Заметки о межведомственной сессии на SOC Forum 2024
Итоги уходящего года и прогнозы на будущее с точки зрения регуляторов представили участники пленарной сессии «Государство и бизнес: совместная стратегия обеспечения безопасности», которая прошла в рамках SOC Forum 2024.
Оценку состояния национальной информационной безопасности России дал Алексей Петров (Совет Безопасности РФ). Он заявил о беспрецедентной кампании, которая с 2022 года ведётся против России спецслужбами иностранных государств и международными хакерами, изменении масштабов угроз и скоординированных атаках на российские объекты с целью нарушения работы предприятий. Поэтому, считает спикер, необходимо и в дальнейшем принимать меры по защите объектов КИИ и социальной инфраструктуры, повышать эффективность мониторинга и реагирования на киберугрозы, а также вносить изменения в законодательство и нормативно-правовые акты. Работа по обновлению «Доктрины национальной безопасности» уже ведётся и будет завершена в 2025 году.
Противник сменил тактику
Петр Белов (НКЦКИ) напомнил о том, что ранее сделанный ФСБ России прогноз на 2024 год оправдался: атак меньше не становится. Противник сменил тактику и перешёл от громких акций и инфоповодов к атакам с целью нанесения максимального ущерба, используя шифровальщики и уничтожая информацию, стирая всё. Векторы проникновения не сильно изменились — критические уязвимости на периметре, фишинг и атаки на цепочки поставщиков.
Порядка 70% компьютерных инцидентов, информация о которых поступила в НКЦКИ, — это инциденты, связанные с уничтожением информации разными способами. Это и шифрование, и именно стирание данных, когда стирали все: контроллеры домена, дата-серверы, логи и резервные копии. «Чтобы ущерб был максимальным, чтобы информационная система не могла работать, — подчеркнул эксперт. — При этом мы можем утверждать, что эти операции проводятся весьма скоординировано. Нами с начала этого года фиксируется одна довольно интересная кибероперация: последовательно атакуются многие объекты как относящиеся к критической информационной инфраструктуре, так и не являющиеся ею. Участвуют различные группировки, но, исходя из того, как методично осуществляется прощупывание объектов, поиск целей, возможный заход на эти цели и последующее их выведение из строя, можно утверждать, что эти инциденты можно объединить как бы в одну операцию».
По словам представителя НКЦКИ, операция координируется одним мозговым центром, несмотря на участие в ней разных групп. У них как бы единая линия поведения, но различная квалификация. Они пользуются похожим инструментом, но используют разные тактики проникновения и работы внутри систем. Как правило, атака проводится в два этапа. На первом идёт эксплуатация критической уязвимости на периметре, после чего проходит закрепление в системе, куда кладется лёгкий инструмент, который себя практически никак не проявляет. Он предназначен исключительно для удалённого управления и иногда даёт о себе знать во внешний мир — что готов к работе. Вторая, активная фаза операции проводится через несколько недель: подключаются другие группировки, которые параллельно идут по уже атакованной системе. Они ищут активы, которые можно было бы вывести из строя, и после этого, на основании некого решения или команды, или всё шифруют, или затирают.
«Мы довольно быстро научились определять индикаторы, свидетельствующие о подобных попытках проникновения, и уже почти в автоматизированном режиме выявляем признаки подобных инцидентов», — заверил Белов. Специалисты НКЦКИ выявляют такого рода атаки и сообщают о них владельцам информационных систем. В ряде случаев удалось наладить взаимодействие с представителями организаций и предотвратить ущерб. В противном случае пострадавшая сторона отрицает проникновение и обращается к НКЦКИ спустя непродолжительное время с жалобами на уничтоженную инфраструктуру.
По мнению спикера, это связано либо с отсутствием квалифицированных специалистов и непониманием, что надо делать, либо с нежеланием верить в то, что может случиться инцидент: «Сейчас в ГосСОПКА обязаны поставлять информацию только субъекты КИИ и только об инцидентах на объектах КИИ, а также операторы персональных данных, если у них произошла утечка. Больше никто ничего не обязан предоставлять. Такая ситуация очень сильно усложняет оценку обстановки и её прогнозирование. ГосСОПКА должна получать больше информации».
Пётр Белов уверен: с учётом многолетнего опыта работы ГосСОПКА, для эффективного противостояния атакам должны быть приняты единые принципы скоординированной работы, по одним методикам. Первый шаг на этом пути — создание центров ГосСОПКА, которые будут работать под руководством НКЦКИ. Эти структуры будут обеспечивать процессы обнаружения, предупреждения и ликвидации последствий компьютерных атак, реагирования на компьютерные инциденты под единым методическим руководством национального координационного центра компьютерных инцидентов.
«Разрабатываем проект федерального закона о ГосСОПКА, который определит всех участников ГосСОПКА, их задачи, права, обязанности, ответственность, а также уточнит ситуацию с центрами ГосСОПКА, с их аккредитацией и тому подобное», — резюмировал эксперт.
Отчёт о проделанной работе
Замглавы ФСТЭК России Виталий Лютиков рассказал о работе, которую ведёт его ведомство по повышению защищённости информационной инфраструктуры России. В частности, он остановился на изменениях законодательства и стандартов, новых требованиях и методиках, обратил внимание на порядок аттестации экспертов, затронул вопросы безопасной разработки и сертификации межсетевых экранов уровня сети, которые приходят на смену иностранным NGFW.
По словам Лютикова, в текущем году выявлено более 500 наиболее опасных угроз безопасности и уязвимостей, ведётся активная работа с НКЦКИ. Органам власти и ФОИВ направлены более 170 рекомендаций по повышению защищённости информационной инфраструктуры и уже получена обратная связь. Спикер также отметил, что необходима оценка деятельности руководителей, отвечающих за ИБ, поскольку без соблюдения минимального уровня требований к информационной безопасности говорить о более высоких уровнях защиты смысла нет.
Александр Шойтов, замглавы Минцифры, напомнил о тех работах, что ведутся в рамках национального проекта «Цифровая экономика РФ» и продолжатся в рамках нацпроекта «Экономика данных». Он затронул вопросы доверенного искусственного интеллекта и доверенной разработки, которыми занимается отраслевой центр на базе АНО «НТЦ ЦК». Помимо этого, замминистра рассказал о ставших популярными программах по поиску уязвимостей за деньги и создании национальной системы «Антифрод». В этом направлении разрабатывается общая концепция, идёт этап проектирования, в котором принимают участие все заинтересованные структуры и ведомства, поскольку противостоять противнику можно только совместными усилиями, подытожил Шойтов.
Заместитель министра промышленности и торговли РФ Василий Шпак поделился данными мониторинга субъектов с 2022 года. По его данным, специалисты центра по информационной безопасности Минпромторга провели более двух тысяч проверок субъектов критической инфраструктуры, как документальных, так и выездных. В 70% случаев они обнаружили нарушения, в том числе по причине того, что организации не приступали к категорированию. Всего планируется проверить порядка десяти тысяч объектов КИИ и предприятий с КИИ, которым не дана категория значимости. Спикер добавил: большинство организаций не спешат выполнять требования регуляторов — только 15% организаций КИИ выполнили все требования.
Завершил сессию Вадим Уваров (Банк России), который говорил о проблемах, стоящих перед финансовой отраслью. Он упомянул о вступлении в силу федеральных законов 369-ФЗ и 408-ФЗ, которые регламентируют порядок информационного взаимодействия Банка России с МВД РФ, а также усиливают защиту граждан и повышают финансовую ответственность банков. Остановился Уваров и на вопросах импортозамещения и разработки ПО, средств защиты информации, а также доверенных программно-аппаратных комплексов. Спикер сообщил, что в настоящее время проходят испытания отечественных NGFW, и уже определились четыре лидера. Плюс, принята методика испытаний, по результатам которых будут выбраны доверенные ПАКи. Подробнее об этом регулятор расскажет в феврале 2025 года на Уральском форуме в Екатеринбурге.