По свежим следам SOC-Форума 2021 в качестве, пожалуй, самого яркого его момента можно было отметить, что впервые в публичном пространстве «схлестнулись» такие принципиально разные точки зрения на организацию киберзащиты информационных и информационно-управляющих систем (ИС&ИУС), как купирование угрозы за счёт превращения атаки в экономически нецелесообразное мероприятие, и альтернативный «экономическому» организационно-технологический подход, когда за счёт комплекса оргмероприятий и архитектурно-технологической оптимизации ИС&ИУС и автоматизации SOC успешная кибератака становится невозможной.
А в качестве дополнения ко второму подходу, сформулированному Юрием Максимовым из Positive Technologies, уместно обратить внимание на комментарий заместителя руководителя ФСТЭК Виталия Лютикова, который в ответ на вопрос о новых руководящих указаниях со стороны регулятора в ответ на «облачные» инновации обратил внимание на то, что для повышения уровня защиты от кибератак ещё не исчерпаны имеющиеся резервы и ресурсы.
В этой же связи уместно также отметить и достаточно нестандартный взгляд Юрия Максимова на вопрос финансирования сферы информационной (ИБ) и кибербезопасности (КБ), год за годом традиционно упоминаемый в качестве «болевого» момента «отрасли».
«Нам не нужно ссылаться на то, что нам нужны деньги. За деньги крутой результат купить нельзя! Давайте делать результаты. Надо больше простых измеримых результатов!», – заявил представитель Positive Technologies.
И это не «лозунговщина», ибо из комментариев Юрия Максимова и Виталия Лютикова следовала весьма очевидная и методически безупречная истина, что если задумываться о вопросах ИБ&КБ ещё на этапе проектировании ИС&ИУС, то вопрос о финансировании ИБ&КБ естественным образом увязывается с темой финансирования «цифровизации» как таковой.
О текущем моменте
После того, как на канале BIS TV стали выкладываться записи дискуссий и докладов на недавно прошедшем SOC-Форуме 2021, появилась возможность «отжать словесную воду» из выступлений и комментариев и сосредоточиться на анализе сказанного по существу.
И «существо» нынешней ситуации в сфере защиты страны от киберугроз в чём-то очень напоминает предвоенную ситуацию второй половины 30-х годов XX века. Судите сами.
Сложилось технологическое ядро силы, нацеленной на получение выгод от противоправных действий (читай разведывательных, диверсионных, военных) с конечной целью получения экономической выгоды. Технологическое ядро в виде промышленного производства, эксплуатации и поддержки на протяжении жизненного цикла инструментов для взлома информационных систем жертвы или противника, в виде условий для кадровой подпитки «киберзла», в виде технологий монетизации и извлечения иной выгоды от такого взлома в интересах агрессора.
Такая обобщённую картину была нарисована в ходе стартовой дискуссия «Кибербезопасность: перезагрузка» с длинным «слоганом» «Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов». Модератор дискуссии и другие её участники привели также конкретные «метрики» результатов нынешней работы нынешних киберагрессоров, характеризующие скорости реагирования на появление в Сети новых информационных государственных ресурсов, времён обновления хакерского инструментария в ответ на защитную реакцию атакованной стороны, оценки выгод, уже полученных киберагрессорами и киберпреступниками.
В этих обстоятельствах те члены мирового сообщества, что считают себя выгодополучателями от сложившейся ситуации, «торпедируют» официальные попытки объединения мирового сообщества для решения ключевых проблем глобальной кибербезопасности.
В результате создание реально работающей межгосударственной системы кибербезопасности откладывается на неопределённый срок и подменяется, похоже, двухсторонними договорённостями, содержание которых не вполне доступно для широкого круга специалистов в сфере ИБ&КБ, которые в результате питаются, зачастую, кулуарными «сплетнями». В качестве примера можно привести изредка проскальзывавшие на SOC-Форуме 2021 в виде своеобразного «25 кадра» предположения о включении вопросов ИБ&КБ в повестку дня недавней виртуальной «встречи» президентов России и США.
В этих условиях на первый план выходит создание системы внутренней коллективной кибербезопасности, естественным центром «кристаллизации» которой должен был бы стать НКЦКИ при активном участии отраслевых и региональных центров компетенций в сфере ИБ&КБ, из которых наиболее известен своими достижениями, похоже, ФинЦЕРТ Банка России. На SOC-Форуме 2021 были представлены также центры ИБ&КБ-компетенций в ТЭКе, в Минэкономразвития, в Норникеле, центры ряда регионов Сибири.
И в связи с актуальностью упомянутой «кристаллизации» опыта и знаний в сфере ИБ&КБ в сочетании с очевидным ростом уровня киберугроз (в количественном и качественном измерениях) обращает на себя озвученная на Форуме «либерально-демократическая» выжидательная позиция сил, должных ускорить эти процессы кристаллизации. Вручение хрустальных моральных стимулов – это конечно может быть одним из инструментов стимуляции к сотрудничеству и обмену опытом, но хотелось бы надеяться, что есть и будут использованы более эффективные стимулы и катализаторы.
В качестве примера можно привести упоминавшиеся на Форуме вполне конкретные и измеримые шаги ФСТЭК по созданию центра компетенций для обеспечения безопасной разработки и эксплуатации ОС на основе «ядра Linux», направленные на консолидацию компетентностей академической науки и ИТ-компаний под эгидой регулятора.
Что же касается ситуации, когда из 2300 участников системы ГосСОПКА в активную работу вовлечены лишь несколько десятков её участников, то её исправлению в складывающихся условиях должны ИМХО служить не только меры убеждения и морального поощрения, но и технологические меры в виде стандартизации/унификации форм отчётов о киберинцидентах, стандартизации/унификации интерфейсов передачи информации из корпоративных SOC-ов и SOC-ов ФОИВ-ов напрямую в систему ГосСОПКА или через промежуточные аналоги системы ГосСОПКА на отраслевом и региональном уровнях. И внедрение этих интерфейсов.
Безусловно, говорить проще, чем делать. Но дорогу осилит идущий! И это не слова, есть конкретные примеры достижения поставленных целей, когда таковые, пусть и очень амбициозные, поставлены.
Недопустимое должно стать невозможным!
За несколько лет компания Positive Technologies прошла путь от идеологии «Скорее всего, вас уже взломали» и предложения рынку набора продуктов для реактивного реагирования на киберинциденты к идеологии «Недопустимые события должны стать невозможными!», и развивает методологию такого противодействия киберугрозам, которое делают недопустимые события невозможными силами нескольких человек, работающих в высокоавтоматизированном SOC-e.
Это выглядит как сказка, но в 2021 году эта «сказка» была реализована на практике, когда почти в течение года в ходе масштабных учений сборная «этичных хакеров» не смогла даже пройти периметр информационных систем компании, а будучи, в конце концов, просто допущенной внутрь периметра – не реализовала недопустимые события.
На прошедшем SOC-Форуме 2021 Юрий Максимов, представленный как «основатель Positive Technologies», выступил инициатором активных действий по выведению идеологии «Недопустимые события должны стать невозможными!» на отраслевой уровень, предложив силами лидеров рынка – компаний Лаборатория Касперского, Positive Technologies, BI.ZONE, Group-IB и других лидеров реализовать предложенную методологию на конкретной отраслевой структуре, решив конкретную задачу – сделать нереализуемыми в результате кибератак недопустимые угрозы для, например, системы электроснабжения города или региона.
Это предложение резко контрастировало с шаблонными предложениями об ответах на киберугрозы программами повышения компьютерной грамотности населения или взращивания нового поколения эффективных менеджеров, способных адекватно оценивать ценность «активов», которые могут быть утрачены в результате кибератаки, и т.п.
Всё это, ИМХО, полезно, но только в качестве дополнительных мер и лишь в составе тех мер, что решат конкретную задачу, пример которой привёл Юрий Максимов.
«Мы не знаем общество, в котором живём». (с)
Помимо отдельных комментариев на дискуссиях, сессиях и треках SOC-Форуме 2021 системный взгляд на текущую ситуацию в нашей стране с внешними киберугрозами и нынешней готовностью к их отражению был дан в докладах «Тренды и ключевые особенности современных угроз информационной безопасности информационного пространства РФ» (Сергей Корелов, НКЦКИ) и «Вопросы реализации требований законодательства ОБ КИИ по результатам проведения госконтроля» (Елена Торбенко, заместитель начальника управления ФСТЭК России).
Что касается доклада Елены Торбенко, то фактически он оказался изложенным в виде тезисов системным и самодостаточным руководством по планам оперативной работы «над ошибками» первых нескольких лет жизни в условиях действия 187 ФЗ и сопутствующей нормативной базе регуляторов. Ошибки были обозначены, вектора исправления несоответствий намечены и регулятор продемонстрировал готовность к конструктивному диалогу с проштрафившимися.
А вот доклад Сергея Корелова, наряду с несомненной ценностью представления качественной картины, продемонстрировал необходимость объединения усилий ведущих компаний и регуляторов для консолидации метрик, представляющих и классифицирующих реальную картину киберугроз в отраслевых и технологических разрезах. Пока же метрики разных компаний демонстрируют противоречия в оценке как динамики уровня киберугроз, так и при выявлении наиболее уязвимых отраслей. И приведение метрик «к общему знаменателю» или же их корректное слияние несомненно, поможет в условиях очевидно ограниченных кадровых ресурсов оптимизировать распределение усилий при работе по защите киберпространств отдельных отраслей, методология которой была предложена Positive Technologies.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных