ЦПК. Пора изменить структуру отрасли ИБ
В дискуссии, начатой в прошлом номере BIS Journal (№4/2023), Александр Велигура поставил вопрос о создании Центра противодействия киберугрозам (ЦПК), который возьмёт на себя функцию обеспечения ИБ в финансовых организациях, не обладающих для этого ресурсами. А таких в России более 15000!
Участники дискуссии пошли дальше и предположили, что такой ЦПК мог бы обслуживать не только финансовую сферу, но и все компании и организации в стране. Возник образ этакого СуперкиберМВД или Нью-Васюков в сфере ИБ, но доводы спикеров были спокойны и убедительны, и редакция решила продолжить дискуссию. На возникшие вопросы мы предложили ответить Артёму Калашникову, обладающему опытом создания ФинЦЕРТ Банка России.
ВОПРОС ОТВЕТСТВЕННОСТИ
— Основные возражения по поводу предлагаемого ЦПК касаются его ответственности. Есть ли здесь какой-либо опыт, который можно было бы применить не только к дочерним организациям и филиалам?
— Вопрос ответственности всегда является очень острым. Как мы знаем, регуляторы возлагают ответственность на первые лица компаний. А по 250-му приказу Президента РФ — на второе лицо компании, специально наделённое полномочиями и имеющее соответствующие компетенции. В финансовом секторе есть документ ЦБ РФ с требованиями к аутсорсингу услуг. Конечно, актуальность его уже не так велика — за счёт появления новых технологий, но я считаю это хорошим опытом и началом для распространения подобных документов на остальные отрасли.
У нас есть много компаний, которые оказывают услуги аутсорсинга, а местами и аутстаффинга. Ответственность там разделяется согласно договору, SLA. Полагаю, такую схему можно распространить и далее. Следует разработать требования к аутсорсингу и аутстаффингу, где будут указаны позиции, которым должны соответствовать организации, оказывающие такие услуги. Далее идёт распределение зон ответственности между компанией и заказчиком. И такой момент нужно предусмотреть и прописать в законодательстве.
ОРГАНИЗАЦИОННО-ПРАВОВАЯ КОНСТРУКЦИЯ
— Суть некоторых высказанных мнений состоит в том, что выполнения требований существующих стандартов и других документов в основном достаточно для решения задач обеспечения ИБ организационно-административного плана, они требуют скоординированной деятельности подразделений и т. п. Всё это верно, но ведь одной из причин предлагаемого создания ЦПК как раз и является отсутствие ресурсов для решения этих задач собственными силами малой организации, тем более в условиях, когда нет оснований рассчитывать на упрощение требований регуляторов. Опять же возникает вопрос ответственности за состояние ИБ в организации и кто и какую ответственность будет нести в случае инцидента, вызвавшего ущерб, на что совершенно справедливо указывает А. П. Курило.
На эти вопросы, мягко говоря, трудно ответить исходя из нынешней нормативно-правовой базы.
Менять — да, но комплексно. Как справедливо указываете вы в своей предыдущей статье, «это вопрос для отдельного большого обсуждения». Не начать ли такое обсуждение?
Можно ли предложить концепцию нормативно-правового регулирования для эффективного использования ЦПК? Как подойти к решению этой задачи?
— Полагаю, что как раз в организации уже есть ответственные за обеспечение ИБ, а уж в КИИ точно. Вопрос остальных организаций лежит в области внутреннего менеджмента и процессов. Делегирование Указом Президента РФ полномочий за обеспечение ИБ первым лицам организаций решает этот вопрос окончательно.
А широкое обсуждение — это да, его давно пора начать. Необходимо выработать в концепции ЦПК организационно-правовую конструкцию, которая будет проходить «скелетом» через всю цепочку от регуляторов до потребителей услуг и тех, кто их оказывает. После чего можно подключать к этой конструкции и технические платформы для реализации требований и услуг.
НЕМНОГО ИСТОРИИ
— Представьте, пожалуйста, историю вопроса ЦПК?
— Начиналось всё с примитивного мониторинга в отдельных компаниях. То есть пытались подключать периметр компании к разным ресурсам, чтобы просто мониторить и по телефону потом как-то реагировать в сторону наблюдаемого.
Уже тогда, лет 20 назад, многие компании поняли, что средства защиты достаточно дорогие, а специалистов, которые эти средства должны настраивать и эксплуатировать, днём с огнём не сыщешь, так как в России их просто нет. Остро встал вопрос: что делать? Привлекали людей отовсюду: из ИT, военных, силовиков — любых, кто хоть как-то понимал технику.
Кроме того, насущной потребностью было понимать и стратегическое направление — чтобы грамотно и логично выстраивать развитие и техническую реализацию ИБ. Для этого брали западные документы и стандарты, перекладывали их на отечественные реалии, адаптировали к разным секторам экономики. Финансовый сектор тут был пилотом и первопроходцем.
Когда процесс пошёл, стало понятно: не хватает ни кадров, ни средств защиты, ни документов, описывающих и регламентирующих процессы и методологии. Поэтому было много инициатив, связанных с образованием. В итоге многие вузы ввели специальность «информационная безопасность».
Параллельно шло развитие компенсирующих мер — это опечатывание помещений, журналы фиксации доступа к ресурсам и т. д. Всё это делалось в полуручном, а точнее, в ручном режиме. Но постепенно всё автоматизировалось и появились новые риски и угрозы, связанные с ИБ. Соответственно, в обучение стали добавлять предметы, связанные с построением систем, архитектурой, внутренним взаимодействием компонентов и т. д. Начали эволюционировать системы и средства защиты, причём многие очень резко. Особенно те, что связаны с контролем доступа, наблюдением, шифрованием, мониторингом…
И в результате пришли к тому, что обеспечение информационной безопасности для компании — это процесс, требующий централизации, то есть единого центра.
Названия таких центров — SOC и CERT — на Западе тогда уже устоялись и благополучно перекочевали к нам.
О ЗАРУБЕЖНОМ ОПЫТЕ
— Расскажите, пожалуйста, о зарубежном опыте?
— В Европе первые центры, оказывающие услуги мониторинга и реагирования, появились 25 лет назад. Потом появились сообщества. Одно из них — FIRST, там порядка 2500 центров, которые постоянно обмениваются информацией об угрозах и мерами реагирования. Но есть и опыт азиатского региона, и опыт обеих Америк.
Собственно, весь этот опыт и использовался при построении сначала SOC'ов, а потом и CERT в России.
Причём этот процесс пошёл очень быстро. Первый аналог CERTа появился в 2015 году в ЦБ, в 2017 году он вышел на достаточно большое покрытие поднадзорных организаций, а ещё через год вышел на международный уровень, войдя в несколько сообществ объединённых CERT. Это позволяет ему получать информацию о многих угрозах задолго до появления их в России.
ЧТО СЕГОДНЯ?
— Какова ситуация на сегодняшний день?
— Сегодня мы имеем развитую нормативную базу по ИБ, причём довольно жёсткую. Имеем средства обеспечения ИБ, но часть из них очень дорогая. Имеем проблему с кадрами, которые должны управлять этими средствами и обеспечивать информационную безопасность как процессно, так и технически.
В результате налицо большой разрыв между компаниями, имеющими ресурсы на создание и содержание своих центров мониторинга и реагирования, и компаниями, не имеющими таких ресурсов. Вот у вторых-то, а их подавляющее большинство, и возникла потребность в создании корпоративных и отраслевых ЦПК.
— Речь вроде шла о едином государственном ЦПК?
— Есть отрасли, в которых ИБ далеко не на втором и даже не на третьем месте. Есть корпорации, в которых компании до смешного далеки от выполнения нормативов по обеспечению ИБ. И главная идея — создать чётко управляемую структуру снизу доверху. То есть создать узлы на каждом уровне иерархии. На уровне государства, отрасли, корпорации и дальше до конкретных предприятий и организаций.
— Для чего это нужно?
— Огромный объём информации, который поступает из одной отрасли первично, при суммировании с объёмами информации из других отраслей окажется неподъёмно большим. Он просто завалит весь трафик и все вычислительные мощности государственного Центра. Но всю эту информацию можно обработать и систематизировать на первой линии, где появляется централизация, и дальше, уже очищенную, репортить через отраслевые центры (или параллельно) в государственный Центр.
В случае особой необходимости можно предоставлять полную информацию. Это сейчас предусмотрено на верхнем уровне.
ЕЩЁ РАЗ ПРО РАЗГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ
— Идея, в общем-то, простая…Но есть проблема, которая не позволяет реализовать её в полном объёме, — это разграничение ответственности между центром мониторинга и теми, кто пользуется его услугами. Кто за что отвечает в случае реализации угрозы?
— Эту проблему, повторюсь, нужно решать на уровне государства — через нормативы, законы или подзаконные акты. А возможно, и на уровне регуляторов информационной безопасности.
ПРО КАДРЫ
— А проблема кадров?
— За счёт централизации кадров как раз потребуется гораздо меньше. Необходимые компетенции будут локализоваться в центрах — государственном, отраслевых или корпоративных, — несущих ответственность каждый на своём уровне, в своей сфере.
ПРО КАТАСТРОФОУСТОЙЧИВОСТЬ
— Но есть ещё проблема катастрофоустойчивости?
—Понятно, что каждый центр по сути — это узел. И его отказ, если его «пробьют» злоумышленники, даст пробел во взаимодействии и обеспечении ИБ. Для такого случая хорошо подходит идея построения взаимодействия «каждый с каждым», чтобы техническая информация была у всех. Помимо той, которая явно указывает на отрасль или корпорацию. Эта информация должна храниться на уровне корпоративных или отраслевых центров. И уже внутри средствами резервирования и катастрофоустойчивости ей должны обеспечивать постоянную сохранность — целостность — конфиденциальность.