Киберугрозы сажают на CERT
В России создают центр реагирования на инциденты в сфере информационной безопасности
Как стало известно "Ъ", в ближайшее время в России заработает центр реагирования на инциденты в сфере информационной безопасности (CERT), созданный "Лабораторией Касперского" для сбора информации об уязвимостях и отражении атак на такие объекты, как атомные электростанции, предприятия ядерно-топливного, нефтегазового и энергетического комплексов. Обезопасить свою инфраструктуру, по сведениям "Ъ", намерены и телекоммуникационные операторы, которые ведут переговоры с Минкомсвязью и ФСБ о создании соответствующего CERT. Эксперты отмечают, что Россия перенимает опыт США, где есть свои CERT в каждой важной отрасли. Но при этом не факт, что крупнейшие корпорации захотят делиться с "Лабораторией Касперского" информацией об уязвимости своей критической инфраструктуры.
"Лаборатория Касперского" намерена в октябре запустить CERT на критически важных объектах и информационной инфраструктуре (КИИ), таких как атомные электростанции, предприятия ядерно-топливного, нефтегазового, энергетического и оборонного комплексов, металлургические и химические производства, рассказал "Ъ" источник на IT-рынке и подтвердили в компании. "Организация промышленного CERT — исключительно наша собственная инициатива. В настоящий момент мы плотно работаем с отраслевыми и государственными регуляторами и организациями, отвечающими за обеспечение кибербезопасности не только в России, но и по всему миру",— сообщил "Ъ" руководитель центра компетенции по защите критической инфраструктуры "Лаборатории Касперского" Евгений Гончаров. CERT будет собирать информацию о найденных уязвимостях, угрозах, инцидентах, а также привлекаться к проведению обследований, тестов на проникновение и расследований инцидентов на промышленных объектах.
CERT планируется сделать международным и в ближайшее время получить от Университета Карнеги--Меллон право на использование торговой марки CERT, которую университет дает центрам реагирования на киберинциденты по всему миру, сообщили в "Лаборатории Касперского".
Безопасностью критически важных объектов в России занимаются сразу несколько организаций, в основном ФСТЭК и ФСБ. В январе 2013 года Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА), организацию работ по созданию которой поручил ФСБ. В список задач ГосСОПКА входит оценка степени защищенности КИИ от компьютерных атак и установление причин таких инцидентов. Три собеседника "Ъ" на рынке информационной безопасности (ИБ) отмечают, что промышленный CERT "Лаборатории Касперского" наверняка будет работать в связке с ГосСОПКА и получать информацию об инцидентах и атаках на промышленные объекты именно от госсистемы. "Но предприятия уровня "Газпрома", "Роснефти" и подобных не будут частной компании добровольно отдавать информацию о своих уязвимостях",— считает один из собеседников "Ъ". В пресс-службе "РусГидро" "Ъ" сообщили, что компания активно работает в направлении создания своего корпоративного центра по управлению ИБ (SOC) и по организации взаимодействия с ГосСОПКА. "Тот функционал, который предлагает в данный момент "Лаборатория Касперского", мы планируем реализовывать самостоятельно в прямом сотрудничестве с ФСБ",— говорят в компании. Источник "Ъ" в крупной промышленной компании сообщил, что о создании промышленного CERT "Лабораторией Касперского" они знают, но предоставлять ему данные об инцидентах на регулярной основе не планируют. В "Лаборатории Касперского" отмечают, что "открыты к взаимодействию со всеми организациями или структурами и ГосСОПКА не исключение".
Собеседник "Ъ" на IT-рынке утверждает, что в настоящее время вопрос создания еще одного CERT — для реагирования на инциденты на телекоммуникационных сетях — обсуждается и между федеральными операторами связи, Минкомсвязью и ФСБ. Это подтвердил представитель МТС Дмитрий Солодовников и источник "Ъ" в другом федеральном операторе. "Было бы правильным создать CERT на базе регулятора. Это помогло бы объединить и усилить возможности операторов в борьбе с организаторами DDoS- и других атак на сеть операторов",— считает собеседник "Ъ".
Бывший замдиректора департамента управления радиочастотами и сетями связи Минкомсвязи Дмитрий Костров говорит, что вопрос создания CERT для защиты инфраструктуры телеком-операторов уже поднимался несколько лет назад. "В прошлый раз не смогли договориться. Минкомсвязь посчитала, что вопросы информационной безопасности на телеком-инфраструктуре не являются ее сферой деятельности, а Роскомнадзор, на базе ситуационного центра которого предлагали создать такую структуру, идею не поддержал. Операторам было непросто договориться между собой, потому что для обеспечения информбезопасности у них есть свои SOC",— рассказал господин Костров. Источник "Ъ" в одном из федеральных операторов говорит, что вопрос создания Telecom-CERT был поднят снова, когда начались обсуждения необходимости обеспечения целостности и безопасности российского сегмента интернета и "в связи с увеличением количества и качества информационных угроз".
В 2015 году ICS-CERT зарегистрировал 295 киберинцидентов на промышленных объектах против 245 годом ранее. Кроме того, организация обнаружила 486 уязвимостей и выполнила углубленный анализ 175 образцов вредоносных программ. По данным PwC, число ИБ-инцидентов в телекоммуникационном секторе за 2015 год выросло на 45%, а самая длительная DDoS-атака продолжалась 291 час, то есть более 12 дней.
В России уже работает несколько государственных и частных CERT. RU-CERT, созданный НИИ развития общественных сетей, и CERT-GIB, который принадлежит компании Group-IB, занимаются снижением уровня ИБ-угроз для пользователей рунета. Созданный ФСБ GOV-CERT.RU направлен на повышение защищенности органов власти, а FinCERT, основанный ЦБ, собирает информацию о кибератаках на финансовые учреждения. "В Японии и США есть центры разбора ИБ-инцидентов в наиболее важных индустриях: финансовом секторе, телекоммуникациях, медицине и др. Для инцидентов на промышленных объектах, например, в США работает ICS-CERT. Россия пытается идти по тому же пути",— полагает господин Костров. "В силу развитой и распределенной IT-инфраструктуры телеком-операторы подвергаются тысячам атак ежедневно. В 90% случаев это массовые ненаправленные атаки, когда заражаются компьютеры и серверы телеком-оператора с целью формирования бот-сети",— говорит гендиректор Solar Security Игорь Ляпунов. Атаки на промышленные предприятия, по его словам, меньше в масштабах, но потенциальный ущерб от успешной атаки на КИИ предприятия может затрагивать вопросы жизнеобеспечения граждан.
В ФСБ не ответили на запрос "Ъ", получить комментарий ФСТЭК не удалось, в Минкомсвязи, "МегаФоне", "Вымпелкоме", "Ростелекоме" отказались от комментариев.