Устойчивость в бизнесе и информационной безопасности – сквозная тема очередного SOC-Forum, который состоялся в Москве. По традиции генеральным партнером мероприятия выступила группа компаний «Солар». Отраслевые эксперты обсуждали тенденции развития сегмента, новые инструменты и технологии противостояния злоумышленникам. Только в текущем году в сеть утекли данные более 300 организаций, что подготовило почву для последующих атак на клиентов и партнеров этих компаний. Как показали выступления на форуме, тектонические изменения на рынке корректируют подходы к решению задач в сфере информационной безопасности.
Рыночный дисбаланс
К настоящему времени в сегменте кибербезопасности сложилась уникальная ситуация, отмечалось на пленарном заседании. Колоссальный дефицит специалистов (причем кратный), отсутствие, по словам экспертов, «нормального предложения российских технологий» приводят к болезненному дисбалансу рынка. В ответ на повышенный спрос поставщики решений стараются всеми правдами, а, скорее, неправдами, не упустить шанс заработать.
Увеличиваются зарплаты специалистов по кибербезопасности, вендоры поднимают цены на продукты. Появившиеся как грибы после дождя стартапы пробуют быстро «перелицевать» open source, выдавая получившийся продукт за полноценное решение по заоблачной цене (готовая лицензия предлагается в два раза выше, чем капитализация всей компании). Все эти обстоятельства не прибавляют «здоровья» сегменту кибербезопасности.
О реакции на происходящее ведущих компаний отрасли шла речь в выступления старшего вице-президента по информационной безопасности ПАО «Ростелеком», генерального директора ГК «Солар» Игоря Ляпунова. Ситуация на рынке труда заставила компанию сделать ставку на взращивание специалистов (системный игрок во многом донор – поставщик трудовых ресурсов). Второе направление приложения усилий – разработка и развитие собственных технологий, что предусматривает солидные инвестиции. В ближайшие два-три года на развитие стека технологий планируется потратить 22 млрд руб.
Эксперт напомнил, что профильные технологии – это оболочка, в которую нужно загружать знания об атаках. Компания как большой игрок на этом рынке защищает крупнейшие центры, служащие «магнитом для хакеров», знает, как атакуют, и полученные знания закладывает в разрабатываемые технологии.
В прошлом году компания «Солар» удвоила количество заказчиков, что можно было бы считать прорывом, если бы не время, когда, по словам Игоря Ляпунова, развязана кибервойна, хотя называть происходящее можно по-разному. Изменения, происходящие на рынке с весны прошлого года, потребовали от бизнеса оптимизации технологических процессов (скорость подключения заказчиков к сервисам сократилась с двух недель до часов), развития внутренней структуры.
Барьер, который эксперт назвал «емкостью управленческой структуры», заставил запустить процесс бизнес-трансформации, включающей в себя изменение системы менеджмента, переход к автономным структурам, управлению на основе данных. Крупные игроки рынка следуют принципу клиентоцентричности, даже на фоне очевидного перекоса спроса и предложения. В период турбулентности лояльный клиент, в интересах которого решается полезная задача, остается основой бизнеса. Постепенно трансформация становится неотъемлемой частью бизнес-модели. Кто быстрее меняется, тот выигрывает, при этом самое сложное – управление изменениями. Навык управления не приравнивается к уровню экспертизы в сфере кибербезопасности.
Большие компании рассчитывают «подтянуть» стартапы, и через два года рынок станет другим, прогнозирует Игорь Ляпунов. На вопрос модератора, своевременно ли на происходящее реагируют регуляторы, представитель «Ростелекома» ответил, что представители регулирующих органов – постоянные участники дискуссий в рамках данного мероприятия. Как показал очередной форум SOC, традиция сохраняется.
Приоритеты атакующих
На пленарном заседании заместитель главы Национального координационного центра по компьютерным инцидентам России (НКЦКИ) Петр Белов рассказал, как изменился профиль атак, направленных преимущественно на объекты КИИ с последующим их разрушением. Заметным отличием ландшафта атак стало снижение количества воздействий на создание и раскручивание инфоповодов. Первичные цели – получение информации и причинение максимального ущерба системе. Добытые ранее данные используются для организации новых атак.
Доля фейковых сведений об утечках по сравнению с прошлым годом уменьшилась (с 60 до 15%), а количество утечек растет. Причин тому несколько – изменились приоритеты злоумышленников, соответствующие службы научились различать фейковые, скомпилированные на их основе и настоящие утечки.
Уменьшилось количество DDos-атак, при этом изменился тренд их использования. Такой механизм применяется, чтобы скрыть процедуру выгрузки данных из атакуемых систем. В топ-3 векторов проникновения представитель НКЦКИ назвал инфраструктуру компаний-подрядчиков и системы, сопряженные с целевой инфраструктурой, эксплуатацию уязвимостей в пределах периметра, фишинг. Компании, управляющие ИТ-инфраструктурой заказчика, становятся причиной инцидентов.
Игра на занижение
На угрозах для сегмента критической информационной инфраструктуры (КИИ) и сопутствующих проблемах заострил внимание заместитель директора ФСТЭК России Виталий Лютиков. Не утрачивает актуальности вопрос категорирования систем, подлежащих защите. С этого начинается работа в сфере безопасности КИИ.
Количество систем постоянно растет, число объектов, включаемых в реестр, увеличивается. Безусловной проблемой эксперт назвал то, что оператор или владелец таких ресурсов пытается занизить размер возможного ущерба и при определении объектов показать, что негативных последствий не наступит. Однако инциденты за последние два года говорят об обратном, что подтверждается на этапе проверки правил категорирования.
С конца 2022 г. представители ФСТЭК с участием специалистов проверили более 40 тыс. систем, треть из них были возвращены на доработку с точки зрения переоценки ущерба. Выяснилось, что операторы пытаются разделить систему искусственно на более мелкие, показать низкий уровень последствий от нарушения функциональности, ссылаются на другие факторы, утверждая, что никаких, тем более существенных, негативных финансовых последствий не наступит.
На основе проверок к типовым недостаткам регулятор относит исключение из процесса категорирования объектов, обеспечивающих основные производственные процессы, занижение возможных негативных последствий, исключение информационных угроз как причин нарушения штатного функционирования, необоснованное разделение объектов с целью занижения категории значимости.
Отраслевые регуляторы составили перечни типовых объектов, подлежащих категорированию (в частности, в энергетике, ТЭК, атомной энергии, ракетно-космической промышленности, на финансовом рынке). Семь таких списков прошли согласование во ФСТЭК. Кроме того, отраслевые регуляторы подготовили методические документы, помогающие классифицировать системы по категориям значимости. Служба рекомендует ориентироваться на составленные перечни и методики при организации работы по защите систем, а также руководствоваться постановлением Правительства № 127 как основным нормативным актом в данной области.
По мере развития процедур контроля выявляется большое количество недостатков, которые не назовешь уникальными. К наиболее грубым нарушениям во ФСТЭК относят те, которые создают предпосылки для реализации угрозы функционированию объектов КИИ.
Почти в 98% случаев на значимых объектах КИИ фиксируются факты, когда не реализовано обновление антивирусных баз, не настроены средства антивирусной защиты, продолжают пользоваться уязвимым ПО без принятых компенсирующих мер. Применительно к промышленным системам характерно администрирование с рабочих мест, которые выводятся в корпоративную сеть с доступом в Интернет.
По результатам госконтроля в сфере энергетики, химии, горнодобывающей и металлургической промышленности, ОПК, связи и на транспорте было выявлено более 700 нарушений, составлены протоколы об административных правонарушениях. Заведено свыше 80 дел по статьям КоАП.
Регуляторные намерения
Говоря о шагах, которые собирается предпринять служба, представитель ФСТЭК сообщил о планах проведения координационных совещаний для организаций – субъектов КИИ, которым предстоят проверки в следующем году. В ходе таких встреч их проинформируют о типовых недостатках. У организаций будет время на проведение соответствующего анализа и устранение недочетов, снижающих защищенность систем.
Еще одно направление (задача ФСТЭК на следующий год) – формирование отраслевых обзоров для регуляторов в той или иной сфере деятельности и субъектов, владеющих значимыми объектами. В этих материалах планируется обобщить типовые нарушения.
Причиной большинства инцидентов остается значительное количество критических уязвимостей, что характерно для каждой второй проверяемой ФСТЭК системы. По сравнению с прошлым годом количество таких систем увеличилось почти в 2,5 раза. На фоне ухода зарубежных вендоров, которые перестали предоставлять поддержку, количество уязвимостей, как и предполагалось, возрастает.
Предстоит выстраивать процессы управления уязвимостями. Подготовлено несколько методических документов, позволяющих решать эту задачу, сообщил Виталий Лютиков. Госорганы сформировали регламенты, учитывающие специфику отраслей и сегментов. Помощь в подготовке таких документов оказали специалисты «Сбербанка», за основу взяты процессы, налаженные в этой развитой с точки зрения управления безопасностью компании.
Настало время выстроить такие процессы внутри соответствующих организаций, госорганов, что поможет минимизировать проблемы критичной уязвимости системы. Эксперты предлагают сосредоточиться на уязвимостях критичного и высокого уровней опасности, чтобы повысить базовый уровень безопасности.
В условиях перехода на отечественное ПО нельзя не отметить, что уровень зрелости разработчиков в вопросах отслеживания и устранения уязвимостей в их программных продуктах недостаточный. Широкую огласку получила проблема с системой управления сайтами, используемой большинством госорганов разного уровня.
Неотлаженные процессы управления уязвимостями требуют принятия совместных мер для изменения ситуации. Немного лучше обстоят дела у российских разработчиков средств защиты информации, поскольку с 2016 г. компании внедряют процессы безопасной разработки. В настоящее время в стадии подготовки новая процессно-ориентированная редакция соответствующего ГОСТа.
Опубликован проект документа по сертификации процедур безопасной разработки, направленный в первую очередь на систему сертификации ФСТЭК России, продолжается его обсуждение с экспертными организациями. К концу года систему планируют внедрить. На заседании отмечалось, что для разработчиков сертифицированных продуктов она не будет исключать возможности сертификации другого ПО.
При внедрении этой системы регулятор будет рассматривать возможность упрощения процедур продления сертификатов соответствия на программные, программно-аппаратные средства без ущерба уровню их доверия.
Неприкрытые лазейки
Представитель ФСТЭК признался, что ни у регулятора, ни у экспертного сообщества пока не получается решить проблему нормативных требований к подрядным организациям, которые оказывают ИТ-услуги владельцам информационных систем, прежде всего государственным.
Большинство публичных инцидентов в прошлом и текущем годах были связаны с получением несанкционированного доступа к инфраструктуре через подрядные организации. Ни на законодательном, ни на договорном уровне не предусмотрены требования к подрядным организациям с точки зрения обеспечения безопасности их инфраструктуры и систем.
Для решения проблемы, которая актуальна прежде всего для информационно-телекоммуникационной инфраструктуры, используемой для функционирования государственных информационных систем, разработан очередной законопроект. Предлагается ввести обязанность соблюдения требований о защите информации, обладателями которой являются Российская Федерация, субъект РФ, муниципальное образование, вне зависимости от места ее хранения или обработки, а также требования к организации и управлению защитой информации. Пока же формально на дата-центры, локальные вычислительные сети соответствующие требования не распространяются.
Повышенного внимания заслуживает также вопрос организации защиты систем от DDos-атак, массированное воздействие которых особенно ощутимым было в прошлом году. Требования, предъявляемые к защите систем от угроз типа «отказ в обслуживании», носят обобщенный характер. Коллегам из ФСТЭК, ФСБ и «Роскомнадзора», который создает национальную систему защиты от DDos, предстоит составить требования к организации работ, процессам обеспечения безопасности защиты. Регуляторы обещают привлечь к решению этой задачи и представителей экспертного сообщества.
Недавно ФСТЭК получила дополнительное полномочие в сфере оценки эффективности обеспечения безопасности значимых объектов по вопросам защиты информации в пределах компетенции. Специалисты ведущих компаний отрасли помогли разработать методологию определения показателей эффективности, в частности, уровня зрелости, минимальных значений параметров.
В рамках форума SOC представители бизнеса делились анализом ситуации в сегменте кибербезопасности. В частности, по данным исследования, проведенного компанией Positive Technologies, 40% инцидентов связаны с деятельностью известных APT-группировок. Вывод сделан по результатам расследований киберинцидентов в 2021–2023 гг. За два года количество число расследований увеличилось более чем в два раза, а 40% всех расследованных инцидентов были совершены известными APT-группировками. Чаще всего атакам подвергались государственные учреждения (33%) и промышленные предприятия (28%). Рост количества инцидентов ИБ спровоцирован последними геополитическими и экономическими событиями.
Обращает на себя внимание тенденция, зафиксированная аналитиками экспертного центра безопасности Positive Technologies. Злоумышленники не так часто изобретают новые способы атак, при этом число инцидентов с применением известных уязвимостей продолжает расти. Следовательно, компании, предприятия и организации как минимум не обновляют используемое ПО до последних версий и не проводят аудит периметра инфраструктуры. Потенциал очевидных и доступных мер, а также средств защиты не исчерпан. Дело за соблюдением требований и рекомендаций.
