Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ получил возможность инициировать разделегирования доменов сайтов, которые посчитает нарушающими закон. Центр вошел в число так называемых компетентных организаций Координационного центра доменов .ru/.рф (КЦ РФ), где будет отвечать за борьбу с ресурсами—источниками кибератак. Мера по разделегированию не закреплена в российском законодательстве, но фактически позволяет блокировать сайты быстрее, чем через суд и Роскомнадзор.
Фото: Reuters
НКЦКИ ФСБ присоединился к числу компетентных организаций КЦ РФ, соглашение подписано 30 июля, рассказали “Ъ” в КЦ. Такой статус дает НКЦКИ возможность обращаться к регистраторам доменов с жалобами на сайты-нарушители, чтобы прекратить делегирование доменных имен, то есть фактически закрыть доступ к такому ресурсу. «НКЦКИ будет заниматься выявлением фишинговых ресурсов, источников вредоносного программного обеспечения (ПО), отслеживанием активности бот-сетей и других атак с использованием российских национальных доменов. Многолетняя экспертиза и опыт НКЦКИ дополнят работу института компетентных организаций и позволят сделать российское доменное пространство еще более безопасным»,— заявил директор КЦ РФ Андрей Воробьев. В пресс-службе ФСБ не ответили “Ъ” к моменту публикации.
НКЦКИ создан приказом директора ФСБ Александра Бортникова осенью 2018 года, его возглавил начальник Центра защиты информации и специальной связи ФСБ Андрей Ивашко. Среди задач структуры — координация обнаружения, предупреждения и ликвидации последствий компьютерных атак, обмен информацией между профильными ведомствами и с зарубежными коллегами, анализ прошедших кибератак и выработка методов борьбы с ними. По собственным данным, с декабря 2018 по июнь 2019 года НКЦКИ предотвратил 7089 попыток внедрения вредоносного ПО в РФ и странах Организации Договора о коллективной безопасности, писал “Ъ” 27 июня.
КЦ РФ начал взаимодействие с компетентными организациями в 2012 году. Само появление этого института — вынужденная мера, связанная с «пугающим количеством» фишинговых сайтов, для борьбы с которыми не хватает собственных ресурсов КЦ РФ, считает основатель аналитической системы Index.ru Леонид Филатов. Кроме НКЦКИ у КЦ РФ девять таких организаций, среди которых как частные компании в сфере информационной безопасности, например «Лаборатория Касперского» и Group-IB, так и госрегуляторы, включая Роскомнадзор и Центробанк.
Только в июне 2019 года регистраторам поступило 555 обращений о прекращении делегирования доменного имени, из которых были удовлетворены 548. Подавляющая часть из нарушителей представляла собой фишинговые сайты. За 2018 год с делегирования были сняты 5,5 тыс. доменов. В Group-IB сообщили, что в 2017–2018 годах инициировали блокировку более 3 тыс. «токсичных» доменов в зоне .ru. В «Лаборатории Касперского» также подтвердили, что регулярно направляют информацию о неправомерном использовании доменов.
Николай Мурашов, заместитель директора НКЦКИ ФСБ, 27 июня 2019 года
Прежде всего преступники нацелены на получение сведений о российских технологиях в оборонной и атомной промышленности, энергетике и ракетостроении, а также информации из государственных систем управления
Бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий называет присоединение к системе НКЦКИ логичным, так как именно туда стекается информация об инцидентах среди субъектов критической информационной инфраструктуры РФ. При этом отсутствие промежуточных звеньев между НКЦКИ и регистраторами позволит более оперативно реагировать на инциденты, отмечает он. Руководитель юридического отдела регистратора доменов Reg.ru Павел Патрикеев также ожидает положительного эффекта от расширения полномочий НКЦКИ, отмечая, что на эффективности борьбы с сайтами-нарушителями должно сказаться добросовестное соблюдение центром зон компетенций, очерченных соглашением с КЦ РФ.
Мера по разделегированию домена отличается от блокировки сайтов через судебное решение и Роскомнадзор и при этом позволяет значительно быстрее ограничить доступ к ресурсу.
Доступ к контенту по разделегированному домену прекращается в принципе, он может стать доступен только при привязке нового доменного имени, поэтому данную меру следует признать более эффективной, чем классические блокировки, полагает директор Регионального общественного центра интернет-технологий Сергей Гребенников. Впрочем, злоумышленники тоже не стоят на месте, и сегодня процесс создания вредоносного домена занимает доли секунды, предупреждает господин Лукацкий.
Хотя в законодательстве мера по разделегированию домена сайта-нарушителя не описана, она предусмотрена договором с регистратором, что вписывается в российское правовое поле, считает Алексей Лукацкий. «При регистрации домена любая компания подписывает документы, информирующие об этой процедуре и необходимых действиях»,— подтверждает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Процедура может быть обжалована в суде, кроме того, сам регистратор имеет возможность мотивированно не согласиться с решением компетентной организации, если есть подозрения в неправомерной блокировке, добавляет Павел Патрикеев.