В начале февраля состоялся большой национальный форум по информационной безопасности «Инфофорум 2022», который в этом году собрал около 2 тыс. участников, большая часть из которых смогла дистанционно подключиться к мероприятиям Форума. Он состоялся при поддержке аппарата Совета Безопасности РФ, Государственной Думы, Минцифры России, ФСБ России, ФСТЭК России, Минобороны России и других государственных регуляторов. В Инфофоруме этого года приняли участие 50 компаний и представители 60 регионов, которые в течении двух дней поведения форума прочитали 110 докладаов не считая участия в различных дискуссиях.
Отраслевые КИИ
В этом году одной из ключевых тем Форума стало построение отраслевой инфраструктуры ГосСОПКА. Если до недавнего времени она в основном состояла из корневого НКЦКИ, коммерческих центров реагирования и ведомственных, то в этом году начали появляться и отраслевые центры реагирования. Впрочем в финансовой сфере тот самый FinCERT уже достаточно давно являлся отраслевой инфраструктурой, поскольку обеспечивал координацию защиты не только самого Центробанка, но и всех подведомственных организаций. Однако аналогичные инфраструктуры в других отраслях выстроены не были. Сейчас такой слой защиты критической информационной инфраструктуры выстраивается.
В частности в рамках секции «Информационная безопасность как сервис. Отраслевые особенности центров мониторинга информационной безопасности» были приведены примеры построения отраслевых центров ГосСОПКА в таких отраслях как ТЭК, телеком, ОПК и медицина. Правда, ТЭК, ОПК и телеком пошли по классическому пути: построить на базе подведомственного предприятия центр реагирования на инциденты, подключиться к которому могут все остальные участники отрасли. В Минэнерго вначале создали специальную организационную единицу под названием «ведомственный центр обнаружения, предупреждения и ликвидации последствий компьютерных атак Минэнерго России», на базе которого был создан и отраслевой центр. Именно этот отраслевой центр и стал основой для подключения к инфраструктуре ГосСОПКА в рамках пилотного проекта 12 подведомственных организаций Минэнерго.
В телекоммуникационной отрасли ситуация сложнее, поскольку один из сильных коммерческих центров реагирования — «Ростелеком-Солар» — уже активно ведёт свою работу и подключил к инфраструктуре ГосСОПКА уже достаточно много объектов КИИ. В ведомстве создали свой отраслевой центр реагирования на базе ФГУП МНИИ «Интеграл», который будет представлять услуги подключения к ГосСОПКА для других операторов. Естественно, заставить всех провайдеров подключиться к этому ведомственному центру реагирования Минцифры не в состоянии, однако он может предоставить небольшим провайдерам возможность не строить собственные центры реагирования, но подключиться к уже готовой инфраструктуре защиты.
По аналогичному пути прошла и оборонная промышленность, где все активы по информационной безопасности были объединены в АО «ИБ Реформ» входящую в группу компаний «Ростех». Именно эта дочерняя структура фактически и стала отраслевым центром реагирования для всей оборонной промышленности — всех 1200 предприятий, объединенных госкорпорацией «Ростех». Правда, просто установить на предприятии сенсор атак и на этом успокоиться — не получается. Наиболее эффективные фишинговые атаки видны именно на местах, поэтому в каждом предприятии отрасли придется создавать отдел для реагирования на инциденты.
Однако в Минздраве отраслевой центр информационной безопасности занимается совсем другими вещами — обучением и консультированием. В Минздраве поняли основную проблему информационной безопасности — отсутствие необходимых кадров. Поэтому и создали центр компетенции по вопросам информационной безопасности, который будет заниматься разработкой необходимой документации, подготовкой кадров, мониторингом состояния защищённости. Причем он будет заниматься вопросами защиты не только КИИ, но и персональных данных, и государственных информационных систем. Центр компетенции планирует подготовить для главврачей медицинских учреждений типовые договора с коммерческими центрами реагирования, и по вопросам актуализации информации об угрозах взаимодействовать с теми коммерческими центрами ГосСОПКА, которые обслуживают медицинские предприятия.
Деятельность ГосСОПКА
Результаты деятельности ГосСОПКА подвел на Инфофоруме заместитель директора НКЦКИ Николай Мурашов. Он отметил, что основные методы атаки не претерпели изменений — это фишинг с использованием актуальных событий. Тем не менее НКЦКИ активно взаимодействует с иностранными организациями для поиска преступников — им заключены 150 соглашений по обмену информацией. В частности, за прошедший год в эти организации было послано 3 тыс. запросов на информацию о нападающих, а сам НКЦКИ обработал 1 тыс. запросов, полученных от иностранных партнёров. Кроме того, по требованию НКЦКИ было разделегировано более 1,5 тыс. доменов, которые использовались для вредоносной активности. Также Николай Мурашов отметил, что сейчас уже нормативная база по защите КИИ полностью сформирована и теперь важно, чтобы к инфраструктуре защиты подключалось как больше компаний. Именно поэтому важны отраслевые центры ГосСОПКА, которые позволяют не только подключить подведомственные организации в отрасли, но и точнее учесть особенности конкретной отрасли.
