Сигналы регуляторов
ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных
Риски кибербезопасности в 2023 году изменились, но продолжают расти – ведь за атакующими российские ИТ-ресурсы хакерами часто стоят иностранные спецслужбы, отмечают эксперты. Как успешно противостоять злоумышленникам и при этом поддерживать высокие темпы цифровизации, обсудили представители отечественных регуляторов на прошедшем 14–15 ноября SOC-Forum 2023.
УСПЕТЬ ЗА ЦИФРОВИЗАЦИЕЙ
Почти 100% социально значимых услуг в России предоставляется в цифровом виде, объем вложений в отечественные ИТ-решения в 2022 году составил 521,9 млрд рублей, сообщил на SOC-Forum 2023 гендиректор ГК «Солар» Игорь Ляпунов. Несмотря на резко возросшее количество киберугроз, продолжается цифровизация производства и здравоохранения, готовится к запуску национальный проект «Экономика данных», рассказал он.
Игорь Ляпунов, ГК «Солар»:
– Мы видим две тенденции: с одной стороны – ускоряющуюся цифровизацию, с другой – постоянное давление хакеров, которое спонсируется иностранными государствами. ГК «Солар» фиксирует более 170 целевых атак на российские ресурсы в день. По нашим данным, за 2023 год в Сеть утекло около 440 млн строк конфиденциальной информации.
Он подчеркнул, что
для противодействия этим угрозам нужна совместная работа бизнеса, профессионального сообщества и регуляторов
Но часто операторы или владельцы ресурсов, относящихся к критической информационной инфраструктуре (КИИ), пытаются искусственно разделить объекты КИИ на сегменты для уменьшения негативных последствий и снижения категории значимости, обратил внимание заместитель директора ФСТЭК России Виталий Лютиков.
По его словам,
с конца 2022 года ФСТЭК проверила более 40 тыс. систем, треть из них была возвращена на доработку с точки зрения [оценки возможного] ущерба
Виталий Лютиков, ФСТЭК России:
– При принятии решения о том, какие системы должны защищаться, мы предлагаем руководствоваться документами, разработанными отраслевыми регуляторами, и, конечно, постановлением правительства №127 как основным нормативным актом.
Отраслевые перечни типовых объектов КИИ разработаны и согласованы с ФСТЭК России в семи отраслях: науке, ТЭК, энергетике, транспорте, ракетно-космической и атомной промышленности и банковской сфере. В других сферах аналогичные перечни могут появиться до конца 2023 года, сообщила на форуме начальник управления ФСТЭК России Елена Торбенко.
Типовые перечни – это не перечни значимых объектов КИИ, подчеркнула она.
Типовой перечень – это:
- Типы систем, которые имеются у субъекта КИИ с учетом его типов деятельности;
- Системы, которые должны быть включены в перечень объектов, подлежащих категорированию.
«На наш взгляд это очень большая помощь организациям на начальном этапе осознания себя как субъекта [КИИ] и осознания своих систем как объектов, которые подлежат защите», – отметила Елена Торбенко.
ФСТЭК выявила более 700 нарушений в сфере кибербезопасности, рассказал Виталий Лютиков. По его словам,
в 98% случаев выявляются простейшие нарушения, которые тем не менее могут создавать предпосылки для возникновения угроз
«Организации, которые планируются к проверке в 2024 году, мы будем приглашать на совещания, где представим типовые ошибки, чтобы они имели возможность до проверки устранить недостатки», – предупредил Виталий Лютиков.
Роскомнадзор сейчас создает Национальную систему защиты от DDoS-атак, напомнил представитель ФСТЭК. «С коллегами из ФСБ и Роскомнадзора нам надо будет разработать требования к обеспечению безопасности и защите от DDoS-атак», – сказал он.
Большинство утечек данных происходит по вине подрядчиков, оказывающих услуги по ИТ-разработке, но их деятельность до сих пор никак не регулируется. Поэтому ФСТЭК разрабатывает законопроект, который предлагает установление требований по обеспечению кибербезопасности информсистем к таким подрядчикам, работающим прежде всего с государственными ИТ-системами, рассказал Виталий Лютиков.
ХАКЕРЫ МЕНЯЮТ ЦЕЛИ
Установление требований к подрядчикам является самой актуальной задачей, и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) приветствует эту инициативу, поддержал представителя ФСТЭК замглавы НКЦКИ Петр Белов.
«Мы предлагаем заказчикам, особенно государственным, не ждать, когда выйдет законодательное требование, а принимать меры по защите своих информресурсов и как минимум сокращать количество привилегированных пользователей из числа сотрудников подрядной организации», – заявил Петр Белов на форуме. Он обратил внимание, что
в 2023 году ландшафт киберугроз изменился по целям, которые преследуют злоумышленники
Петр Белов, НКЦКИ:
– Снизилось количество атак, направленных на создание и дальнейшее «раскручивание» различных инфоповодов. В большинстве киберинцидентов, которые мы наблюдали в нынешнем году, целями были добыча информации и причинение максимального ущерба.
При этом, подчеркнул он, наблюдается интерес хакеров не только к закрытой – служебной, коммерческой, технической – информации,
собираются любые сведения: персональные данные, сведения об учетных записях, почтовые сообщения, конфигурационные файлы различных ресурсов
Во второй половине прошлого года публиковалось много похищенных сведений, большинство из них (60%) носило фейковый характер. Но в 2023 году доля фейковых сведений об утечках снизилась до 10-15%.
Петр Белов, НКЦКИ:
– Мы противостоим спецслужбам недружественных государств. Это те же самые люди, которые поставляют вооружения и другие средства. Они же точно так же себя ведут и в виртуальной среде и координируют деятельность тех, кого мы называем злоумышленниками, в части нападения на объекты российской информационной инфраструктуры.
Он настаивает, что
сокращение количества DDoS-атак в нынешнем году не означает снижения уровня их опасности
Петр Белов отметил интересный тренд использования DDoS-атак – ими маскируют выгрузку данных из атакуемых систем.
ЗЕЛЕНЫЙ СВЕТ ДЛЯ БЕЛЫХ ХАКЕРОВ
В ближайшее время будет принят закон об обезличивании персональных данных, спрогнозировал на SOC-Forum 2023 замглавы Минцифры России Александр Шойтов. По его словам, обезличивание – это способ повысить безопасность персданных: «их просто будет меньше, соответственно, и утечек тоже меньше». Также в министерстве ожидают скорого одобрения закона об оборотных штрафах за утечки персональных данных.
Александр Шойтов, Минцифры:
– Закон об оборотных штрафах за утечки ПД станет условным кнутом и будет стимулировать компании больше заниматься кибербезопасностью своих систем.
Одним из перспективных методов информационной защиты Минцифры считает создание платформы Bug Bounty
Для проведения независимого анализа ИТ-систем необходимо привлечение белых хакеров, подчеркнул представитель Минцифры. «Вопрос применения такого подхода для КИИ достаточно тонкий, но, если говорить об операторах персональных данных, здесь эта тема может быть эффективной», – считает Александр Шойтов.
В ходе SOC-форума глава департамента информационной безопасности Банка России Вадим Уваров рассказал о разработке финансовым регулятором методических рекомендаций №14 и №15 по передаче кредитными организациями данных в МВД и ФСБ после инцидентов с КИИ.
Согласно рекомендациям №14, финансовые организации могут информировать о компьютерных инцидентах, реагировании на них и ликвидации последствий атак, передав соответствующие данные через автоматизированную систему обработки инцидентов ФинЦЕРТ в ГосСОПКА.
«Второй важный документ определяет порядок действий организаций при выявлении компьютерных инцидентов на объектах КИИ с точки зрения взаимодействия с правоохранительными органами – МВД и ФСБ. Рекомендую ознакомиться с ними», – сказал Вадим Уваров.
Тимур Халудоров