Сергей Бычков, ЦИТ Красноярского края: В киберпространстве воюют киберармии сильнейших стран

23 Марта 2023 15:2823 Мар 2023 15:28 |
Поделиться

Государственные организации стали главным объектом кибератак, резко усилившихся в прошлом году. Требования к ИБ в них, пожалуй, самые высокие. Но, в отличие от бизнеса, госорганизации ограничены в выборе средств защиты. Проблем добавляет и нехватка ИБ-специалистов. Как в таких условиях противостоять киберпреступникам и гарантировать безопасность, в интервью CNews рассказал Сергей Бычков, замруководителя по ИБ Центра информационных технологий Красноярского края.

CNews: Как события последнего года повлияли на состояние кибербезопасности отечественного государственного сектора?

Сергей Бычков: В течение последнего годы мы, без преувеличения, наблюдаем настоящий шторм в киберпространстве. Активность киберпреступников, прогосударственных хакеров и мошенников зашкаливает, растет количество самых разнообразных кибератак: от DDoS и дефейсов сайтов до утечек данных и атак с использованием шифровальщиков. Негативный эффект от атак усилен массовым уходом зарубежных компаний, отзывом лицензий, отказом в предоставлении обновлений, технической поддержки и услуг по внедрению и консалтингу, поэтому процессы импортозамещения, ранее воспринимавшиеся некоторыми как искусственно спускаемые сверху, стали буквально жизненно необходимы и государственным учреждениям, и частному бизнесу.

Отечественный государственный сектор оказался одной из главных целей атакующих, которые координировали свои действия для нанесения большего ущерба: проводились организованные DDoS-атаки, были зафиксированы попытки изменения контента веб-страниц, мошенники представлялись сотрудниками правоохранительных органов и силовых структур для реализации атак на граждан методом социальной инженерии с целью хищения денежных средств и получения персональных данных.

При этом, государственное регулирование и обсуждение вопросов обеспечения кибербезопасности вышло на уровень первых лиц государства, что привело к подписанию указов Президента №166 и №250. Широкое освещение тематики информационной безопасности в новостных лентах заставило руководителей пересмотреть подходы к обеспечению киберустойчивости бизнес-процессов, сместив фокус с «бумажной» безопасности, подразумевающей формальное выполнение законодательных ИБ-требований, к практической, эффективной кибербезопасности, которая позволит защититься от киберугроз или минимизировать последствия от кибератак. И это теперь характерно не только для частного бизнеса, но и для государственных учреждений.

CNews: Какие киберугрозы особенно актуальны сейчас для госсектора?

Сергей Бычков: Государственные учреждения традиционно являются одной из основных целей атакующих, особенно хорошо подготовленных, организованных кибергрупп, зачастую подконтрольных правительствам некоторых стран. Целями кибератак на госучреждения могут быть шпионаж (кража интеллектуальной собственности, получение конфиденциальной или секретной информации о деятельности организации или сектора экономики, доступ к персональным данным граждан), кибердиверсии (выведение из строя социально значимых интернет-ресурсов или элементов информационной инфраструктуры организаций, предоставление недостоверной информации или размещение противоправного контекста от имени госучреждений), атаки на иные государственные учреждения (так называемые «атаки на третьих лиц», при которых киберугроза распространяется по доверенным каналам связи от одной атакованной организации к другим для несанкционированного доступа к большему количеству объектов).

В самом начале упомянутого кибершторма атакующие применяли достаточно тривиальные векторы атак — простые DDoS-атаки, которые со временем стали более масштабными и скоординированными. Затем последовали попытки дефейсов веб-сайтов для внедрения противоправного контента на веб-страницы организаций.

После этого, вероятно, не добившись значимых успехов, атакующие стали проводить более искусные кибероперации. Используя традиционные методы доставки вредоносов (фишинг и социальную инженерию), злоумышленники делали попытки установки вирусов-шпионов в инфраструктуру компаний, шифрования и уничтожения данных с целью получения выкупа или для выведения инфраструктуры из строя (при удалении ключа шифрования, без которого восстановление зашифрованной информации невозможно). Закрепившись в инфраструктуре и повысив привилегии, атакующие затем могут либо скрытно наблюдать за обрабатываемой в скомпрометированной инфраструктуре информацией и похищать ее, либо вывести из строя максимальное количество элементов взломанной ИТ-инфраструктуры с помощью операций необратимого удаления данных или шифрования с удалением ключа восстановления, либо продолжить распространение атаки на другие организации, с которыми настроен обмен информацией (при атаках на госсектор лакомой целью злоумышленников может стать, например, система межведомственного электронного взаимодействия (СМЭВ)).

CNews: Какие сервисы и продукты ИБ в текущий момент особенно востребованы? Каких российских решений не хватает?

Сергей Бычков: В отличие от некоторых других сегментов, рынок отечественных продуктов и услуг по ИБ уже достаточно зрел и насыщен. Среди многообразия российских решений можно выделить традиционно сильные направления: антивирусные и EDR/XDR-решения, DLP-системы, сканеры защищенности, а также SIEM-системы, TI-платформы и SOAR-решения для автоматизации реагирования на киберинциденты.

При реализации проектов по импортозамещению важна оперативность внедрения продукта, и зачастую наиболее целесообразным и экономически эффективным методом будет использование модели «ИБ как услуга», которую сейчас предлагают многие отечественные игроки. При использовании такого варианта капитальные затраты заменяются на операционные расходы, что позволяет выдерживать бюджетные ограничения, а MSS-провайдер берет на себя обязанности по настройке и подключению инфраструктуры организации.

Разумеется, не все ИБ-продукты можно использовать по такой модели: защита конечных точек и инфраструктурные решения по-прежнему будут в зоне ответственности организации, но, например, защиту от DDoS, мониторинг и реагирование на киберинциденты, анализ защищенности вполне можно доверить специализированному поставщику услуг. Более того, MSS-провайдеры, в ответ на запросы клиентов, начали предлагать услуги по комплексному аутсорс-обеспечению кибербезопасности и выстраиванию процессов обеспечения ИБ у заказчиков: от разработки внутренних нормативных документов до настройки СЗИ, мониторинга состояния киберзащищенности, обеспечения ситуационной осведомленности руководителей — фактически, это услуга «виртуального Директора по ИБ» (англ. vCISO, virtual CISO).

Если говорить про решения, которых пока не хватает, то можно отметить потребность в производительных решениях для обеспечения сетевой связности и безопасности (отечественные аналоги продукции Cisco, Fortinet, PaloAlto и т.д.). От бизнеса можно услышать о потребностях в отечественных аналогах бизнес-систем (на замену продукции SAP, Oracle, IBM), в финансовом секторе требуются специализированное банковское ПО и HSM-модули, в отрасли промышленности есть потребность в замещении зарубежных систем управления производством и создании отечественных IoT-устройств. В идеальном случае, для достижения цифрового суверенитета требуется полноценная отечественная информационная экосистема с архитектурно заложенной киберустойчивостью, основанной на отечественной компонентной базе с российским системным и прикладным ПО и интегрированными средствами защиты информации.

CNews: Может ли Open Source помочь в импортозамещении ушедших с рынка зарубежных продуктов?

Сергей Бычков: Не секрет, что многие отечественные решения в той или иной мере базируются на разработках Open Source. При этом необходимость оперативно решить задачи импортозамещения подталкивает разработчиков и крупные компании к все более широкому использованию проектов с открытым исходным кодом. Такой подход оправдан в части возможности достижения быстрых успехов, поскольку разработчикам не приходится заново «изобретать велосипед», а можно пользоваться наработками мирового сообщества ИТ-профессионалов.

Но использование ПО с открытым исходным кодом также несет определенные риски. Проекты перестают сопровождаться и обновляться авторами, что несет в себе риски эксплуатации хакерами непропатченных уязвимостей, платная техническая поддержка для таких решений как правило не предоставляется, а качество технической документации полностью лежит на совести создателей.

В связи с лавиной кибератак также стали все чаще получать известность случаи целенаправленного внедрения деструктивных программных закладок в Open Source компоненты, библиотеки, модули. Зачастую, такие вредоносные компоненты отрабатывают только на российских системах и приводят к удалению информации, вредоносному распространению. Поэтому для безопасного и эффективного использования ПО с открытым исходным кодом следует применять статические, динамические, интерактивные анализаторы исходного кода, проверять Open Source ПО на корректность функционирования и отсутствие уязвимостей в отдельном тестовом контуре, а также как минимум иметь в штате квалифицированных разработчиков, которые будут отлаживать, настраивать и администрировать такой софт.

CNews: Каковы особенности выстраивания процессов управления ИБ в государственном учреждении?

Сергей Бычков: Государственный сектор во всем мире достаточно сильно зарегулирован, и это объяснимо и обоснованно: в государственных информационных системах обрабатываются персональные данные граждан, конфиденциальная служебная информация, могут обрабатываться агрегированные данные о состоянии экономики, государственного управления, промышленности и производства. При этом безопасность этой информации напрямую влияет на граждан, их благополучие, зачастую, на состояние здоровья. Поэтому соответствующие информационные системы являются социально значимыми.

Обработка информации в государственных учреждениях регламентируется рядом федеральных законов (№№149, 152, 187), но в последнее время кроме соответствия законодательным нормам перед департаментами и отделами ИБ в госсекторе стоит задача обеспечения эффективной кибербезопасности. Требуется соблюсти определенные правила закупок товаров и услуг, остаться в рамках сформированного бюджета, набрать и удержать команду для администрирования средств защиты информации (СЗИ) и выстраивания процессов ИБ, оперативно реагировать на изменения киберландшафта.

Наличие большого количества регламентирующих нормативных документов, с одной стороны, оказывает существенную методическую поддержку при обеспечении защиты информации (предопределены необходимые классы ИБ-решений, их выбор легко обосновать перед руководителями учреждения), но, с другой стороны, не позволяет воспользоваться некоторыми преимуществами, которые доступны, например, коммерческой компании (выбор произвольного количества решений, возможность выбора наиболее эффективного, а не проходящего конкурсные процедуры продукта). Кроме того, организационную поддержку государственным учреждениями как субъектам КИИ оказывают отечественные регуляторы (ФСБ РФ, ФСТЭК России), которые регулярно выступают на профильных конференциях, дают пояснения, активны в медиапространстве.

CNews: Чем вы руководствовались при выборе решения для автоматизации управления киберинцидентами?

Сергей Бычков: Мы в Центре информационных технологий Красноярского края в настоящий момент занимаемся построением ведомственного SOC-центра для органов государственной власти и уже оказываем услуги по мониторингу состояния информационной безопасности для подведомственных организаций, которые, в том числе, являются субъектами КИИ. Кроме того, мы являемся специализированным ИТ/ИБ-интегратором для подведомственных учреждений, и это накладывает на нас определенные обязательства по количеству и срокам решения поставленных задач, что в условиях дефицита ИБ-специалистов может быть нетривиальной задачей. При этом изначально мы придерживались концепции максимальной автоматизации во всех возможных направлениях, а недостаток рук с учетом увеличившегося в последнее время количества атак лишь подчеркивает важность роботизации ручных действий и шаблонизации повторяемых операций.

Мы выбрали Security Vision в качестве SOAR-решения для автоматизации реагирования на киберинциденты. При этом процесс тестирования и сравнения с конкурентами был небыстрым: проводилось пилотирование сначала предыдущей версии решения, затем вендор представил нам обновленную версию, работа с которой на пилоте понравилась команде нашего SOC. В предыдущем году на SOAR-систему нам был выделен соответствующий бюджет, и в настоящий момент она находится в процессе активного внедрения, но мы уже работаем с продуктом в боевом режиме.

Что касается критериев выбора средств защиты, то в общем случае мы, разумеется, руководствуемся функционалом решения. Нам важно, чтобы СЗИ не дублировало уже имеющиеся функции безопасности, а привносило уникальные опции и давало возможность использовать их на 100%. Кроме того, нам важно выбирать такие СЗИ, которые можно максимально легко масштабировать в рамках понятного бюджета и затрачиваемых ресурсов, а также, разумеется, как любому клиенту, нам важно соотношение цена/качество.

Всем предъявляемым нами требованиям соответствует SOAR-решение от Security Vision. По стоимости оно обошлось бюджету существенно дешевле конкурентов. При этом нам нравится то, как команда Security Vision отрабатывает обратную связь по продукту и процессу внедрения, нравится качество оказываемой поддержки на проекте.

Илья Маркелов, «Лаборатория Касперского»: Подход «внедрил и забыл» недопустим для SIEM

безопасность

CNews: Каким образом решения по автоматизации процессов ИБ помогут соблюсти нормативные требования к субъектам КИИ?

Сергей Бычков: Сфера обеспечения безопасности КИИ достаточно строго регламентируется ввиду особой значимости объектов защиты. В частности, приказ ФСБ РФ от 19.06.2019 № 282 «Об утверждении порядка информирования ФСБ России о компьютерных инцидентах…» предписывает субъекту КИИ передавать информацию по произошедшему компьютерному инциденту в систему ГосСОПКА в срок не более 3 часов с момента обнаружения инцидента на значимом объекте КИИ и не более 24 часов на иных объектах КИИ. При этом результаты реагирования на киберинциденты должны быть переданы в НКЦКИ в срок не более 48 часов после их завершения, а карточка инцидента должна формироваться по строго определенной форме.

Также не стоит забывать о новых нормах, касающихся обработки персональных данных. В соответствии с ними, оператор персональных данных (ПДн) обязан осуществлять взаимодействие с ГосСОПКА для передачи информации о компьютерных инцидентах, повлекших неправомерную передачу ПДн. Оператор должен уведомлять Роскомнадзор о произошедшем инциденте в области ПДн в течение 24 часов, а затем в течение 72 часов уведомить о результатах внутреннего расследования такого инцидента.

Для соблюдения законодательных нормативов по реагированию на различные типы киберинцидентов можно применять решения класса SOAR, в которых реализован функционал автоматизации реагирования на инциденты ИБ. Обогащение, контекстуализация, роботизация анализа и категорирования могут существенно сократить время обработки инцидента, а функционал взаимодействия с ГосСОПКА позволит сформировать карточку инцидента и отправить ее в НКЦКИ буквально одним кликом.

Выполнение требований о необходимости учета сведений об объектах КИИ, актуализации данных по изменениям в составе ОКИИ, категорирования объектов КИИ, управления уязвимостями объектов защиты, моделирования угроз и нарушителей, контроля соответствия состояния защиты объектов КИИ нормативным требованиям может быть автоматизировано с помощью отечественных решений класса SGRC. Расширенная инвентаризационная информация, актуальные данные о конфигурациях и уязвимостях активов помогут не только выполнить нормативные требования, но и повысить эффективность реагирования на киберинциденты. Детальная отчетность, визуализация состояния объектов КИИ на дашбордах, контроль соблюдения нормативов реагирования на киберинциденты предоставляют ситуационную осведомленность руководителям учреждений для принятия объективных риск-ориентированных управленческих решений.

Сергей Бычков, ЦИТ Красноярского края: В киберпространстве воюют киберармии сильнейших стран

безопасность

CNews: Целесообразно ли использовать данные киберразведки в государственном секторе?

Сергей Бычков: Данные киберразведки представляют собой информацию об индикаторах компрометации и индикаторах атак, которые в свою очередь характеризуют тактики, техники, процедуры атакующих и позволяют выстроить взаимосвязи между зафиксированными в инфраструктуре событиями ИБ, атрибутировать обнаруженные артефакты определенным вредоносам и киберпреступным группам. С использованием платформы управления данными киберразведки (решение класса TIP, Threat Intelligence Platform) можно выстроить полноценный процесс проактивного поиска киберугроз в компании, обогащать данные процессов мониторинга и реагирования на киберинциденты, выявлять ранее необнаруженное сложное вредоносное ПО и программные закладки-импланты. При этом наиболее эффективным будет применение тех источников данных киберразведки, которые релевантны для определенной области — и государственный сектор тут не исключение.

Не секрет, что в течение последних 2–3 лет количество и качество атак на госсектор возросло. Это связано в том числе с развернувшимся в киберпространстве противостоянием между киберармиями сильнейших стран. Целями таких сложных атак становятся важные данные, относящиеся к сфере государственного управления, экономическая информация, персональные данные сотрудников учреждений. Как правило, стандартные средства защиты не способны выявить и предотвратить операции, проводимые прогосударственными кибергруппировкам, и работа с данными киберразведки — один из немногих способов противостоять этой угрозе. При этом данные киберразведки субъекты КИИ могут получать и из системы ГосСОПКА, в дополнение к другим источникам, которыми являются различные коммерческие компании — поставщики Threat Intelligence.

CNews: Какие основные вызовы сейчас стоят перед руководителями ИБ-подразделений в регионах?

Сергей Бычков: Что касается государственных учреждений в регионах, то основные вызовы связаны с их спецификой. В отличие от коммерческих компаний, в госсекторе нет как таковых стейкхолдеров, которые были бы лично заинтересованы в минимизации киберрисков для обеспечения устойчивого развития своего бизнеса. В госсекторе главным драйвером до недавних пор было соответствие законодательству, но события последнего года заставили сфокусироваться на эффективной реальной кибербезопасности. При этом бюджетные ограничения и порядок проведения закупок остались прежними. В связи с этим могут возникать определенные сложности при согласовании внедрения действительно необходимых защитных решений как в части обоснования самой потребности, так и в части согласования стоимости. На некоторые действительно классные и недешевые решения могут просто не выделить финансовые ресурсы.

В частных компаниях свобода принятия решений выше, но вопрос выделения бюджета зачастую стоит еще острее. Не секрет, что все крупные компании с большими финансовыми возможностями базируются, как правило, в крупных городах, а в регионах остаются, за редким исключением, нишевые игроки. Выходом в данном случае может стать использование встроенных в ОС и ПО функций безопасности, применение рекомендаций производителей и лучших практик по защищенной настройке софта, стопроцентное задействование всего функционала уже имеющихся защитных решений.

Вторым вызовом можно назвать дефицит квалифицированных кадров. Престиж государственной службы в регионах достаточно высок, при этом кандидаты понимают, что уровень компенсаций в госучреждении не будет конкурентным по сравнению с частными коммерческими компаниями. Вакансии в госсекторе могут рассмотреть либо молодые сотрудники — вчерашние выпускники, которые приходят за опытом, либо работники с уже большим стажем, которые отдают предпочтение стабильности государственной службы. В частных компаниях ситуация с уровнем заработных плат лучше, но они также не сравнимы с компенсациями, которые предлагаются в крупных городах (столица, города-миллионники). Поэтому в целом для регионов характерна утечка мозгов в крупные агломерации, и общий вопрос дефицита кадров (не только в отрасли кибербезопасности) стоит достаточно остро.

CNews: Каким образом можно решить проблему хронического дефицита кадров в кибербезопасности?

Сергей Бычков: Нехватка ИБ-специалистов наблюдается во всем мире, и ни у кого нет готового быстрого решения этого вопроса. Эксперты по найму персонала и ИБ-руководители дают советы, которые могут лишь упростить процесс поиска кандидатов и, возможно, чуть быстрее закрыть «горящие» вакансии: создавать интересное и креативное описание вакансий, снижать некритичные требования к кандидатам, взращивать кадры внутри компании, переучивать ИТ-специалистов, создавать более комфортные условия работы, предлагать удаленный или гибридный график работы. Но, надо признать, что эти меры не решают проблему кардинально, лишь снимают симптомы. Решить проблему нехватки кадров можно, вероятно, сменой текущей парадигмы подготовки специалистов.

В настоящее время в образовательной сфере как правило доминирует традиционный университетский подход, заключающийся в долговременной теоретической подготовке студентов и предоставлении им возможности практиковаться лишь на старших курсах, причем отрыв от образовательной деятельности не приветствуется. Вероятно, для того, чтобы знания студентов в такой быстро меняющейся отрасли, как кибербезопасность, были актуальными на момент завершения обучения, следует привлекать к чтению лекций, проведению семинаров и лабораторных работ практикующих специалистов и экспертов по кибербезопасности, которые будут готовить студентов к реальным рабочим задачам, обучать их на живых примерах из недавней практики, давать знания об актуальных киберугрозах и современных трендах в области ИБ.

Отдельных, хорошо показавших себя учащихся, можно, вероятно, привлекать к рабочей деятельности в рамках учебной практики в компаниях, которые готовы инвестировать в обучение будущих кадров. Кроме того, следует, возможно, пересмотреть подход к подтверждению специалистами своих навыков и квалификации. Диплом, полученный 10–15 лет назад, без непрерывной практики и постоянного самообразования не может в полной мере характеризовать квалификацию специалиста. Поэтому было бы здорово предусмотреть возможность прохождения независимых, объективных, вендоро-нейтральных сертификаций. Для получения сертификата претенденту потребуется ответить на практические вопросы, продемонстрировать знания актуальных киберугроз и технологий защиты информации, подтвердить свои теоретические знания. Такой сертификат, вероятно, мог бы более наглядно демонстрировать квалификацию работника, нежели полученный когда-то диплом и имеющиеся записи в трудовой книжке.

Что касается непосредственно нашего опыта, то мы в последнее время применяем различные способы привлечения работников. Например, мы набираем к себе в ИБ-направление работников технической поддержки, которые демонстрируют тягу к знаниям и высокий потенциал, а также ведем сейчас программу по привлечению выпускников средних специальных учебных заведений. Они получают шанс продемонстрировать свой потенциал и тягу к развитию компетенций, а мы, в свою очередь, можем помочь перспективным ребятам поступить в ВУЗ, пройти ИБ-курсы повышения квалификации. Таким образом, через некоторое время, инвестировав в недавнего выпускника колледжа, мы получаем лояльного специалиста, выросшего в нашей компании, хорошо знающего внутренние процессы. Мы предлагаем нашим работникам амбициозные задачи, работу с широким парком СЗИ, возможность профессионального роста, поэтому не боимся большой текучки даже среди молодых амбициозных коллег.

CNews: Каковы ваши прогнозы по эволюции киберугроз и отечественного ИБ-рынка на среднесрочную перспективу? Ваши пожелания коллегам по отрасли?

Сергей Бычков: Траектория развития рынка ИБ повторяет эволюцию киберугроз, и в последние годы изменения носят поистине экспоненциальный, иногда даже пугающий характер. Те атаки, которые еще вчера считались лишь теоретически реализуемыми, уже завтра могут стать повседневностью, а технологии, вышедшие из научных кругов менее 10 лет назад, уже вовсю применяются на практике.

Серьезно изменить ландшафт киберугроз может, вероятно, глобальное распространение технологий искусственного интеллекта и машинного обучения (что сейчас уже наблюдается на примере, скажем, ChatGPT), повышение доступности технологий обработки больших данных, а также практически реализуемая квантовая криптография. Атакующие, без сомнения, как и раньше будут применять достижения науки в своих неблаговидных целях, поэтому ИБ-вендорам нужно будет оставаться на острие науки для работы с эволюционирующими киберугрозами.

Вероятно, в среднесрочной перспективе сохранят актуальность и уже привычные, традиционные угрозы утечек данных, атак вирусов-шифровальщиков, атак на цепочки поставок. Возможно повышение уровня киберугроз промышленным инфраструктурам, OT-сетям и IoT-устройствам. Процессы импортозамещения, построения цифрового суверенитета, обеспечения киберустойчивости экономики будут продолжаться, а эффективность их реализации напрямую зависит от компетенций отечественных киберспециалистов. Так что в обозримом будущем ИБ-сообществу предстоит много и плодотворно трудиться.

При этом хотелось бы также подчеркнуть важность совместной, конструктивной работы ИТ и ИБ департаментов. Налаженное взаимодействие может дать сильный синергетический эффект и оказать неоценимую пользу в условиях беспрецедентно высокого уровня киберугроз и нехватки профессионалов. Департаментам ИБ нужно регулярно освещать решаемые задачи кибербезопасности перед бизнесом и коллегами из ИТ-департаментов для устранения недопонимания, поиска общих точек соприкосновения и эффективного решения смежных задач.

Из личного опыта могу привести пример такого эффективного совместного взаимодействия: ИБ-решение для мониторинга действий привилегированных пользователей оказывает неоценимую помощь коллегам из ИТ для оценки качества работы подрядчиков и контроля вносимых ими изменений. В целом, ИБ-департаментам следует обеспечивать реальную, а не бумажную безопасность, совместно с бизнесом оценивать киберриски для выработки оптимального способа их обработки, понимать ожидания бизнеса и коллег, стараться сообща решать общие проблемы.

Полный текст статьи читайте на CNews