Терроризм стал частью необъявленной войны между государствами, поэтому теме борьбы с ним была посвящена значительная часть выступлений на 19-м Национальном форуме информационный безопасности, который состоялся в начале февраля. На «Инфофоруме» традиционно собираются представители государственных органов, организаций и компаний, которые совместно обсуждают проблемы обеспечения информационной безопасности в Российской Федерации. В этом году центральной темой стал пакет законов о защите критический информационной инфраструктуры (КИИ), который был принят в конце января Государственной Думой в первом чтении.
В частности, этой теме была посвящена отдельная секция «Безопасность критической информационной инфраструктуры: состояние, риски, нормативное обеспечение и комплексные решения», которую вел заместитель начальника Центра ФСБ России, кандидат физико-математических наук Николай Николаевич Мурашов. Он отметил, что хакеры, атакующие объекты КИИ, могут преследовать три цели: преступные, террористические и разведывательные. Компании, которые являются собственниками объектов КИИ, не всегда могут самостоятельно защититься от террористов и спецслужб иностранных государств, особенно в условиях экономических ограничений. В то же время для государства важно функционирование объектов КИИ, и оно готово их защищать, но для этого нужно, чтобы собственники также пошли навстречу и реализовали интеграцию своей инфраструктуры с государственными средствами обеспечения информационной безопасности. При этом отмечается, что большинство инцидентов связано с человеческим фактором, для снижения таких рисков очень эффективны организационные меры.
Собственно, мы уже писали о пакете законопроектов о защите КИИ [1], где подробно разбиралась стратегия построения государственной системы защиты критической инфраструктуры ГосСОПКА. Однако по факту различные отрасли находятся на разных этапах формирования средств защиты. В частности, ОПК, государственная и финансовая отрасли уже имеют свои отраслевые центры реагирования – «РТ Информ», GovCERT и FinCERT соответственно, в то время как в отдельных отраслях (например, в химической, металлургической и горнодобывающей) вообще непонятно, есть ли объекты информационной инфраструктуры, которые могут атаковать хакеры и которые нужно защищать.
В некоторых отраслях, таких как транспорт, энергетика и ТЭК, формируются ситуационные центры, которые вполне могут претендовать на роль объектов КИИ, но защита их организуется в рамках системы распределенных ситуационных центров (СРСЦ). На «Инфофоруме» работала отдельная секция по СРСЦ под названием «Система распределенных ситуационных центров органов государственной власти в качестве основы цифрового суверенитета и развития Российской Федерации», которую вел заместитель начальника управления информационных систем Службы специальной связи и информации ФСО, доктор технических наук, процессор Николай Ильин. На секции обсуждали современное состояние дел в области проектирования и создания СРСЦ, работающих по единому регламенту взаимодействия, цифровой суверенитет и создание центров компетенции для государственных органов. Скорее всего, в таких отраслях, где уже созданы ситуационные центры, службы реагирования на компьютерные инциденты будут строиться на их основе.
Впрочем, вполне возможно, что передовые отрасли будут делиться своими компетенциями с отстающими. На конференции пример такого взаимодействия привел Артем Сычев, заместитель начальника Главного управления безопасности и защиты информации Центробанка. Он рассказал об атаке на восемь российских кредитных организаций в ноябре прошлого года. Нападение было осуществлено с помощью зомби-сети Mirai, которая ранее атаковала крупных национальных операторов [2]. Однако FinCERT через систему ГосСОПКА вовремя получил предупреждение о готовящейся атаке, что позволило организациям подготовиться и отразить атаку. Это потребовало от FinCERT оперативного взаимодействия с Минсвязи, а через него и с российскими операторами, которые и обеспечили защиту. В результате никаких сбоев в работе банковских систем зафиксировано не было, хотя атака была реализована. Следует отметить, что у провайдеров Интернета есть собственный центр реагирования под названием ruCERT, который не включен в государственную систему защиты, но потребность в таком взаимодействии есть. Специалисты FinCERT поделились с операторами своим опытом взаимодействия и использования ГосСОПКА, вероятно, и телеком-отрасль в скором времени тоже создаст собственный отраслевой центр реагирования, возможно, не один. Таким образом, часть инфраструктуры для реализации пакета законов по защите объектов КИИ уже есть и быстро может быть расширена.
[1]. http://www.connect-wit.ru/kriticheskaya-infrastruktura-pod-zashhitoj.html
[2]. http://www.connect-wit.ru/obzor-zarubezhnoj-pressy-po-tematike-informatsionnoj-bezopasnosti-za-noyabr-bezopasnost-v-ssha.html
