В начале февраля состоялся 23-й Большой “Инфофорум”, на котором традиционно обсуждались проблемы информационной безопасности государственных ресурсов, защиты критической информационной инфраструктуры и государственного управляется, а также импортозамещения и защиты от «правдоподобных фейков» (DeepFake).
На “Инфофоруме” поднималась в том числе и тема цифровой трансформации российского государства, но также с точки зрения обеспечения ее безопасной реализации. В этом году «Инфофорум» проводился в гибридном формате — в зале находилась минимальная часть аудитории, а основные посетители могли подключиться к заседаниям дистанционно. Правда были заседания, в которых дистанционный формат не предполагался — там обсуждали международную политику в сфере информационной безопасности.
Хакеры концентрируются на КИИ
Ведущий эксперт «Лаборатории Касперского» Сергей Голованов в своем выступлении на «Инфофоруме» отметил, что для частных пользователей Интернет становится все более безопасным. По данным его компании вероятность частному пользователю из России при доступе к Интернет получить вредоносный контент составляет всего 8 — 10%, что даже меньше, чем для жителей США. Он также отметил сокращение количества шифрователей-вымогателей, правда если раньше они терроризировали частных пользователей, то теперь они переключились на корпоративные сети компаний, государственных органов, медицинских учреждений и других — это оказывается и более заметно для прессы и, похоже, более выгодно для операторов самих шифровальщиков. Компании охотнее оплачивают выкуп, чем частные пользователи, да и сам выкуп может быть побольше.
Переключение хакерской активности на предприятия критической информационной инфраструктуры отметил и заместитель директора НКЦКИ Николай Мурашов. Количество бюллетеней об атаках, которые рассылались по каналам ГосСОПКА в 2020 году, увеличилось в три раза. При этом основные атаки были направлены на российские государственные ресурсы и промышленные предприятия. Были зафиксированы случаи заражения медицинских учреждений шифровальщиками-вымогателями, а также в некоторых государственных, промышленных и банковских сетях были обнаружены зомби-компоненты сети Mirai, которые изначально разрабатывались для заражения домашних IoT-устройств. Так что тенденция перехода злоумышленников от частных пользователей к корпоративным также прослеживается.
Тенденцию подтвердил в своем выступлении и вице-президент ПАО «Ростелеком» Игорь Ляпунов, который отметил, что целью деятельности хакерских группировок является получение доступа к объектам КИИ с целью шпионажа и воздействия на управляющую инфраструктуру. При этом многие ФОИВы и владельцы объектов КИИ не готовы к таким целенаправленным атакам, в которых используются все наиболее передовые методы проникновения. В качестве примера он привел такую цифру: среднее время исправления найденной уязвимости на объектах КИИ составляет 1,5 месяца, хотя срок от ее публикации до эксплуатации уже измеряется часами. Для улучшения ситуации он предложил действовать в четырех направлениях: повышение финансовой ответственности за успешную атаку, создание системы отраслевых центров реагирования, как это сделано для финансовой отрасли, подготовка кадров и проведение киберучений. Он отметил, что дефицит кадров в отрасли составляет 12 — 13 тыс. человек, но это кадры не очень квалифицированные — их можно готовить не в вузах, а в средне-профессиональных учебных заведениях для обслуживания оборудования и реагирования на инциденты строго по инструкции.
Владельцы КИИ сопротивляются требованиям закона
Из выступления заместителя директора ФСТЭК России Виталия Лютикова можно сделать вывод, что владельцы КИИ всеми силами стараются выйти из под действия закона №187-ФЗ «О безопасности КИИ». Хотя количество субъектов КИИ, которые подали в ведомство перечни своих потенциальных объектов, в 2020 году увеличилось в два раза, а количество значимых объектов КИИ за тот же период вообще увеличилось в 4,5 раза. Тем не менее по мнению Виталия Лютикова все больше компаний занижают показания возможного ущерба от атаки на информационные системы, объясняя купирование последствий системами противоаварийной защиты или дублирующими действиями персонала. «Мы все больше и больше отправляем на пересмотр категорий по тем объектам, для которых указаны нулевые ущербы», — предупредил Виталий Лютиков.
Он заверил собравшихся на Форуме, что Прокуратура в рамках своих полномочий, прописанных в законе №187-ФЗ будет проводить проверки предприятий на предмет соблюдения ими законодательства по КИИ — срок в три года с момента вступления закона в силу уже не воспринимается как оправдание не реализации требований. Сама ФСТЭК также планирует приступить к проведению собственных проверок субъектов КИИ уже в рамках своих полномочий. Таким образом, государство всеми силами стремиться заставить владельцев интересных для хакеров объектов российской инфраструктуры все-таки реализовать хотя бы минимальные требования по защите своих информационных систем.
