В середине ноября в Москве состоялся пятый SOC-Форум, который в этом году посетили более 2000 специалистов со всех уголков России и из других стран. Ключевыми вопросами, которые обсуждались на форуме, стали новые требования регуляторов, развитие технологий SOC, кадровое обеспечение, опыт создания SOC в финансовой сфере и на промышленных предприятиях. Мероприятие официально открыла пленарная дискуссия по теме «Роль центров мониторинга в современной системе информационной безопасности РФ», в которой приняли участие представители регуляторов, выступивших организаторами мероприятия, – ФСБ России и ФСТЭК России.
По мнению заместителя начальника Центра ФСБ России Игоря Качалина, закон №187-ФЗ «О безопасности КИИ РФ» позволил перейти от защиты информации к защите инфраструктуры в целом. Сейчас, по его данным, с НКЦКИ уже подписано 42 соглашения по взаимодействию с центрами ГосСОПКА различных уровней и еще 192 организации запросили рекомендации для подключения. За прошедший год в рамках системы ГосСОПКА было заведено 3 тыс. карточек инцидентов, о которых были предупреждены участники системы. Причем сведения о 90% этих инцидентов были неизвестны участникам системы. Игорь Качалин также отметил, что «часто информационная безопасность оценивается не по победам, а по проигрышам. ГосСОПКА позволяет превратить локальный проигрыш одного из нас в стратегическую победу всего сообщества». На сегодняшний день в системе ГосСОПКА уже участвует 1853 компании, из них к КИИ относятся 535.
Виталий Лютиков, заместитель директора ФСТЭК России, сказал, что закон №187-ФЗ стал «законодательным основанием для внедрения и применения средств защиты. Службы ИБ существовали и до этого, но эффективность их для бизнеса доказать было сложно. Закон дал основание для выстраивания процессов обеспечения информационной безопасности. Наиболее важное ее направление – безопасность АСУ ТП». По словам Виталия Лютикова, закон является попыткой сформулировать критерии информационной безопасности в понятной для бизнеса рисковой модели, только ущерб в нем оценивается не для отдельной компании, а в целом для государства. Компании уже достаточно часто пользуются в бизнесе методологией управления рисками, но в части информационной безопасности применение этих методов пока в новинку. Причем не готовы к такому подходу и специалисты по информационной безопасности, и инженеры АСУ ТП. Он также посетовал, что первые стандарты по управлению ИБ были приняты еще в 2007 г., в области государственного управления – в 2013 г., однако до появления закона №187-ФЗ никто так и не побеспокоился о реализации заложенных в них принципов обеспечения информационной безопасности.
Процесс приведения российской инфраструктуры в соответствие с требованиями закона обнародовала в своем докладе Елена Торбенко, заместитель начальника управления ФСТЭК России. Она отметила, что за прошедший год количество объектов для категорирования по предоставленным перечням увеличилось в два раза, и сейчас их число уже более 45 тыс. Лидерами по количеству объектов по-прежнему остаются энергетики с долей в 35% всей критической инфраструктуры, на второе место вышли медики – им принадлежит 28% потенциальных объектов КИИ. Замыкают тройку лидеров связисты с 9% ключевой инфраструктуры. Правда, пока процесс категорирования находится в самом начале – для 87,99% объектов еще не завершена процедура присвоения категории. Среди тех объектов, которым категория уже определена, большая часть (62,5%) – информационные системы без категорий, еще 28,1% объектов присвоена третья категория, 7,8% – вторая категория и всего 1,5% – первая, самая высшая категория. При этом, по словам Елены Торбенко, субъекты часто скрывают свои объекты, занижают их категории и срывают сроки, указанные в нормативных документах. «О тех, кто промолчал, мы знаем. В свое время мы сообщим им о том, что они не правы», – прокомментировала Елена Торбенко ситуацию с регистрацией во ФСТЭК перечней объектов КИИ.
Вице-президент по информационной безопасности ПАО «Ростелеком» и генеральный директор компании «Ростелеком-Солар» Игорь Ляпунов отметил, что регулирование в сфере КИИ видоизменяет и поведение хакеров. По его данным, количество атак на критическую инфраструктуру увеличилось. Причем вредоносное ПО не всегда обнаруживается даже «песочницами», не говоря о классических антивирусах. Зачастую хакеры вообще не используют вредоносный код, а проникают в информационные системы с помощью легальных учетных записей, данные о которых они получают посредством фишинга. Заметить такую атаку средствами защиты практически невозможно – ее можно распознать с помощью средств постоянного мониторинга событий информационной безопасности, выявления аномалий в действиях пользователей и реагирования на предупреждения из ГосСОПКА. Это могут делать, в частности, сторонние центры реагирования на инциденты ИБ – SOC, рынок которых сейчас активно развивается.
Лидерами на нем являются компании «Ростелеком-Солар» и BI.Zone с услугами коммерческих Solar JSOC и BI.ZONE SOC, незначительно отстают от них и другие участники рынка: JET CSIRT, IZ:SOC, Angara Cyber Resilience Center и даже региональный CyberART. Все они предоставляют услуги по подключению к ГосСОПКА, взаимодействию с российской инфраструктурой защиты и реагированию на инциденты. Причем их услугами могут воспользоваться как крупные компании, так и небольшие фирмы, которые имеют на балансе объекты КИИ. Таким образом, уже создан рынок услуг для реализации защиты значимых объектов КИИ при помощи внешних центров реагирования, а наличие достаточно широкого выбора поставщиков позволяет надеяться на конкуренцию между ними и выработку оптимальных ценовых предложений.
