В правительстве хотят ускорить обмен информацией о киберинцидентах между специалистами по информбезопасности. Сами участники рынка предложили создать цифровую платформу для централизованного сбора данных и оперативного решения сложных задач. Чиновники поддерживают идею, но проблемой могут стать договоры о неразглашении, которые поставщики средств киберзащиты заключают с клиентами.
Фото: Анатолий Жданов, Коммерсантъ
Участники рынка кибербезопасности рассказали “Ъ”, что обсуждают с Минцифры идею создания единой платформы для сбора информации об инцидентах и обмена экспертизой по отражению кибератак. Речь идет, например, про данные о скомпрометированных банковских картах, учетных записях, вредоносных программах, поясняет собеседник “Ъ” в крупной IT-компании, платформа призвана помочь специалистам в оперативной борьбе со злоумышленниками. Запуск самой системы, полагает он, должно взять на себя государство, а ее наполнением займутся профильные компании. «Инициатива обсуждается с другими ведомствами, пока окончательное решение не принято»,— уточнили “Ъ” в Минцифры. С кем именно идет диалог, там не уточнили.
В России уже есть платформа, выполняющая похожую функцию. Это система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которую контролирует ФСБ, и Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), входящий в ЦБ. Но, по словам собеседника “Ъ”, ГосСОПКА «не открыта для бизнес-сообщества».
«К сожалению, платформа на базе ФСБ не стала полноценной площадкой обмена информацией и опытом»,— подтверждает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин.
По его мнению, для реагирования на новые инциденты в первую очередь необходимы индикаторы компрометации, описания техник и тактик атак и детектирующих правил (правило, по которому система способна выявлять вредоносную активность).
После начала военных действий на Украине масштабным хакерским атакам подверглись почти все государственные информсистемы и крупные компании. Например, число вирусных атак на российский ритейл выросло в первом полугодии на 45% (см. “Ъ” от 25 июля). Собеседник “Ъ” на рынке кибербезопасности рассказывал, что по итогам проверки компаний из всех отраслей экономики, от финансового сектора до промышленности, выяснилось, что у 79% в системах были уязвимости и 86% из них удалось успешно взломать (см. “Ъ” от 10 июня).
Глава отдела продуктов компании «Код безопасности» Павел Коростелев считает, что создание платформы может повысить оперативность реагирования на актуальные угрозы.
«Пользователи системы смогут делиться необходимыми данными, например, какой софт используют злоумышленники или с каких IP-адресов они приходят,— это нужная и полезная информация, особенно если она предоставляется своевременно»,— поясняет он. Но, подчеркивает эксперт, главная проблема инцидентов в информационной безопасности в том, что их легко скрыть, поэтому успех проекта будет зависеть от самих пользователей платформы.
Сейчас технической информацией о кибератаках и преступных группах располагают не только профильные вендоры, но и подразделения информационной безопасности, мониторинга и реагирования банков, телеком-операторов, промышленных предприятий и так далее, отмечает региональный директор Group-IB в России и СНГ Валерий Баулин: «Все они могли бы стать полноправными участниками информационного обмена на единой платформе». Однако, уточняет господин Мелехин, вся необходимая информация «является коммерческой ценностью самих же вендоров и стоит для конечного потребителя достаточно дорого». «Именно конкуренция и мешает развитию подобных платформ обмена данными»,— полагает эксперт.
Основная проблема не в платформе, а в регулировании информационного обмена, на пути реализации проекта стоят как многочисленные NDA (соглашение о неразглашении), так и другие, в том числе законодательные, ограничения, соглашается Валерий Баулин. Однако, полагает он, «необходимость применять единые данные киберразведки для обеспечения информационной безопасности очевидна».