Сергей Щербаков: От проактивных мер до искусственного интеллекта: интеграция технологий для защиты государства

В эпоху, когда виртуализация, «Интернет вещей» и облачные решения становятся все более популярными, ужесточаются и требования к информационной безопасности. От подхода Secure by Design, который с самого начала разработки акцентирует внимание на встроенной безопасности до внедрения методологий, таких как DevSecOps, компании и государственные организации ищут эффективные методы защиты своих цифровых активов. О том, как решать задачи по обеспечению безопасности, противостоять целенаправленным атакам на критическую инфраструктуру, принимать вызовы меняющегося цифрового ландшафта, рассказывает Сергей Щербаков — помощник заместителя председателя Правительства Российской Федерации Д. Н. Чернышенко. 

Какие общие потребности в сфере ИБ наблюдаются у бизнеса и государственных структур?

Главная потребность на текущий момент — квалифицированные кадры. По разным оценкам, дефицит ИТ-специалистов составляет около 100 тысяч человек. Для решения данной задачи запущены проекты, такие как «цифровые кафедры», и программы дополнительного образования, которые в ближайшей перспективе решат этот вопрос. Вторая, не менее значимая потребность — собственное производство микроэлектроники для создания доверенных программно-аппаратных комплексов. По моему мнению, необходимо обеспечивать безопасность на всех этапах производственного процесса. Так называемый подход Secure by Design должен стать основой проектирования систем обеспечения информационной безопасности. Тем более что в текущем году это один из основных трендов в отрасли. И последнее — конечно же, смена вектора с «бумажной» безопасности на практические мероприятия по обеспечению защищенности информационной инфраструктуры. 

В чем вы видите основные пробелы в текущей среде кибербезопасности с точки зрения потребностей государства и бизнеса?

Текущий этап развития Российской Федерации характеризуется активным внедрением новых информационно-коммуникационных технологий во все отрасли народного хозяйства и государственного управления. Социальные интернет-сервисы и услуги стали неотъемлемой частью личной жизни граждан. При этом «цифровая трансформация» (ЦТ) государства — инновационный процесс, требующий коренных изменений в технологиях и социуме, включая создание новых институтов и органов. Несмотря на все положительные стороны, она, в свою очередь, имеет негативные последствия в виде определенных проблем в области информационной безопасности. Возникают новые векторы угроз, и расширяется спектр уязвимостей для потенциальных кибератак.

Одним из препятствий внедрения ЦТ в компаниях, особенно в государственном секторе, являются старые, унаследованные технологии и процессы, которые плохо вписываются в процесс ЦТ государства. В большинстве организаций до сих пор плохо с интеграцией различных решений информационной безопасности, нет сквозной видимости угроз, мониторинга и планов действий на случай кибератак, неудовлетворительно обстоят дела с контролем соответствия требований регуляторов (комплаенс — compliance).

В этих условиях, по оценкам экспертов, более 30% инфраструктуры компаний остается незащищенной. По мере развития и роста ИТ-инфраструктуры ситуация только усугубляется вследствие цифровой трансформации, а также постоянного усложнения и роста числа кибератак. Если еще два года назад кибермошенничество было направлено в основном на хищение средств в банковском секторе, то сейчас мы находимся в совершенно других реалиях.

В какой степени бизнес и органы государственной власти осознают масштабы современных киберугроз и насколько они готовы открыто дискутировать о случаях взломов, возможных рисках и методах предотвращения атак?

Совершенно очевидно, что в текущих условиях осуществлять защиту информации старыми способами не представляется возможным. Необходимо формирование совершенно новых подходов и механизмов реализации государственной политики в области информационной безопасности. Вместе с тем обеспечить повышенный уровень готовности информационной безопасности не всегда по силам большинству компаний и ведомств. Как я уже отмечал, отсутствуют подготовленные и имеющие практические навыки кадры. Безопасность превращается в «бумажную» путем составления отчетов о соответствии требованиям регуляторов, написания регламентов и политик.

Однако не все так печально. Большая часть представителей бизнеса и государства очень ответственно относится к вопросам информационной безопасности. Трендом последних лет стало стремление к открытому диалогу коммерческих структур и государства. Угроза хакерских атак актуальна и для органов власти, и для бизнеса, но в сферах, определенных законом № ФЗ-187, они представляют особую опасность для общества. Самостоятельно защищаться могут далеко не все. Государству необходима концентрация компетенций, требующихся для предотвращения атак и реагирования на них, при этом оно должно выступать гарантом, проводя политику и устанавливая требования, осуществляя надзор за данной сферой и непосредственно реагируя на крупные компьютерные атаки. В этом направлении уже немало сделано: государственными органами оперативно обновляются банки угроз, выявляются способы их предотвращения. Во многом это стало возможным за счет современных систем мониторинга, включая ГосСОПКу. Бизнесу остается просто выполнять отработанные и проверенные рекомендации и ответственно подходить к вопросам информационной безопасности. В большинстве случаев разработанных мер и политик достаточно для предотвращения кибератак. 

В сентябре 2022 года во всех 85 региональных субъектах РФ и почти всех ФОИВах завершилось создание штабов по борьбе с киберугрозами. Как сегодня устроено взаимодействие между региональными штабами и федеральным центром по борьбе с киберугрозами? Есть ли единая координационная платформа или сеть для обмена информацией и опытом?

Компьютерные атаки на информационные ресурсы органов исполнительной власти субъектов Российской Федерации могут привести к серьезным последствиям, таким как утечка конфиденциальной информации, нарушение работы систем управления и связи, потеря контроля над критической инфраструктурой, и, соответственно, к нарушению стабильной работы органов исполнительной власти Российской Федерации. Центрами интеграции всех данных являются НКЦКИ ФСБ России и ФСТЭК России. Оперативную поддержку и координацию деятельности органов государственной власти регионов и ФОИВ реализовали через подведомственную Минцифре организацию «Интеграл».

Например, на базе «Интеграла», при согласовании с ФСТЭК и НКЦКИ, разрабатываются и проводятся командно-штабные учения (далее — КШУ) для оперативных штабов по обеспечению кибербезопасности субъектов Российской Федерации. Основная цель проведения таких киберучений — повышение общего уровня защиты информации в органах исполнительной власти Российской Федерации, которое включает отработку взаимодействия между участниками, проверку готовности участников к мероприятиям по обнаружению, реагированию и ликвидации последствий компьютерных атак на информационные ресурсы органов исполнительной власти Российской Федерации, инвентаризацию в органах исполнительной власти Российской Федерации, сил и средств, способных к проведению мероприятий по обнаружению, реагированию и ликвидации последствий компьютерных атак. А также повышение готовности сотрудников подразделений, ответственных за информационную безопасность, к реализации мероприятий по реагированию и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Сами учения проходят в два этапа. Первый — организационно-технический. Данный этап КШУ предполагает выполнение перечня мероприятий для минимизации риска реализации компьютерных атак при установлении разных уровней опасности проведения целевых компьютерных атак на информационные ресурсы органов исполнительной власти РФ.

Второй — практический. На этом этапе проводятся мероприятия по отработке навыков сотрудников подразделений, ответственных за информационную безопасность по обнаружению компьютерных атак и реагированию на компьютерные инциденты. Практическая часть КШУ происходит на стенде, имитирующем архитектуру информационной системы/объекта КИИ органа исполнительной власти субъекта РФ.

В качестве примера могу привести киберучения, совсем недавно проведенные совместно с Министерством цифрового развития, связи и массовых коммуникаций Калининградской области. Участники показали хорошую подготовленность и подтвердили практическую реализацию мер по защите информации в Минцифры Калининградской области. 

Какие стратегии и технологии в области проактивной защиты сейчас наиболее перспективны и каким образом они помогают предотвращать не только известные, но и потенциальные угрозы будущего?

Одним из новых и эффективных подходов в области обеспечения информационной безопасности информационных активов является применение методов проактивной защиты, способных предотвращать кибератаки. Данный подход должен включать построение единой архитектуры ИБ, которая обеспечит централизованное управление ИТ-инфраструктурой, прозрачность всех событий информационной безопасности, повсеместное внедрение требований подхода Secure by Design, подразумевающего, что ПО изначально создано с учетом фундаментальной безопасности (включая методологию DevSecOps), разработку стратегий защиты сетей и политик безопасности; внедрение встроенных средств контроля на соответствие стандартам и требованиям регуляторов с возможностью онлайн; использование мер превентивной и проактивной защиты.

Вместе с тем одной из распространенных практик среди коммерческих компаний и государственных организаций становится не просто привлечение сторонних сотрудников по ИБ (аутстаф), а комплексное делегирования всей этой непростой задачи профессиональным компаниям, обладающим соответствующими крупными командами и современными центрами мониторинга кибербезопасности (Security Operation Center). 

Хорошие результаты показала инициатива с Bug Bounty — когда всем желающим на определенном ресурсе официально предлагают вознаграждение за обнаруженную уязвимость. Например, за три первых месяца работы программы Bug Bounty около 8,4 тысячи так называемых белых хакеров пытались найти уязвимости на портале «Госуслуги». В результате они обнаружили 34 бага средней и низкой критичности, которые были оперативно устранены. Исследователи получили за свои отчеты денежные вознаграждения и благодарность от Минцифры России. Максимальная выплата за найденные уязвимости составила 350 тысяч рублей, а минимальная — 10 тысяч рублей. Средний возраст «багхантеров» составил 28 лет, минимальный — 17 лет, а максимальный — 55 лет. 

В рамках стратегии проактивной защиты какой подход применяется для анализа и прогнозирования новых киберугроз? Возможно ли использование технологий искусственного интеллекта для раннего выявления атак?

Решения по расширенной аналитике событий безопасности с функциями прогнозирования и поведенческого анализа уже активно применяются во многих сферах информационной безопасности, в том числе в госсекторе. Они значительно облегчают работу специалистов, сокращая время обнаружения, реагирования на угрозы и расследование инцидентов. Ключевое отличие от всем известных SIEM-систем состоит в том, что SIEM обнаруживают нелегитимные действия, а данные системы обнаруживают подозрения в легитимных действиях. Это может сигнализировать либо об инсайдере, либо о компрометации учетной записи сотрудника. Несомненно, использование технологий искусственного интеллекта в подобных системах информационной безопасности в перспективе позволит обнаруживать атаки на самых ранних стадиях. При этом подобные решения работают по многим векторам угроз: инсайдеры и компрометация, шифровальщики и вирусы, разведка и ботнеты и так далее. 

Каковы основные принципы построения системы проактивной защиты в контексте государственных и корпоративных структур и как можно обеспечить адекватный уровень защиты от непредсказуемых киберугроз?

На самом деле задача одновременно и простая, и сложная. Универсальной «таблетки» не существует. Когда мы говорим о новых векторах атак, то речь больше идет о снижении рисков. В качестве примера приведу строительство дома. Дом, построенный и эксплуатируемый с нарушениями, с большой вероятностью станет источником угрозы. Создавая и эксплуатируя информационные системы любого класса, зачастую стоит потратить ресурсы, как временные, так и денежные, на обеспечение безопасности, даже если это негативно скажется на отчетных сроках проекта. Последовательное и разумное выполнение требований регуляторов в области информационной безопасности, своевременное обновление программного обеспечения, а также четкое разграничение прав доступа позволят снизить риск возникновения непредсказуемых кибератак. 

На форуме PHDays вы сказали, что, по оценкам экспертов, в 2023–2025 годах основным трендом станут скоординированные наступательные операции, такие как атаки на промышленность и критическую инфраструктуру, сложные для выявления новые способы и векторы атак, атаки на средства и архитектуры информационной безопасности. Какие меры предпринимаются для противодействия скоординированным кибератакам?

На фоне текущей геополитической ситуации противостояния России и Запада отмечается рост целевых атак с целью вывода из строя объектов критической информационной инфраструктуры и шпионажа.

Информационные ресурсы Российской Федерации испытывают настоящий шквал скоординированных компьютерных атак. В результате таких действий выводятся из строя информационно-технические средства, утекают, уничтожаются или подменяются важные данные, нарушается работоспособность информационных систем. Действительно, APT (Advanced Persistent Threat) — сложные атаки, выполняемые преимущественно на ИТ-инфраструктуру государственных объектов, — стали новой угрозой. Как правило, в их проведении подозреваются спецслужбы других стран и отряды «правительственных хакеров». Это касается многоуровневых атак, целью которых может быть сеть любой организации или группа устройств с общими признаками. APT — это «развитая устойчивая угроза», или «сложная постоянная угроза», подразумевает и многоэтапный сценарий атаки, и используемые в ней профессиональные инструменты, а также профессиональные хакерские группы.

Для противостояния подобным атакам как раз и применяется вся совокупность описанных выше мер и стратегий — от проектирования систем с учетом требований информбезопасности (Secure by Design) до использования доверенных репозиториев и платформ сборки ПО с последующей эксплуатацией под надзором центров кибербезопасности с применением инструментов расширенной аналитики на основе искусственного интеллекта.

Оснований полагать, что в ближайшей перспективе ситуация улучшится, пока нет. Злоумышленники накопили большой опыт при проведении атак на информационную инфраструктуру Российской Федерации. Высоки риски как массовых DDoS-атак на информационные ресурсы госорганов, так и скоординированных операций «прогосударственных» АРТ-группировок с использованием уязвимостей 0-day, а также атак на цепочку поставок ПО, так называемые supply chain attacks. 

В числе потенциальных киберрисков ближайших лет — атаки в том числе на цифровой рубль. Как планируется его защитить?

Сам цифровой рубль защищен достаточно хорошо, и взломать его крайне непростая задача, почти невозможная на сегодняшнем уровне технологий. Основные векторы атак, которые все же могут иметь место, — это социальная инженерия с фродом и фишингом во всех их вариациях. Государственные и банковские системы распознавания фейков с применением ИИ активно развиваются, подозрительные сайты и мошеннические номера блокируются. Но и самим пользователям надо быть начеку и критически относиться к любым подозрительным активностям. 

17 июля 2023 года вице-премьер Дмитрий Чернышенко поручил Минэкономразвития создать оперативный штаб по искусственному интеллекту. Каковы основные цели этого шага? Как, на ваш взгляд, ИИ может помочь в обеспечении кибербезопасности?

В состоянии, когда достаточно высок кадровый голод, особенно среди квалифицированных ИБ-специалистов, применение ИИ помогает снять нагрузку с персонала, выполняя большое количество обязательных, но рутинных операций, позволяя сосредоточиться людям на точечном принятии значимых решений, что многократно повышает эффективность ИБ-команд.

Вторым направлением в центре будет работа над безопасностью самого ИИ, его обучение противодействию «отравленным данным» и другим способам атак на ИИ. В текущих условиях противодействие атакам на алгоритмы машинного обучения является важным и перспективным направлением.