Сигналы регуляторов

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Риски кибербезопасности в 2023 году изменились, но продолжают расти – ведь за атакующими российские ИТ-ресурсы хакерами часто стоят иностранные спецслужбы, отмечают эксперты. Как успешно противостоять злоумышленникам и при этом поддерживать высокие темпы цифровизации, обсудили представители отечественных регуляторов на прошедшем 14–15 ноября SOC-Forum 2023.

УСПЕТЬ ЗА ЦИФРОВИЗАЦИЕЙ

Почти 100% социально значимых услуг в России предоставляется в цифровом виде, объем вложений в отечественные ИТ-решения в 2022 году составил 521,9 млрд рублей, сообщил на SOC-Forum 2023 гендиректор ГК «Солар» Игорь Ляпунов. Несмотря на резко возросшее количество киберугроз, продолжается цифровизация производства и здравоохранения, готовится к запуску национальный проект «Экономика данных», рассказал он.

Игорь Ляпунов, ГК «Солар»:

– Мы видим две тенденции: с одной стороны – ускоряющуюся цифровизацию, с другой – постоянное давление хакеров, которое спонсируется иностранными государствами. ГК «Солар» фиксирует более 170 целевых атак на российские ресурсы в день. По нашим данным, за 2023 год в Сеть утекло около 440 млн строк конфиденциальной информации.

Он подчеркнул, что

для противодействия этим угрозам нужна совместная работа бизнеса, профессионального сообщества и регуляторов

Но часто операторы или владельцы ресурсов, относящихся к критической информационной инфраструктуре (КИИ), пытаются искусственно разделить объекты КИИ на сегменты для уменьшения негативных последствий и снижения категории значимости, обратил внимание заместитель директора ФСТЭК России Виталий Лютиков.

По его словам,

с конца 2022 года ФСТЭК проверила более 40 тыс. систем, треть из них была возвращена на доработку с точки зрения [оценки возможного] ущерба

Виталий Лютиков, ФСТЭК России:

– При принятии решения о том, какие системы должны защищаться, мы предлагаем руководствоваться документами, разработанными отраслевыми регуляторами, и, конечно, постановлением правительства №127 как основным нормативным актом.

Отраслевые перечни типовых объектов КИИ разработаны и согласованы с ФСТЭК России в семи отраслях: науке, ТЭК, энергетике, транспорте, ракетно-космической и атомной промышленности и банковской сфере. В других сферах аналогичные перечни могут появиться до конца 2023 года, сообщила на форуме начальник управления ФСТЭК России Елена Торбенко.

Типовые перечни – это не перечни значимых объектов КИИ, подчеркнула она.

Типовой перечень – это:

• Типы систем, которые имеются у субъекта КИИ с учетом его типов деятельности;
• Системы, которые должны быть включены в перечень объектов, подлежащих категорированию.

«На наш взгляд это очень большая помощь организациям на начальном этапе осознания себя как субъекта [КИИ] и осознания своих систем как объектов, которые подлежат защите», – отметила Елена Торбенко.

ФСТЭК выявила более 700 нарушений в сфере кибербезопасности, рассказал Виталий Лютиков. По  его словам,

в 98% случаев выявляются простейшие нарушения, которые тем не менее могут создавать предпосылки для возникновения угроз

«Организации, которые планируются к проверке в 2024 году, мы будем приглашать на совещания, где представим типовые ошибки, чтобы они имели возможность до проверки устранить недостатки», – предупредил Виталий Лютиков.

Роскомнадзор сейчас создает Национальную систему защиты от DDoS-атак, напомнил представитель ФСТЭК. «С коллегами из ФСБ и Роскомнадзора нам надо будет разработать требования к обеспечению безопасности и защите от DDoS-атак», – сказал он.

Большинство утечек данных происходит по вине подрядчиков, оказывающих услуги по ИТ-разработке, но их деятельность до сих пор никак не регулируется. Поэтому ФСТЭК разрабатывает законопроект, который предлагает установление требований по обеспечению кибербезопасности информсистем к таким подрядчикам, работающим прежде всего с государственными ИТ-системами, рассказал Виталий Лютиков.

ХАКЕРЫ МЕНЯЮТ ЦЕЛИ

Установление требований к подрядчикам является самой актуальной задачей, и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) приветствует эту инициативу, поддержал представителя ФСТЭК замглавы НКЦКИ Петр Белов.

«Мы предлагаем заказчикам, особенно государственным, не ждать, когда выйдет законодательное требование, а принимать меры по защите своих информресурсов и как минимум сокращать количество привилегированных пользователей из числа сотрудников подрядной организации», – заявил Петр Белов на форуме. Он обратил внимание, что

в 2023 году ландшафт киберугроз изменился по целям, которые преследуют злоумышленники

Петр Белов, НКЦКИ:

– Снизилось количество атак, направленных на создание и дальнейшее «раскручивание» различных инфоповодов. В большинстве киберинцидентов, которые мы наблюдали в нынешнем году, целями были добыча информации и причинение максимального ущерба.

При этом, подчеркнул он, наблюдается интерес хакеров не только к закрытой – служебной, коммерческой, технической – информации,

собираются любые сведения: персональные данные, сведения об учетных записях, почтовые сообщения, конфигурационные файлы различных ресурсов

Во второй половине прошлого года публиковалось много похищенных сведений, большинство из них (60%) носило фейковый характер. Но в 2023 году доля фейковых сведений об утечках снизилась до 10-15%.

Петр Белов, НКЦКИ:

– Мы противостоим спецслужбам недружественных государств. Это те же самые люди, которые поставляют вооружения и другие средства. Они же точно так же себя ведут и в виртуальной среде и координируют деятельность тех, кого мы называем злоумышленниками, в части нападения на объекты российской информационной инфраструктуры.

Он настаивает, что

сокращение количества DDoS-атак в нынешнем году не означает снижения уровня их опасности

Петр Белов отметил интересный тренд использования DDoS-атак – ими маскируют выгрузку данных из атакуемых систем.

ЗЕЛЕНЫЙ СВЕТ ДЛЯ БЕЛЫХ ХАКЕРОВ

В ближайшее время будет принят закон об обезличивании персональных данных, спрогнозировал на SOC-Forum 2023 замглавы Минцифры России Александр Шойтов. По его словам, обезличивание – это способ повысить безопасность персданных: «их просто будет меньше, соответственно, и утечек тоже меньше». Также в министерстве ожидают скорого одобрения закона об оборотных штрафах за утечки персональных данных.

Александр Шойтов, Минцифры:

– Закон об оборотных штрафах за утечки ПД станет условным кнутом и будет стимулировать компании больше заниматься кибербезопасностью своих систем.

Одним из перспективных методов информационной защиты Минцифры считает создание платформы Bug Bounty

Для проведения независимого анализа ИТ-систем необходимо привлечение белых хакеров, подчеркнул представитель Минцифры. «Вопрос применения такого подхода для КИИ достаточно тонкий, но, если говорить об операторах персональных данных, здесь эта тема может быть эффективной», – считает Александр Шойтов.

В ходе SOC-форума глава департамента информационной безопасности Банка России Вадим Уваров рассказал о разработке финансовым регулятором методических рекомендаций №14 и №15 по передаче кредитными организациями данных в МВД и ФСБ после инцидентов с КИИ.

Согласно рекомендациям №14, финансовые организации могут информировать о компьютерных инцидентах, реагировании на них и ликвидации последствий атак, передав соответствующие данные через автоматизированную систему обработки инцидентов ФинЦЕРТ в ГосСОПКА.

«Второй важный документ определяет порядок действий организаций при выявлении компьютерных инцидентов на объектах КИИ с точки зрения взаимодействия с правоохранительными органами – МВД и ФСБ. Рекомендую ознакомиться с ними», – сказал Вадим Уваров.

Тимур Халудоров