Как защититься от кибератак

Защитить ИТ-инфраструктуру с помощью антивирусов и одного штатного безопасника в XXI веке невозможно: компьютерные атаки становятся мощнее, а киберпреступники — опытнее. Поэтому инциденты информационной безопасности могут не только спровоцировать кражу данных, но и нанести серьезный ущерб отдельным организациям и государству в целом. Чтобы не допустить таких ситуаций, в России создали специальную систему ГосСОПКА. В этом материале мы расскажем, какие задачи она выполняет, кто обязан к ней подключиться и как это сделать.

Вадим Владиславович Морозов, руководитель корпоративного центра ГосСОПКА

#485736_300#

Создание ГосСОПКА

В январе 2013 года Президент РФ подписал указ о создании в России государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы страны (ГосСОПКА). Система появилась с целью защиты критической информационной инфраструктуры (КИИ) страны. Она представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Это иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им.

Ключевые задачи системы, согласно указу, это прогнозирование ситуаций в области обеспечения информационной безопасности. ГосСОПКА также обязана при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, обеспечить взаимодействие владельцев ИТ-ресурсов с операторами связи и другими организациями, которые осуществляют деятельность по защите информации. В список задач системы в том числе входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов. Требования и субъекты, для которых исполнение данных требований носит обязательный характер, установлены нормативными правовыми актами в области защиты критической информационной инфраструктуры.

Активное развитие система получила с мая 2022 года, когда вступил в силу еще один указ Президента РФ — от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ», который серьезно изменил реалии данной сферы. Он подчеркивает ряд моментов, которые в той или иной форме присутствуют в ранее выпущенных нормативных документах. Основной задачей указа было выделить главное в них и сконцентрировать усилия организаций на исполнении этих требований.

Причины создания

При решении задачи защиты от хакерских атак критически важных информационных систем приходится учитывать несколько факторов. Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему. Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия. В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются один-два раза в год. В то же время для эффективного реагирования на такие атаки требуются люди с крайне редкими специальностями: реверсеры[1], вирусные аналитики, компьютерные криминалисты и т. п. Ни одна организация не может позволить себе держать в штате таких специалистов, если они востребованы крайне редко.

Такая особенность предметной области диктует свой подход к решению проблемы. Если применяемые меры защиты не могут гарантированно предотвратить атаку, значит, одновременно с принятием превентивных мер необходимо готовиться к реагированию на такую атаку. Если невозможно обеспечить все предприятия КИИ специалистами с нужными компетенциями, значит, нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.

Порядок работы

Согласно Федеральному закону от 26 июля 2017 года № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в первую очередь ГосСОПКА предназначена для того, чтобы решать задачи обеспечения безопасности КИИ страны. К объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. Субъектами критической информационной инфраструктуры являются те, кто на праве собственности, аренды или ином законном основании владеет такими объектами. Это:

госорганы и госучреждения;

российские юридические лица;

индивидуальные предприниматели.

Субъекты КИИ могут функционировать в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, государственная регистрация прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Обеспечение безопасности КИИ невозможно без защиты от компьютерных атак остальных информационных ресурсов РФ. Поэтому частью ГосСОПКА могут стать иные организации, не являющиеся субъектами КИИ.

Организовав взаимодействие с ГосСОПКА, любой участник системы сможет получать от Национального координационного центра по компьютерным инцидентам (НКЦКИ):

сведения об актуальных угрозах и уязвимостях;

сведения о признаках компьютерных инцидентов;

индикаторы вредоносной активности;

сведения о способах и средствах проведения компьютерных атак;

адресные рекомендации по защите;

помощь в реагировании на компьютерные инциденты (при необходимости).

Субъекты критической информационной инфраструктуры обязаны сообщать в НКЦКИ обо всех инцидентах на своих объектах. Ответственность за выполнение этих требований возлагается на должностные лица субъекта КИИ:

руководителя субъекта КИИ;

уполномоченное лицо;

лиц, которые эксплуатируют значимые объекты;

лиц, которые обеспечивают функционирование значимых объектов;

лиц, которые обеспечивают безопасность значимых объектов.

Если должностные лица не выполнят требования регулятора, то для них предусмотрена уголовная ответственность (статья 274.1 УК РФ) вплоть до принудительных работ, лишения права занимать определенные должности или лишения свободы до 10 лет. Если не выполнить предписание регулятора по устранению нарушения законодательства, то согласно КоАП РФ (статья 19.5) придется заплатить крупные административные штрафы.

Организации, не являющиеся субъектами КИИ, могут сообщать обо всех инцидентах на своих объектах в добровольном порядке. Чем больше источников информации об инцидентах будет, тем более полными, точными, полезными и адресными будут выпускаемые НКЦКИ рекомендации по мерам защиты от угроз.

Чтобы стать частью ГосСОПКА и начать взаимодействие, необходимо либо заключить соглашение о сотрудничестве, либо подписать регламент взаимодействия. После подключения к системе организация обязана самостоятельно отправлять в систему информацию об инцидентах информационной безопасности, предотвращении и ликвидации атак. Данные поступают в НКЦКИ и передаются всем подключенным организациям. Это позволяет всем участникам системы получать актуальные данные о кибератаках и способах противодействия.

[1] Люди, которые занимаются реверс-инжинирингом — процессом анализа готового продукта с целью определения его структуры, функционирования и принципов работы.