Критическая безопасность
Как государство обеспечивает цифровую защиту в новых условиях
В текущем году резко увеличилось количество кибератак не только на частные компании, но и на критическую IT-инфраструктуру и госсектор: с попытками нарушения цифровой безопасности столкнулась почти половина российских ведомств. Дополнительные уязвимости появляются из-за ухода с российского рынка зарубежных вендоров, что повышает спрос на компетенции в области безопасности — для их развития по национальному проекту «Цифровая экономика» был запущен Национальный киберполигон, позволяющий проводить кибертренировки в безопасных, но максимально приближенных к реальным условиях. В нынешнем году были открыты еще четыре учебные площадки киберполигона в российских вузах — таким образом, их общее число выросло до восьми.
Фото: Анатолий Жданов, Коммерсантъ
В конце февраля российская IT-инфраструктура стала чаще подвергаться различным кибератакам: от DDoS (атака на сервер) до атак вирусов-шифровальщиков. Как отметил вице-премьер РФ Дмитрий Чернышенко в ходе рабочей встречи с Владимиром Путиным в октябре, число кибератак в РФ в 2022 году на автоматизированные системы управления (АСУ) увеличилось на 80%, при этом если в 2021 году главной целью были финансовые компании, то в текущем году атаки нацелены в первую очередь на госсектор. По словам вице-премьера, всего было успешно ликвидировано более 25 тыс. кибератак на госресурсы и 1,2 тыс. инцидентов на критической инфраструктуре. «Эта борьба не остановится — против РФ воюют кибервойска всех недружественных стран»,— предупредил господин Чернышенко.
Согласно данным российской компании Positive Technologies (разработчик решений в сфере информационной безопасности), по итогам первых трех кварталов 2022 года общее количество атак на финансовые организации снизилось на 16% по сравнению с аналогичным периодом 2021 года. В компании отмечают, что доля кибератак на финансовую отрасль в последние годы в целом сокращалась и сейчас составляет около 5% от числа всех кибернападений на организации.
На прошедшем в начале ноября форуме инновационных финансовых технологий Finopolis заместитель президента—председателя правления банка ВТБ Вадим Кулик заявил, что доля прикладных систем ВТБ, независимых от импортных технологий, выросла почти до 60%. «Импортозамещение уже затронуло абсолютно все программы и IT-инструменты, с которыми взаимодействует любой сотрудник нашего банка. Сегодня технологический суверенитет наших систем составляет уже около 60%»,— отметил господин Кулик.
По данным Центра подготовки руководителей и команд цифровой трансформации РАНХиГС, во втором полугодии 2021 года — первом полугодии 2022 года 46,6% российских ведомств столкнулись с кибератаками, при этом в 15% из них нападения были многократными. Во втором квартале 2022 года киберпреступники стали активнее использовать уязвимости в ПО для атак на российские организации, отмечали эксперты компании «РТК-Солар». В первом квартале текущего года доля подобных инцидентов составляла 9%, во втором квартале — уже 15%. На руку хакерам играют сложности с обновлением уязвимого софта и сигнатур на средствах защиты, возникшие у компаний в связи с уходом многих зарубежных вендоров с российского рынка.
В целом в первом полугодии 2022 года количество событий информационной безопасности выросло практически на четверть в сравнении с аналогичным периодом 2021 года, указывали в своем отчете эксперты «РТК-Солар». Набор инцидентов с высокой степенью критичности за год значительно изменился: если в 2021 году в топе были сетевые атаки (65%) и заражение вредоносным программным обеспечением (11%), то спустя год подавляющее большинство (85%) атак было связано с вебом, отмечали они.
«В текущей ситуации повышается уровень ответственности ведомств и компаний за безопасность государственных, частных и персональных данных, а также информационных систем. Это, в свою очередь, стимулирует развитие отечественных технологий и компетенций по защите информации»,— отмечал Дмитрий Чернышенко, комментируя открытие опорного центра Национального киберполигона в Оренбургском государственном университете. Заметим, если в начале 2022 года преобладали массовые несложные атаки, то сейчас на смену им приходят более точечные атаки по конкретным отраслям. «Этот тренд говорит о том, что злоумышленники стали действовать более системно»,— указывает директор департамента Национального киберполигона компании «РТК-Солар» Евгений Акимов.
«Кибератаки — это неприятно, досадно, обидно, но это делает нас сильнее, потому что собственники, менеджеры на это реагируют и пытаются предотвращать или сокращать влияние на работу этих негативных моментов»,— заявлял глава Минцифры Максут Шадаев в интервью на конференции TAdviser. Согласно результатам исследования «МегаФона» «Индекс кибербезопасности» (в опросе приняли участие представители 400 компаний из разных отраслей), девять из десяти российских компаний подверглись кибератакам в 2021 году. При этом 20% атакованных компаний получили финансовый ущерб, а 18% — имиджевый, жертвы киберпреступников в полтора раза чаще остальных готовы вкладываться в повышение своей информационной безопасности.
В первом полугодии 2022 года злоумышленники усилили натиск на нефтегазовую отрасль и системы автоматизации зданий, следует из отчета Kaspersky ICS CERT. «Резкий рост числа атак шифровальщиков весной на частные и государственные компании коснулся и систем промышленной автоматизации. Так, доля компьютеров АСУ, на которых были заблокированы программы-вымогатели, в первом полугодии 2022 года выросла более чем на 10% по сравнению с аналогичным периодом 2021 года и оказалась самой высокой с 2020 года. Это серьезная угроза не только с точки зрения финансового ущерба, но и нарушения бизнес-процессов»,— отмечают в компании.
«Каждый из нас или является, или может стать объектом кибератаки — это вопрос времени, поэтому кибербезопасность — предмет для постоянной рефлексии, тренировок, стресс-тестов и так далее»,— отметил Максут Шадаев в интервью на конференции TAdviser. По его словам, сейчас все начинают серьезнее относиться к кибербезопасности. «Мы, например, планируем до конца года объявить и провести по порталу Госуслуг программу bug bounty. Хотим максимально обнаружить дыры в нашей инфраструктуре, причем с выплатой белым хакерам вознаграждения за их обнаружение»,— заявил он. При этом государство и государственные IT-ресурсы находятся в особой зоне ответственности, сказал министр. Обеспечение кибербезопасности необходимо приоритизировать, считает он.
Все на киберполигон
Для повышения кибербезопасности в стране уже третий год функционирует Национальный киберполигон. Его развитие предусмотрено национальным проектом «Цифровая экономика», ответственным исполнителем назначен «Ростелеком». Киберустойчивость страны обеспечивается за счет повышения готовности предприятий важнейших отраслей к выявлению киберинцидентов и максимально оперативному устранению их последствий.
Национальный киберполигон представляет собой цифровые копии типовых инфраструктур предприятий важнейших отраслей со специфическим оборудованием и программным обеспечением. Как отмечает директор департамента Национального киберполигона «РТК-Солар» Евгений Акимов, это «яркий пример специализированного киберполигона, позволяющего проводить кибертренировки в безопасных условиях, но при этом максимально близких к реальной жизни».
К настоящему времени в рамках развития Национального киберполигона по национальному проекту «Цифровая экономика» реализованы корпоративный, электроэнергетический, нефтегазовый и банковский сегменты. До конца года, по словам господина Акимова, планируется запустить новый отраслевой сегмент по нефтепереработке. «Такой подход позволяет нам не только делать киберучения максимально реалистичными, но и проводить отраслевые и межотраслевые кибертренировки»,— поясняет он.
Чтобы специалисты по кибербезопасности и те, кто только осваивает эту профессию, имели доступ к киберполигону, компания сотрудничает с вузами в различных субъектах РФ и открывает на их базе опорные центры. «Сегодня в стране насчитывается восемь точек присутствия Национального киберполигона: семь опорных и один образовательный центр»,— рассказывает Евгений Акимов. Так, в 2020 году были запущены опорные центры в Дальневосточном федеральном университете во Владивостоке и в научно-технологическом университете «Сириус» в Сочи. В 2021 году аналогичные площадки открылись в Сибирском государственном университете телекоммуникаций и информатики в Новосибирске и в Университете ИТМО в Санкт-Петербурге. С начала 2022 года появились еще три опорных центра: в Поволжском государственном университете телекоммуникаций и информатики в Самаре, в Московском техническом университете связи и информатики (МТУСИ) в Москве и Оренбургском государственном университете. Кроме того, в текущем году заработал образовательный центр на базе Санкт-Петербургского государственного университета телекоммуникаций им. проф. М. А. Бонч-Бруевича.
«Все перечисленные учебные площадки имеют полный доступ к инфраструктуре и платформе Национального киберполигона, а также мы оказываем вузам методологическую поддержку при разработке заданий. Открытие таких площадок помогает регионам обеспечивать практикоориентированную подготовку будущих специалистов, формировать кадровый резерв отрасли и решать проблемы кадрового голода»,— говорит представитель «РТК-Солар».
С опорой на вузы
Всего до 2024 года по нацпроекту «Цифровая экономика» в России планируется создать 15 опорных центров Национального киберполигона, заявлял ранее Дмитрий Чернышенко. Первой площадкой в стране, на которой появился опорный пункт киберполигона, стал Дальневосточный федеральный университет. Пункт представляет собой компьютерный класс, откуда по защищенным каналам можно получить доступ к Национальному киберполигону, отмечает директор Центра информационной безопасности ДВФУ Алексей Павлычев. Студенты ДВФУ-направлений «Информационная безопасность» и «Компьютерная безопасность» отрабатывают на полигоне навыки анализа событий информационной безопасности и работу в SIEM, а также учатся выявлять killchain — цепочки действий хакеров в ходе сложной многоэтапной атаки, указывает он. На виртуальной сетевой инфраструктуре Национального киберполигона студенты пробуют работать со средствами защиты и отражения компьютерных атак. Здесь проводятся мероприятия в различных форматах: тренировочные киберучения, этапы всероссийских соревнований, олимпиады, CTF-турниры (Capture the flag, или «захват флага»,— командный турнир по компьютерной безопасности).
Еще один опорный пункт Национального киберполигона — в университете «Сириус» — ориентирован на образовательные интенсивные профильные программы, рассказывает первый проректор вуза Лилия Кирьянова. По ее словам, это позволяет развивать таланты и усиливать практическую подготовку студентов профильных кафедр российских вузов. Программы регулярно проходят в «Сириусе» совместно с «РТК-Солар» и другими стратегическими партнерами—ведущими технологическими компаниями страны. Участвовать в отборе на них может каждый студент любого из российских вузов. Зачисление проходит на конкурсной основе, финалистам университет оплачивает перелет до места обучения и обратно, проживание и обучение.
В свою очередь, киберполигон при Поволжском государственном университете телекоммуникаций и информатики — это элемент комплекса виртуальных инфраструктур Национального киберполигона, повторяющих типовые решения предприятий различных отраслей, говорит ректор университета Вадим Ружников. По его словам, он позволяет отработать практические навыки специалистов без рисков, что что-то пойдет не по плану и киберучения нанесут ущерб деятельности реального предприятия. «Киберполигон состоит из различных подключаемых модулей. Атакующие получают единую точку входа, через которую развивают атаку внутрь сети, или же атака может развиваться по заранее спланированному сценарию. Защитники получают доступ к защищаемым машинам и системам»,— указывает он.
На киберполигоне ИТМО решаются задачи, прямо или косвенно касающиеся развития кадрового потенциала специалистов по кибербезопасности. «Например, мы разрабатываем полноценные и масштабные практикоориентированные курсы с использованием технологий Национального киберполигона»,— говорит доцент университета, директор учебно-практического центра «Киберполигон Университета ИТМО» Александр Менщиков. Он отмечает тот факт, что курсы создаются совместно с индустриальными партнерами — в результате они сохраняют актуальность, учитывают специфику задач в индустрии, являются практикоориентированными. «Также мы проводим мастер-классы и образовательные мероприятия для подготовки и обучения студентов навыкам, необходимым для решения задач обеспечения кибербезопасности»,— рассказывает он. Помимо этого проводятся тренировки и разборы сценариев киберучений. Команды университета участвуют во всероссийских соревнованиях и делятся своим опытом здесь, на местах.
Киберучения проходят в условиях, максимально приближенных к реальным, что позволяет будущим выпускникам получить практический опыт защиты от киберугроз, выявления уязвимостей и анализа событий информационной безопасности уже во время учебы, говорят в пресс-службе МТУСИ. Кроме того, в опорных центрах Национального киберполигона, созданных по нацпроекту «Цифровая экономика», проходят мастер-классы для специалистов по кибербезопасности, а также межотраслевые киберучения. Подобные мероприятия помогают сотрудникам профильных служб отрабатывать на практике сценарии выявления киберугроз без риска реального ущерба для предприятий и повышать слаженность действий в случае потенциального киберинцидента, поясняют в вузе.
Киберсражения понарошку
На киберполигоне можно отрабатывать как автоматизированные цепочки атак, так и организовать формат противостояния атакующих и защитников. «Автоматизированные сценарии атак мы разрабатываем на основе действий настоящих злоумышленников и постоянно актуализируем за счет тесного сотрудничества с Центром противодействия кибератакам Solar JSOC»,— говорит Евгений Акимов. По его словам, в их основу ложатся и результаты испытаний собственной исследовательской лаборатории: большинство исследований на киберполигоне касаются компонентов автоматизированных систем управления технологическим процессом. Формат противостояния был реализован на киберучениях в рамках состоявшегося недавно SOC-форума. В течение почти восьми часов участники — специалисты по реагированию на кибератаки крупных компаний, представители госорганов, эксперты ИБ-рынка и студенты — отрабатывали навыки нападения и защиты в режиме реального времени. «Такой комплексный подход позволяет понять и на практике разобраться в различных техниках и тактиках атакующих, что важно для эффективной защиты от киберугроз»,— указывает он.
В разное время в киберучениях на Национальном киберполигоне принимали участие Минэнерго, Банк России, ТМК и Группа «Синара», рассказывает Евгений Акимов. В 2021 году прошло 78 киберучений, с начала 2022 года по настоящее время — порядка 50 практических мероприятий. Одним из наиболее ярких событий текущего года в «РТК-Солар» называют международные киберучения, проведенные на ПМЭФ-2022. В них участвовали представители России, Белоруссии, Казахстана, Азербайджана, Пакистана и Вьетнама.
Согласно легенде учений, хакерская группировка проводила серию скоординированных атак на крупный объект электроэнергетики. К тому времени, как команды приступили к работе, уже произошло несколько значимых инцидентов, повлекших заражение вредоносным программным обеспечением инфраструктуры энергетического объекта. Пока злоумышленники продолжали атаковать, участники киберучений должны были расследовать произошедшие инциденты, зачистить инфраструктуру от вредоносной активности и предотвратить повторное заражение, а также восстановить поврежденные файлы. Для расследования атак команды использовали целый ряд отечественных инструментов кибербезопасности.
Отметим, что помимо проведения кибертренировок в «РТК-Солар» строят киберполигоны «под ключ» для внутрикорпоративного использования и проводят специальные программы для руководителей высшего звена. Так, коммерческие компании, имеющие соответствующую инфраструктуру для тренировки отражения кибератак, могут подключаться к Национальному киберполигону. Первым участником инициативы в прошлом году стал Центр компетенций НТИ «Технологии транспортировки электроэнергии и распределенных интеллектуальных энергосистем» на базе МЭИ (этот киберполигон ориентирован на отработку навыков противодействия кибератакам в энергетической отрасли).