6 ноября, 2024

Заметки о межведомственной сессии на SOC Forum 2024

Итоги уходящего года и прогнозы на будущее с точки зрения регуляторов представили участники пленарной сессии «Государство и бизнес: совместная стратегия обеспечения безопасности», которая прошла в рамках SOC Forum 2024.

Оценку состояния национальной информационной безопасности России дал Алексей Петров (Совет Безопасности РФ). Он заявил о беспрецедентной кампании, которая с 2022 года ведётся против России спецслужбами иностранных государств и международными хакерами, изменении масштабов угроз и скоординированных атаках на российские объекты с целью нарушения работы предприятий. Поэтому, считает спикер, необходимо и в дальнейшем принимать меры по защите объектов КИИ и социальной инфраструктуры, повышать эффективность мониторинга и реагирования на киберугрозы, а также вносить изменения в законодательство и нормативно-правовые акты. Работа по обновлению «Доктрины национальной безопасности» уже ведётся и будет завершена в 2025 году.

 

Противник сменил тактику

Петр Белов (НКЦКИ) напомнил о том, что ранее сделанный ФСБ России прогноз на 2024 год оправдался: атак меньше не становится. Противник сменил тактику и перешёл от громких акций и инфоповодов к атакам с целью нанесения максимального ущерба, используя шифровальщики и уничтожая информацию, стирая всё. Векторы проникновения не сильно изменились — критические уязвимости на периметре, фишинг и атаки на цепочки поставщиков.

Порядка 70% компьютерных инцидентов, информация о которых поступила в НКЦКИ, — это инциденты, связанные с уничтожением информации разными способами. Это и шифрование, и именно стирание данных, когда стирали все: контроллеры домена, дата-серверы, логи и резервные копии. «Чтобы ущерб был максимальным, чтобы информационная система не могла работать, — подчеркнул эксперт. — При этом мы можем утверждать, что эти операции проводятся весьма скоординировано. Нами с начала этого года фиксируется одна довольно интересная кибероперация: последовательно атакуются многие объекты как относящиеся к критической информационной инфраструктуре, так и не являющиеся ею. Участвуют различные группировки, но, исходя из того, как методично осуществляется прощупывание объектов, поиск целей, возможный заход на эти цели и последующее их выведение из строя, можно утверждать, что эти инциденты можно объединить как бы в одну операцию».

По словам представителя НКЦКИ, операция координируется одним мозговым центром, несмотря на участие в ней разных групп. У них как бы единая линия поведения, но различная квалификация. Они пользуются похожим инструментом, но используют разные тактики проникновения и работы внутри систем. Как правило, атака проводится в два этапа. На первом идёт эксплуатация критической уязвимости на периметре, после чего проходит закрепление в системе, куда кладется лёгкий инструмент, который себя практически никак не проявляет. Он предназначен исключительно для удалённого управления и иногда даёт о себе знать во внешний мир — что готов к работе. Вторая, активная фаза операции проводится через несколько недель: подключаются другие группировки, которые параллельно идут по уже атакованной системе. Они ищут активы, которые можно было бы вывести из строя, и после этого, на основании некого решения или команды, или всё шифруют, или затирают.

«Мы довольно быстро научились определять индикаторы, свидетельствующие о подобных попытках проникновения, и уже почти в автоматизированном режиме выявляем признаки подобных инцидентов», — заверил Белов. Специалисты НКЦКИ выявляют такого рода атаки и сообщают о них владельцам информационных систем. В ряде случаев удалось наладить взаимодействие с представителями организаций и предотвратить ущерб. В противном случае пострадавшая сторона отрицает проникновение и обращается к НКЦКИ спустя непродолжительное время с жалобами на уничтоженную инфраструктуру.

По мнению спикера, это связано либо с отсутствием квалифицированных специалистов и непониманием, что надо делать, либо с нежеланием верить в то, что может случиться инцидент: «Сейчас в ГосСОПКА обязаны поставлять информацию только субъекты КИИ и только об инцидентах на объектах КИИ, а также операторы персональных данных, если у них произошла утечка. Больше никто ничего не обязан предоставлять. Такая ситуация очень сильно усложняет оценку обстановки и её прогнозирование. ГосСОПКА должна получать больше информации».

Пётр Белов уверен: с учётом многолетнего опыта работы ГосСОПКА, для эффективного противостояния атакам должны быть приняты единые принципы скоординированной работы, по одним методикам. Первый шаг на этом пути — создание центров ГосСОПКА, которые будут работать под руководством НКЦКИ. Эти структуры будут обеспечивать процессы обнаружения, предупреждения и ликвидации последствий компьютерных атак, реагирования на компьютерные инциденты под единым методическим руководством национального координационного центра компьютерных инцидентов.

«Разрабатываем проект федерального закона о ГосСОПКА, который определит всех участников ГосСОПКА, их задачи, права, обязанности, ответственность, а также уточнит ситуацию с центрами ГосСОПКА, с их аккредитацией и тому подобное», — резюмировал эксперт.

 

Отчёт о проделанной работе

Замглавы ФСТЭК России Виталий Лютиков рассказал о работе, которую ведёт его ведомство по повышению защищённости информационной инфраструктуры России. В частности, он остановился на изменениях законодательства и стандартов, новых требованиях и методиках, обратил внимание на порядок аттестации экспертов, затронул вопросы безопасной разработки и сертификации межсетевых экранов уровня сети, которые приходят на смену иностранным NGFW.

По словам Лютикова, в текущем году выявлено более 500 наиболее опасных угроз безопасности и уязвимостей, ведётся активная работа с НКЦКИ. Органам власти и ФОИВ направлены более 170 рекомендаций по повышению защищённости информационной инфраструктуры и уже получена обратная связь. Спикер также отметил, что необходима оценка деятельности руководителей, отвечающих за ИБ, поскольку без соблюдения минимального уровня требований к информационной безопасности говорить о более высоких уровнях защиты смысла нет.

Александр Шойтов, замглавы Минцифры, напомнил о тех работах, что ведутся в рамках национального проекта «Цифровая экономика РФ» и продолжатся в рамках нацпроекта «Экономика данных». Он затронул вопросы доверенного искусственного интеллекта и доверенной разработки, которыми занимается отраслевой центр на базе АНО «НТЦ ЦК». Помимо этого, замминистра рассказал о ставших популярными программах по поиску уязвимостей за деньги и создании национальной системы «Антифрод». В этом направлении разрабатывается общая концепция, идёт этап проектирования, в котором принимают участие все заинтересованные структуры и ведомства, поскольку противостоять противнику можно только совместными усилиями, подытожил Шойтов.

Заместитель министра промышленности и торговли РФ Василий Шпак поделился данными мониторинга субъектов с 2022 года. По его данным, специалисты центра по информационной безопасности Минпромторга провели более двух тысяч проверок субъектов критической инфраструктуры, как документальных, так и выездных. В 70% случаев они обнаружили нарушения, в том числе по причине того, что организации не приступали к категорированию. Всего планируется проверить порядка десяти тысяч объектов КИИ и предприятий с КИИ, которым не дана категория значимости. Спикер добавил: большинство организаций не спешат выполнять требования регуляторов — только 15% организаций КИИ выполнили все требования.

Завершил сессию Вадим Уваров (Банк России), который говорил о проблемах, стоящих перед финансовой отраслью. Он упомянул о вступлении в силу федеральных законов 369-ФЗ и 408-ФЗ, которые регламентируют порядок информационного взаимодействия Банка России с МВД РФ, а также усиливают защиту граждан и повышают финансовую ответственность банков. Остановился Уваров и на вопросах импортозамещения и разработки ПО, средств защиты информации, а также доверенных программно-аппаратных комплексов. Спикер сообщил, что в настоящее время проходят испытания отечественных NGFW, и уже определились четыре лидера. Плюс, принята методика испытаний, по результатам которых будут выбраны доверенные ПАКи. Подробнее об этом регулятор расскажет в феврале 2025 года на Уральском форуме в Екатеринбурге.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных