Практика защиты КИИ в эпоху VUCA

ГосСОПКа – потенциально мощный ресурс, однако качество и скорость распространения информации зависит от того, какая информация в него подается участниками.

Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ (вступил в силу 1 января 2018 года) ввел понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также утвердил их обязанности по обеспечению безопасности объектов КИИ, поставив перед российскими директорами по ИБ целый круг новых задач. Большинство организаций, на которые он распространяется, только начали приводить свои системы в соответствие его требованиям. Своими наблюдениями и рекомендациями в этой связи делится Евгений АКИМОВ, директор по кибербезопасности концерна «Калашников».

Ваши предприятия подпадают под действие ФЗ 187. Какова практика реализации его требований?

Для нас, как и других оборонных предприятий, данный закон чрезвычайно актуален. Наш опыт по реализации его требований наиболее применим в промышленности и отчасти в энергетике. Нормативная документация закона достаточно прогрессивна – явно учтен опыт реализации закона о персональных данных (ПДн): методология более совершенна и, несмотря на отдельные шероховатости, в целом ее использование вызывает куда меньше вопросов, чем было при выходе нормативных требований по защите ПДн. В частности, все субъекты КИИ должны определить и категорировать свои объекты КИИ по четырем уровням значимости – 1, 2, 3 и незначимые. В зависимости от этого необходимо реализовать разный набор защитных мер. В этих рекомендациях нет ничего, что режет глаз, кажется совсем уж нелогичным или вовсе избыточным. Причем если в предыдущие годы то или иное предприятие серьезно занималось кибербезопасностью своих систем, может оказаться, что делать практически ничего и не придется – почти все требуемые механизмы уже реализованы.

Однако стоит помнить: подключение к Государственной системе предотвращения компьютерных атак (ГосСОПКА) – теперь обязанность всех субъектов КИИ. До ФЗ 187 такого требования не было. Но это продиктовано изменениями в ландшафте угроз, своеобразное веление времени. В одиночку уже очень сложно, практически невозможно обеспечивать должный уровень киберзащиты. Без глубокого понимания, чем заняты хакерские группировки, какие методы они применяют, невозможно им грамотно противостоять. А для этого необходимо консолидировать усилия всего сообщества, обмениваться соответствующей информацией. Близкий аналог в финансовой отрасли – это FinCERT, там решаются те же задачи.

Насколько уже эффективна ГосСОПКА?

ГосСОПКа – потенциально мощный ресурс, однако качество и скорость распространения информации зависит от того, какая информация в него подается участниками. Например, состав подаваемой в него информации пока слабо регламентирован. Предписывается сообщать о «значимых инцидентах» – а что такое «значимый», не раскрывается, каждый определяет это самостоятельно .

К началу лета к ГосСОПКЕ подключилось около двух тысяч компаний. Мы же в информационном обмене с ней около двух месяцев. Когда это информационное взаимодействие заработает максимально эффективно? Это зависит не только от числа охваченных организаций и качества передаваемой ими информации – суперважно, как они эту информацию будут внутри себя обрабатывать и насколько быстро смогут ее поставлять участникам в обезличенном виде. Ведь ценность должна быть как раз в получении превентивной информации о векторе готовящейся или уже идущей атаки. Опыт взаимодействия с Ростехом показывает, что на момент получения от них информации об атаках обычно мы уже сами с ней столкнулись. Идеальный сценарий может быть таким: у нас атака, мы определяем, что это. Например, неизвестный ранее вирус, понимаем, что он не распознается стандартными средствами. Выделяем тело вируса, сигнатуру шлем в ГосСОПКу – и уже в течение часа все подключенные получают данную сигнатуру. Пока же от атаки до получения всеми участниками информации о ней может пройти чуть ли не двое суток. Однако и в таком режиме эти сведения очень полезны.

Пока же о серьезной автоматизации подачи данных в ГосСОПКУ речи не идет – они собираются по принципу «дайте хоть что-то, хоть в каком-то виде». Есть приказ ФСБ, регламентирующий, что в качестве канала связи может использоваться и электронная почта, и телефонный звонок. Если есть система управления инцидентами, то можно выдавать сразу информацию из нее, некоторые уже так и работают. Постепенно люди втягиваются – появляются средства автоматизации, устанавливаются защищенные каналы, и понятно, что в скором времени подавляющее большинство участников перейдет на автоматизированную подачу.

Ну а для тех, кто только еще планирует выполнение этого требования ФЗ 187, скажу: ничего страшного нет. Связываетесь с НКЦКИ ФСБ – им можно писать и звонить, там работают очень контактные сотрудники, у которых действительно «горят глаза». Отправляется заявку через сайт, обсуждается регламент: в него вписываются технические факты, в том числе список внешних IP-адресов. Причем там не нужны ни подписи первых лиц, ни печати – это технический документ, со стороны организации его подписывает руководитель подразделения, ответственного за кибербезопасность. По этому регламенту сразу можно работать: передавать информацию несложно, а получать, повторюсь, всегда полезно. Как только появится возможность автоматизации подачи и получения сведений, это будет и более эффективно, и менее трудозатратно.

Как вы выполняли категорирование систем?

Обнаружились некоторые новые для нас подходы. Чтобы определить категорию, необходимо рассмотреть показатели значимости. Есть показатели значимости по которым, что называется, есть вопросы.

Среди них, например, снижение отчислений в бюджет. Если налоги компании превышают определенный процент всех налогов субъекта федерации, а в результате инцидента в некоей ИТ-системе может остановиться работа предприятия, а с нею вместе налоговые платежи, то такая система относится к высокому классу значимости. Или еще один показатель значимости, связанный со срывом международных договоров.

Нюанс в том, что репутационные риски никак не учитываются, что кажется в данных ситуациях неоправданным. Ведь если от компании уходят клиенты, потому что она ненадежный партнер, то и отчисления в бюджет неминуемо упадут. А если клиенты зарубежные, то и международный договор может быть под угрозой.

Другой показатель значимости для предприятий с государственным участием – снижение прибыльности на определенный процент, что тоже вполне может быть связано с репутационными рисками. Поэтому мы считаем разумным дополнить перечень показателей значимости соответствующими параметрами, связанными с репутационными рисками.

А можно проводить категорирование самостоятельно?

Да, мне известны такие случаи, но чаще всего это организации, где ИТ-направление не очень сильно развито. Поэтому для организаций активно использующий ИТ, я бы рекомендовал все же пригласить консультантов – некоторый опыт они уже имеют, а это очень важно.

Кроме того, категорирование делается эпизодически, под него нужно специально обучать сотрудников, скорее всего даже специально взять в штат – на проект уходит несколько человеко-месяцев, выдернуть имеющего сотрудника из текучки на полгода-год очень сложно. Чем их «загрузить» после? Но повторное категорирование через три года мы, скорее всего, будем проводить уже самостоятельно.

Когда начнутся массовые проекты по реализации требований закона?

В следующем году. Раньше было просто нереально, поскольку у крупных предприятий в основном годовой цикл бюджетирования, и мы не исключение. В 2018 вышел закон, бюджет на категорирование заложили на 2019, значит бюджет на реализацию мер – на 2020 и более поздние годы.

Пока по реализации технических мер есть в основном предварительные оценки и наработки. Я уверен: большую часть необходимого можно сделать без титанических усилий. Конечно, останутся отдельные вопросы, к которым неясно как и подступиться, но если в целом реализовать 80% требуемых систем защиты, то уровень безопасности резко подскочит. Судя по публичным выступлениям представителей ФСТЭК, в ведомстве понимают, что большинству организаций потребуется не менее трех лет на внедрение полного комплекса мер.

При этом ч.3 статьи 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» предусматривает ответственность за нарушение правил эксплуатации средств обработки информации объектов КИИ. Защита – это ведь не только техника, это и процессы, и люди, которые за всем этим следят, инструкции, которые не только существуют, но и выполняются. Однако понятно, что даже наличие и работоспособность всего перечисленного не дают гарантий, что не будет инцидентов. Риск все равно есть. Получается парадоксальная ситуация: руководитель может принять все меры в соответствии с законом, а защита все равно оказалась проломленной. Какой в этой связи будет правоприменительная практика, пока можно только предполагать. На сегодняшний день уже есть первые решения судов по ст. 274.1, по 1 и 2 частям, где речь идет об организации вирусных и иных атак на объекты КИИ.

Сколько будет стоить реализация требований ФЗ 187?

Тем, кто не занимался всерьез кибербезопасностью, придется вкладываться по полной. Но и тем, кто занимался, тоже рано радоваться. Ведь когда предприятие оценивает риски, оно обычно рассматривает их применительно к себе самому, а риски для города, граждан, для окружающей среды, для госинститутов или оценивает как низкие, или вовсе не принимает во внимание. Теперь же их придется брать в расчет в соответствии с законом, и это может повлечь множество изменений в системе обеспечения кибербезопасности.

Еще один момент - очень часто требования законодательства воспринимаются поставщиками продуктов и услуг в первую очередь как возможность заработать. Так, если компания приглашает консультанта для категорирования, который является и поставщиком решений, то он стремится завысить категории так, чтобы защищать было дорого и сложно. Могут быть завышены требования к средствам защиты. Поэтому для подобной работы желательно брать консультантов из одной компании, а в качестве потенциальных поставщиков рассматривать совершенно другие.

Затраты на реализацию ФЗ 187 – это еще один пример применения принципа Парето: 80% проблем можно закрыть 20% ресурсов, главное – их правильно приоритизировать. Конечно, те, кто сможет сразу выделить эти самые 20 и 80%, молодцы. Но и 70 и 30% тоже очень неплохой результат. Именно к таким показателям надо стремиться в 2020 году. Оставшийся круг не совсем понятных и дорогих задач по защите пока лучше отложить – пройдет год, и станет ясно, что и среди них есть простор для оптимизации.

Можете ли вы оценить свои риски в деньгах?

Ущерб с точки зрения бизнеса – это понятная характеристика, и ее можно оценить. Но риск ведь это не только ущерб – это и вероятность нападения, а значит, и наша защищенность от него. Так вот оценить вероятность атаки нереально. В последние годы было несколько успешных атак, против которых не эффективны имеющиеся средства защиты В большинстве они связаны с необнаруженными на момент атаки уязвимостями приложений, так называемого zero day. Инструменты взлома продаются в DarkNet за десятки тысяч долларов за штуку. Кто и когда решит разыграть против нас такую карту, достоверно предсказать невозможно.

Таким образом, я очень скептически отношусь к количественной оценке рисков. Однако фиксация потенциального размера ущерба все равно вещь очень полезная, затраты на ИБ надо соотносить хотя бы с ним: то есть они должны быть в разы, а лучше в десятки раз меньше, чем потенциальный максимальный ущерб. Чем ниже вероятность атаки, тем ниже должны быть расходы.

Но есть и исключение – банковская деятельность: там украсть деньги пытаются практически постоянно и исходя из того, что в прошлом месяца было, к примеру, 200 атак, то вряд ли в следующем их будет 2 или 20 000.

Но хакерство все больше набирает обороты – такой способ наживы очень привлекателен, особенно для молодых людей.

Да, есть люди, как правило молодежь, пробующие свои силы в этом преступном деле Не обязательно это кража денег, могут быть и другие мотивы: самоутверждение, популяризация каких-то идей и т.п.

Есть и профессиональные группы, чья основная цель – деньги. Они более предсказуемы, но и более опасны, Как правило они знают, что у вас есть защита: если кибернападение выглядит слишком сложным, они могут пройти мимо в поисках менее защищенных жертв.

Есть и прогосударственные кибергруппы, их цели не связаны с обогащением – они обязаны выполнять полученные задания. Они непредсказуемы и наиболее опасны. Службы, которые занимаются расследованием инцидентов в России, сообщают, что в последнее время виден тренд роста именно таких «плохих парней», что и понятно – кибервойска имеют все ведущие государства мира.

На последнем BIS SUMMIT обсуждалась набирающая популярность аббревиатура VUCA — акроним английских слов volatility (нестабильность), uncertainty (неопределенность), complexity (сложность) и ambiguity (неоднозначность). Думаю, это очень своевременно: мир находится именно в таких условиях, и всем нам расслабляться нельзя.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 07.11.2019

Информационная безопасность

Предыдущая
Продавцы страховки. Нужно ли подразделение ИБ в компании?

Следующая
Цифровая среда как источник угроз

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30