Борьба с терроризмом на «Инфофоруме»
Терроризм стал частью необъявленной войны между государствами, поэтому теме борьбы с ним была посвящена значительная часть выступлений на 19-м Национальном форуме информационный безопасности, который состоялся в начале февраля. На «Инфофоруме» традиционно собираются представители государственных органов, организаций и компаний, которые совместно обсуждают проблемы обеспечения информационной безопасности в Российской Федерации. В этом году центральной темой стал пакет законов о защите критический информационной инфраструктуры (КИИ), который был принят в конце января Государственной Думой в первом чтении.
Критическая инфраструктура
В частности, этой теме была посвящена отдельная секция «Безопасность критической информационной инфраструктуры: состояние, риски, нормативное обеспечение и комплексные решения», которую вел заместитель начальника Центра ФСБ России, кандидат физико-математических наук Николай Николаевич Мурашов. Он отметил, что хакеры, атакующие объекты КИИ, могут преследовать три цели: преступные, террористические и разведывательные. Компании, которые являются собственниками объектов КИИ, не всегда способны самостоятельно защититься от террористов и спецслужб иностранных государств, особенно в условиях экономических ограничений. В то же время для государства важно функционирование объектов КИИ, и оно готово их защищать, но для этого нужно, чтобы собственники тоже пошли навстречу и реализовали интеграцию своей инфраструктуры с государственными средствами обеспечения информационной безопасности. При этом отмечается, что большинство инцидентов связано с человеческим фактором, для снижения подобных рисков очень эффективны организационные меры.
Собственно, в законопроекте предполагается, что уже существующая инфраструктура ГосСОПКА станет обязательной для подключения 13 отраслей – их список содержится в пояснительной записке к законопроекту. Однако по факту различные отрасли находятся на разных этапах формирования средств защиты. В частности, ОПК, государственная и финансовая отрасли уже имеют свои отраслевые центры реагирования – «РТ Информ», GovCERT и FinCERT соответственно, в то время как в отдельных отраслях (например, в химической, металлургической и горнодобывающей) вообще непонятно, есть ли объекты информационной инфраструктуры, которые могут атаковать хакеры и которые нужно защищать. При этом ФСТЭК уже имеет собственный приказ № 31, который определяет требования к информационной безопасности АСУ ТП. Изначально предполагалось, что этот приказ будет разъяснять закон о КИИ, но Государственная Дума оказалась менее поворотливой, чем чиновники ФСТЭК. В результате приказ уже действует, а закон – еще нет. Однако, как пояснил Николай Николаевич Мурашов, с принятием законопроекта ФСТЭК придется привести свои приказы в соответствие с новыми нормами.
В некоторых отраслях, например на транспорте, в энергетике и ТЭК, формируются ситуационные центры, которые вполне могут претендовать на роль объектов КИИ, но их защита организуется в рамках системы распределенных ситуационных центров (СРСЦ). Скорее всего, в таких отраслях, где уже созданы ситуационные центры, службы реагирования на компьютерные инциденты будут строиться на их основе. На «Инфофоруме» работала отдельная секция по СРСЦ под названием «Система распределенных ситуационных центров органов государственной власти в качестве основы цифрового суверенитета и развития Российской Федерации», которую вел заместитель начальника управления информационных систем Службы специальной связи и информации ФСО, доктор технических наук, профессор Николай Ильин. На секции обсуждали современное состояние дел в области проектирования и создания СРСЦ, работающих по единому регламенту взаимодействия, цифровой суверенитет и создание центров компетенции для государственных органов.
Борьба с терроризмом
По данным ФСО, на текущий момент ситуационные центры созданы в 22 регионах и только в семи решение по формированию СЦ не принято, правда, эти регионы располагаются в основном на Дальнем Востоке, в Сибири и на Северном Кавказе. Казалось бы, для последнего угроза терроризма и дестабилизации общественной обстановки наиболее высока и именно там требуется развивать инфраструктуру СЦ, но, видимо, инфраструктура для этого не готова. Впрочем, сейчас на базе ФСО, Минкомсвязи и МГУ создается центр компетенции по вопросам создания СРСЦ, который, возможно, поможет развернуть ситуационные центры во всех остальных регионах и органах власти. Предполагается, что СРСЦ станет интегрированной платформой для государственного управления, т. е. подпадет под определение ключевой информационной инфраструктуры Российской Федерации. Естественно, в составе типового решения по организации ситуационного центра предполагается такой компонент, как система информационной безопасности, поэтому логично и на них распространить требования по защите объектов КИИ.
Вполне возможно, что передовые отрасли будут делиться своими компетенциями с отстающими. На конференции пример такого взаимодействия привел Артем Сычев, заместитель начальника Главного управления безопасности и защиты информации Центробанка. Он рассказал об атаке на восемь российских кредитных организаций в ноябре прошлого года. Нападение было осуществлено с помощью зомби-сети Mirai, которая ранее атаковала крупных национальных операторов. Однако FinCERT через систему ГосСОПКА вовремя получил предупреждение о готовящейся атаке, что позволило организациям подготовиться и отразить атаку. Это потребовало от FinCERT оперативного взаимодействия с Минсвязи, а через него с российскими операторами, которые и обеспечили защиту. В результате никаких сбоев в работе банковских систем зафиксировано не было, хотя атака была реализована. Следует отметить, что у провайдеров Интернета есть собственный центр реагирования под названием ruCERT, который не включен в государственную систему защиты, но потребность в таком взаимодействии существует. Специалисты FinCERT поделились с операторами своим опытом взаимодействия и использования ГосСОПКА, вероятно, и телеком-отрасль в скором времени создаст собственный отраслевой центр реагирования, возможно, не один. Таким образом, часть инфраструктуры для реализации пакета законов по защите объектов КИИ уже есть и быстро может быть расширена.
Следует отметить, что террористическая деятельность – это не только атаки на критическую инфраструктуру, но и пропаганда терроризма в социальных сетях. Подобные проблемы обсуждали, например, на секции «Правовые и концептуальные вопросы информационной безопасности в цифровую эпоху». Сейчас поиск людей, которые занимаются такой пропагандой, является одной из задач правоохранительных органов. Но для этого нужны технологии, которые позволяли бы выявлять подозрительную активность в социальных сетях. Сложность тут в том, что в открытых группах террористы не пользуются общепринятой терминологией. Они часто подменяют понятия, поэтому простые механизмы поиска по ключевым словам для решения подобных задач не эффективны.
Для решения подобных проблем в Орловском государственном университете имени И.С. Тургенева разработали технологию, позволяющую выявлять необычное использование слов в какой-либо части социальной сети. Далее подозрительные семантические конструкции передаются на анализ экспертам, которые составляют словарь подставок и тем самым дают возможность определять реальный смысл выражений. Сейчас, по словам доцента Орловского университета Саввы Юрия Болеславовича, подобные технологии уже начинают внедряться в правоохранительных органах в целях поиска скрытых смыслов и выявления противоправной деятельности в социальных сетях. Таким образом, на «Инфофоруме» обсуждались наиболее актуальные проблемы и решения, связанные с обеспечением безопасности государственных информационных систем.
