые, пусть и очень амбициозные, поставлены.

Недопустимое должно стать невозможным!

За несколько лет компания Positive Technologies прошла путь от идеологии «Скорее всего, вас уже взломали» и предложения рынку набора продуктов для реактивного реагирования на киберинциденты к идеологии «Недопустимые события должны стать невозможными!», и развивает методологию такого противодействия киберугрозам, которое делают недопустимые события невозможными силами нескольких человек, работающих в высокоавтоматизированном SOC-e.

Это выглядит как сказка, но в 2021 году эта «сказка» была реализована на практике, когда почти в течение года в ходе масштабных учений сборная «этичных хакеров» не смогла даже пройти периметр информационных систем компании, а будучи, в конце концов, просто допущенной внутрь периметра – не реализовала недопустимые события.

На прошедшем SOC-Форуме 2021 Юрий Максимов, представленный как «основатель Positive Technologies», выступил инициатором активных действий по выведению идеологии «Недопустимые события должны стать невозможными!» на отраслевой уровень, предложив силами лидеров рынка – компаний Лаборатория Касперского, Positive Technologies, BI.ZONE, Group-IB и других лидеров реализовать предложенную методологию на конкретной отраслевой структуре, решив конкретную задачу – сделать нереализуемыми в результате кибератак недопустимые угрозы для, например, системы электроснабжения города или региона.

Это предложение резко контрастировало с шаблонными предложениями об ответах на киберугрозы программами повышения компьютерной грамотности населения или взращивания нового поколения эффективных менеджеров, способных адекватно оценивать ценность «активов», которые могут быть утрачены в результате кибератаки, и т.п. 

Всё это, ИМХО, полезно, но только в качестве дополнительных мер и лишь в составе тех мер, что решат конкретную задачу, пример которой привёл Юрий Максимов.

«Мы не знаем общество, в котором живём». (с)

Помимо отдельных комментариев на дискуссиях, сессиях и треках SOC-Форуме 2021 системный взгляд на текущую ситуацию в нашей стране с внешними киберугрозами и нынешней готовностью к их отражению был дан в докладах «Тренды и ключевые особенности современных угроз информационной безопасности информационного пространства РФ» (Сергей Корелов, НКЦКИ) и «Вопросы реализации требований законодательства ОБ КИИ по результатам проведения госконтроля» (Елена Торбенко, заместитель начальника управления ФСТЭК России).

Что касается доклада Елены Торбенко, то фактически он оказался изложенным в виде тезисов системным и самодостаточным руководством по планам оперативной работы «над ошибками» первых нескольких лет жизни в условиях действия 187 ФЗ и сопутствующей нормативной базе регуляторов. Ошибки были обозначены, вектора исправления несоответствий намечены и регулятор продемонстрировал готовность к конструктивному диалогу с проштрафившимися.

А вот доклад Сергея Корелова, наряду с несомненной ценностью представления качественной картины, продемонстрировал необходимость объединения усилий ведущих компаний и регуляторов для консолидации метрик, представляющих  и классифицирующих реальную картину киберугроз в отраслевых и технологических разрезах. Пока же метрики разных компаний демонстрируют противоречия в оценке как динамики уровня киберугроз, так и при выявлении наиболее уязвимых отраслей. И приведение метрик «к общему знаменателю» или же их корректное слияние несомненно, поможет в условиях очевидно ограниченных кадровых ресурсов оптимизировать распределение усилий при работе по защите киберпространств отдельных отраслей, методология которой была предложена Positive Technologies.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.12.2024
Конференция «Сетевая безопасность». Эксперты — о трендах на рынке ИБ в 2024 году
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о самой конференции
09.12.2024
Конференция «Сетевая безопасность». Эксперты — об импортозамещении
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о будущем
09.12.2024
Мошенники предлагают заявить на мошенников… и это тоже мошенничество
09.12.2024
У ВТБ появился свой «пэй». Сервис подключило уже 30 тысяч человек
06.12.2024
«Инфа с точностью до секунд». DLBI — о новом взломе БД «Почты России»
06.12.2024
На CX FinTech Day эксперты обсудили стратегии и технологии для улучшения клиентского опыта
06.12.2024
«Штурман» будет дружески подсматривать в экран пользователя
06.12.2024
«То, что госкомпании будут ориентированы на опытных игроков, скорее всего, пойдёт первым на пользу»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных