Актуальность темы подтвердили не только выступающие, но и аудитория — десятки специалистов компаний, предприятий и фирм региона, заинтересованных в повышении уровня информационной безопасности и цифровой устойчивости предприятия. Особенно сейчас, когда наблюдается рост компьютерных атак, в том числе и целенаправленных, обнаруживаются множественные утечки данных и уязвимости в системах. Все это заставляет компании менять подходы к обеспечению кибербезопасности, что непросто в условиях дефицита профессиональных кадров и отечественных технологических решений.
Защита КИИ невозможна без импортозамещения
Так, Валерий Кукушкин, начальник отдела импортозамещения и защиты информации Министерства цифрового развития, информационных технологий и связи Ростовской области, рассказал, что в 2022 году в регионе, в соответствии с указом Президента России №250-ФЗ, был создан штаб по обеспечению кибербезопасности, который возглавляет заместитель губернатора Артем Хохлов. В составе штаба — представители правительства региона, компаний-разработчиков и др. специалисты.
«В прошлом году, в ходе работы штаба, было отражено более 900 DdoS-атак, выявлено около 2 тыс. инцидентов информационной безопасности (ИБ) и заблокировано более 250 компьютерных атак», — уточнил спикер.
Он добавил, что для построения в регионе качественной системы защиты пришлось «пойти нетрадиционным путем», применять особые способы реагирования. Один из них — централизованная закупка антивирусных средств.
«Для того, чтобы обеспечивать такими средствами информационные системы всех органов исполнительной власти, правительство Ростовской области заключило соглашение с компанией “Лаборатория Касперского”, в рамках которого и производится централизованная закупка (антивирусов)», — сообщил Валерий Кукушкин.
По его словам, в регионе выстроена система обеспечения безопасности объектов критической информационной инфраструктуры (КИИ). Работа проводится совместно с Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам (ЮФО и СКФО) и касается таких сфер, как здравоохранение, транспорт, энергетика и связь.
«Недавно провели совещания, на которых рассматривались связанные с объектами КИИ вопросы, требующие усиления и выработки конкретных решений», — сказал чиновник.
Он пояснил, что, например, в Ростовской области к объектам КИИ относится система электронного документооборота «Дело», доступ к которой имеют более 20 тыс. пользователей.
«Ядро системы построено на иностранном программном обеспечении. Сейчас как раз проводим мероприятия по импортозамещению этого ПО. В частности, идет переход на отечественную сертифицированную базу данных. Контракт рассчитан на несколько лет. Нам необходимо полностью перейти на отечественное программное обеспечение до 1 января 2025 года, в соответствии с задачей, которую поставил Президент РФ. Мы сделаем это к концу 2024 года», — резюмировал Валерий Кукушкин.
Директор ГБУ РО «Региональный центр информационных систем» (РЦИС) Андрей Кубарев заметил, что если в предыдущий период основные усилия злоумышленников были направлены на финансовый сектор, то сейчас главные удары «кибератакующих» — на объекты КИИ.
«В структуре РЦИС создан центр мониторинга и реагирования на инциденты. Анализ работы с начала 2023 года показал, что количество хакерских атак возросло, — констатировал господин Кубарев. — Такие атаки стали более точными, уровень профессионализма преступных группировок повысился. Во исполнение поручений губернатора Ростовской области РЦИС внедряет новые методы в работе центра мониторинга. В текущем году эта работа будет завершена».
Консультант отдела Управления ФСТЭК России по ЮФО и СКФО Станислав Цыбенко, обозначил, что на объекты критической информационной инфраструктуры регулярно происходят атаки злоумышленников, хакерских группировок. Вопросам защищенности такой инфраструктуры в России уделяется самое пристальное внимание
«В стране разработана нормативная база, касающаяся обеспечения безопасности объектов КИИ, — сказал Станислав Цыбенко. — Это Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», постановления Правительства Российской Федерации, приказы ФСТЭК России, ФСБ России и Минцифры России. В Федеральном законе № 187-ФЗ четко прописано, что субъектами КИИ являются государственные органы и учреждения, юридические лица и предприниматели, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в одной из 13 сфер деятельности. Субъект КИИ, имеющий такие объекты, обязательно должен соблюдать нормы и правила законодательства, провести категорирование и обеспечить безопасное функционирование данных объектов».
Станислав Цыбенко отметил, что согласно Указу Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности в Российской Федерации», в каждом субъекте КИИ персональная ответственность за информационную безопасность возлагается на руководителя. Кроме того, в каждой такой организации должен быть определен заместитель руководителя, ответственный за информационную безопасность, а также соответствующее структурное подразделение. Сейчас хакерские группировки при реализации компьютерных атак на информационную инфраструктуру активно эксплуатируют уязвимости программного обеспечения (ПО). В связи с этим необходимы дополнительные эффективные меры.
«17 мая 2023 года на сайте ФСТЭК России опубликовано Руководство по организации процесса управления уязвимостями в программах, программно-аппаратных средствах информационных систем. В руководстве подробно прописано, как выявлять уязвимости, устранять их и повышать уровень информационной безопасности», — разъяснил представитель Управления ФСТЭК России.
Он напомнил, что за нарушение законодательства в области обеспечения безопасности КИИ предусмотрена административная и уголовная ответственность. Она подразумевает штрафы за непредставление либо предоставление недостоверных сведений об объектах КИИ (за повторное нарушение — санкции ужесточаются), а также наказания за целенаправленное нарушение работы объектов КИИ.
В Южном федеральном округе уже есть практика применения ответственности в отношении нарушителей норм законодательства в сфере обеспечения безопасности КИИ. Работу в критически важных отраслях необходимо выстроить так, чтобы подобные случаи свести к минимуму.
Как заметил Евгений Фроленко, директор по работе с заказчиками Департамента регионального развития бизнеса по информационной безопасности «Ростелеком-Солар», в 2022 году, на фоне СВО, выявлена повышенная активность хакерских группировок, использующих известные уязвимости.
«Массовые атаки начались во втором квартале 2022 года, — уточнил господин Фроленко. — Отмечается увеличение скорости реализации угроз: от обнаружения до выполнения проходит несколько дней. В этих условиях компании активно повышают свою ИБ-защиту и начинают лучше выстраивать процессы реагирования на инциденты».
Эксперты центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» пришли к выводу, что одним из наиболее актуальных направлений стали атаки на web-ресурсы. По итогам 2022 года количество таких кибер-инцидентов увеличилось более чем вдвое.
«Большинство атак были низкоквалифицированными, с использованием известных уязвимостей, — уверен Евгений Фроленко. — Если раньше злоумышленники чаще стремились получить материальную выгоду, то атаки минувшего года, особенно утечки, отличались особой публичностью и были нацелены на деструктивное воздействие (например, безвозвратное шифрование). Каждый взлом инфраструктуры или слив данных становился достоянием общественности».
Против взлома есть приемы
Выход в «Ростелеком-Солар» видят в организации постоянного мониторинга вновь обнаруженных уязвимостей, своевременном обновлении и компенсирующих мерах, позволяющих нивелировать угрозы ИБ. Дополнительно необходимо обеспечить мониторинг информационной безопасности компетентными сотрудниками или передать эти функции в коммерческий центр противодействия кибератакам.
По прогнозам «Ростелеком-Солар», в 2023 году атаки будут усложняться, особенно фишинговые, киберпреступники будут использовать нетипичные методы и техники. Например, при помощи вирусного ПО, написанного под конкретное предприятие, с учетом его специфики и структуры. Также предполагается рост атак хакерских группировок, которые заинтересованы в получении данных пользователей.
«Главное здесь не шифрование или утечка, а закрепление в инфраструктуре с целью получения постоянного доступа. По нашему мнению, в первую очередь под прицелом окажутся государственные органы, СМИ и субъекты критической информационной инфраструктуры, которые в текущих условиях наиболее интересны хакерским группировкам, — рассказал Евгений Фроленко. — Продолжится рост атак через подрядчиков как вектор гарантированного проникновения в инфраструктуру. Атакуя компанию через подрядчиков, злоумышленники с высокой долей вероятности получают доступ к системам предприятия или крупной компании. Подрядчики, особенно представители малого бизнеса, не всегда уделяют должное внимание вопросам информбезопасности. Специалист фирмы может получить вредоносное письмо, открыть его и, сам того не ведая, скомпрометировать информационную систему».
В «Ростелеком-Солар» видят три базовых направления развития защиты информации любой организации. Первое — контроль внутренней инфраструктуры: актуализация всех имеющихся серверов, закрытие неиспользуемых протоколов, установка средств защиты от несанкционированного доступа и антивирусных средств. Дополнительно — выделение критических информационных систем в отдельные подсети, для минимизации доступа к этим системам. Второе направление — защита web-приложений, создание белых списков для API-приложений. Защита веб-приложения средствами защиты (WAF, Anti-DDoS). Это позволит нивелировать риск выхода из строя информационных ресурсов в результате инцидента. Третье направление — инвентаризация периметра на предмет наличия неиспользуемых открытых портов, различных сервисов, терминальных серверов. Необходимо выключить неиспользуемые сервисы и закрыть порты. Данную процедуру важно проводить хотя бы раз в месяц.
«Мы сталкиваемся с тем, что в компаниях очень мало сотрудников, обладающих практическими навыками обеспечения информационной безопасности. Например, мало кто из них может провести аудит ИБ. Возникают проблемы с пониманием структуры сети, в связи с высокой текучкой кадров отсутствуют схемы IP-адресации. В таких случаях целесообразно выбрать сервисную модель обслуживания. Например, мы предлагаем заказчикам такой вариант, при котором берем на себя функции по настройке и сопровождению средств защиты информации и организуем быстрое подключение ко всем необходимым сервисам ИБ. Это снимает нагрузку со штата клиента и экономит его бюджет», — заверил представитель «Ростелеком-Солар».
Заместитель директора ФГАНУ «Спецвузавтоматика» Константин Гуфан заметил, что в ближайшие пять-десять лет можно забыть о безопасности персональной информации. Данные будут широко доступны из-за утечки информации через разные сервисы.
Эксперт отметил, что еще совсем недавно Ростовская область была приграничным регионом и рассматривалась как «точка» для целенаправленных действий кибератакующих. Причем такие атаки могли грозить любому пользователю сотовой связи. Конечно, защиту могли бы обеспечить мобильные операторы или производители телефонов-смартфонов, сидящие где-то в Юго-Восточной Азии, но это не те люди, на которых гражданам стоит рассчитывать как на надежных защитников от киберугроз, уверен Константин Гуфан.
«Ростовская область в целом, Ростов и Таганрог в частности — это айтишные территории, — подчеркнул эксперт. — В этом смысле наш регион мог бы стать центром зарождения компетенций по обеспечению ИБ. Тем более, что все необходимое для этого у нас есть: сильная математическая школа, профильные вузы, научная база, высокотехнологичные предприятия».
Работников образования надо обучать
Константин Гуфан напомнил, что в Ростовской области есть «Фонд развития ИТ-образования», который создан при активном участии профильного бизнеса. Цель — усилить в регионе подготовку необходимых для отрасли кадров, способных, в том числе и работать над обеспечением ИБ, создавать и внедрять необходимые для этого решения.
Евгений Тищенко, декан факультета «Компьютерных технологий и информационной безопасности» РГЭУ (РИНХ), отметил, что практически все вузы Ростовской области готовят сегодня специалистов по информационной безопасности.
«На рынок ежегодно выходит довольно много таких выпускников, разного уровня: специалисты, бакалавры, магистры, — уточнил декан. — Например, мы готовим аспирантов по данной теме. Свои программы есть и у средних учебных заведений. В частности, у Ростовского колледжа связи и информатики. Другой вопрос — качество подготовки таких студентов. С этим есть трудности, которые, на мой взгляд, можно разделить на три вектора. Первый — компетенции преподавателей. Второй вектор — состояние материально-технической базы, на которой происходит обучение. Третий — общая стратегия обучения, понимание того, с какими компетенциями из стен учебного заведения должны выходить выпускники».
При этом, по мнению Евгения Тищенко, самый сложный вопрос — с преподавателями. Дело в том, что хороший специалист в сфере ИБ навряд ли устроится работать в вуз, пояснил эксперт. «Получается так, что основная масса преподавателей не успевает пополнять багаж знаний, не успевает за высокими темпами развития отрасли. Такие преподаватели, не являясь практиками, недостаточно владеют актуальными компетенциями», — подытожил господин Тищенко. Выходом может стать направление педагогов на практику в компании, занимающиеся обеспечением ИБ или разработками технологических решений.
Евгений Тищенко добавил, что с развитием материально-технической базы дела обстоят проще, поскольку есть вендоры, с которыми вуз заключает контракты на поставку ПО, программно-аппаратных комплексов и использует их в учебном процессе.
«Что касается компетенций, которые вузы должны давать выпускникам, то учебные заведения самостоятельно такую задачу эффективно решить не смогут. Необходимо тесное взаимодействие с потребителями этих компетенций (компаниями, в которые выпускники идут работать) и вендорами, которые хорошо разбираются в сфере ИБ, обладают соответствующей экспертизой», — резюмировал представитель РГЭУ (РИНХ).
Алексей Довгаль, руководитель обособленного подразделения, ГК «ИнфоТеКС» в Ростове-на-Дону, заметил, что ведущие поставщики, вендоры стараются тесно взаимодействовать с вузами.
«Есть академия “Инфотекс”, куда принимают на стажировку людей из высших учебных заведений, — привел пример господин Довгаль. — И мы не единственные, кто так работает. Однако проблема вузов зачастую в том, что они неповоротливы. В том, чтобы новый класс создать или лабораторию развернуть. В том, чтобы научиться работать с оборудованием и технологиями. Даже несмотря на достигнутые договоренности о поставках ПО, программно-аппаратных комплексов, технологических решений и техники. То у вузов нет денег, чтобы направить преподавателей, например, в наш учебный центр, то еще какие-то причины в вузах называют. Вендоры приходят в вузы, только вот вузы не всегда приходят к вендорам. Движение должно быть обоюдным. Тогда и толк будет».
Как рассказал заведующий кафедрой БИТ ИКТИБ ЮФУ Евгений Абрамов, они готовят первый выпуск специалистов по компьютерно-технической экспертизе при расследовании компьютерных преступлений, что для гражданского вуза — почти уникальный случай.
«В стране всего несколько учебных заведений готовят таких специалистов, — подчеркнул господин Абрамов. — Кроме того, идет подготовка бакалавров по специализации расследование компьютерных преступлений в финансовой сфере. На каждую из этих специальностей набирается по группе из 30 студентов: на 25 бюджетных мест и пять — контрактных. Всего в этом году на специальности, так или иначе связанные с информационной безопасностью, наш вуз наберет более150 студентов».
Евгений Абрамов добавил, что у образовательного процесса есть заказчик — государство, которое формирует требования, спрашивает с вуза за соблюдение этих требований и в итоге оплачивает работу.
«Мой, не всегда положительный опыт общения с представителями бизнеса, на уровне вице-президентов компаний по ИБ, крупных банков (из топ-3), показывает, что люди, которые несколько минут назад говорили о том, что у них на 50% некомплект кадров по ИБ, вскоре после этого утверждают, что взаимодействие даже в рамках целевого набора это — пять лет, а такой горизонт планирования им недоступен. Мы даже не просим у бизнеса деньги. Мы говорим: “Придите со своими требованиями, и мы с учетом их сформируем целевой набор, чтобы мы понимали, чего вы хотите, и вы это понимали и вкладывались в подготовку необходимых вам кадров”. Часто же к нам приходят и просят: “Дайте хороших выпускников вот прямо завтра”. Но, как правило, хорошие студенты (к моменту выпуска) уже несколько лет работают в ведущих компаниях, таких как, “Яндекс”, “Бизон”, “Ангара”, “Ростелеком-Солар”, “Позитив Технолоджис” (Positive Technologies) и др. Список — большой. И у этих выпускников все хорошо с трудоустройством», — сказал господин Абрамов.
По его мнению, будущее — за конструктивным взаимоотношением вуза с коммерческим заказчиком, в совместной разработке курсов для подготовки конкретных востребованных рынком специалистов.
«Например, с крупным системным интегратором ведутся переговоры об открытии специализации “product owner в сфере ПО по информационной безопасности” под требования этого интегратора. Не просто подготовка выпускников понимающих, как составить ТЗ и грамотно довести до разработчика и далее — до возможного потребителя, чтобы продать, а умеющего нормально вести диалог, разбираться в технологиях ИБ, уметь быстро и грамотно отвечать на вопросы и принимать решения на своем уровне, — пояснил завкафедрой. — А для этого необходимо выстраивать корпоративное взаимодействие с вузом. А преподавателям в сфере инфобезопасности необходимо одновременно быть и программистами, и аналитиками, и специалистами по обеспечению ИБ. Это позволит как следует обучить студента и понять в итоге сколько такой специалист будет стоить на рынке и сколько ему может предложить государство, как заказчик. Извлечение части работы из корпоративного университета компании и перенос в государственный корпоративный университет поможет эффективно решать задачу подготовки кадров для ИБ».
Евгений Абрамов добавил, что крайне важно и усиление практической подготовки преподавателей, поскольку все отмечают и увеличение числа кибератак, и их усложнение. Это приводит и к усложнению средств и технологий защиты. Все это важно знать, понимать и уметь с этим работать.
«Если мы будем учить студентов сегодня только на том, что когда-то сумели выучить и понять самостоятельно, то такая подготовка будет недостаточной по объему знаний и глубине проработки темы. Сегодня нужны специалисты, способные быстро и эффективно реагировать на основные сценарии атак и инциденты в своей области. И второй важный момент — создание межвузовских либо крупных вузовских программно-технических стендов, где преподаватели могли бы повышать свою квалификацию, разрабатывая сценарии атак и реагирования на них, и обучать этому студентов или представителей ИБ от бизнеса», — резюмировал господин Абрамов.
Кибергигиена как потребность и необходимость
По словам старшего советника председателя правления Банка «Центрокредит» Алексея Гусева, в их сфере есть большой потенциал качественно, эффективно заботиться не только о собственной кибербезопасности, но и об информационной безопасности корпоративных клиентов.
«Квалифицированные сотрудники банков умеют вести нормальный диалог с клиентами, — отметил господин Гусев. — Мало того, банковский специалист по ИБ может доходчиво объяснить корпоративному клиенту банка “что к чему”, поделиться собственным опытом отражения кибератак, защиты объектов КИИ и т. д. Строгая отчетность перед регулятором заставила банкиров еще много лет назад серьезно заняться кибербезопасностью, защитой данных, мерами по предотвращению атак, взломов, любых вариантов несанкционированного доступа и постоянно совершенствовать такую работу. Уже к 2019 году в банках понимали важность кибергигиены, но далеко не все их корпоративные клиенты даже просто задумывались об этом. Поэтому (перед банкирами) стояла задача убедить топ-менеджеров компаний, которые в банках обслуживаются, в необходимости кибергигиены, на собственных примерах показать, как при помощи каких программ и оборудования можно эту задачу решать. Так, чтобы и простейшая фишинговая атака, и более серьезные инциденты не привели к обрушению бизнеса клиента. И когда банк убеждает клиента и помогает ему заниматься кибергигиеной, то нормальный клиент, бизнесмен понимает важность всего этого».
Алексей Гусев заметил, что в прошлом году и в первой половине текущего года хакеры предпринимали массовые атаки на компании малого и среднего бизнеса, которые, по мнению злоумышленников, слабее защищены, чем предприятия крупного бизнеса.
«При этом правильно составленное письмо, содержащее вирус, вредоносную программу, откроет даже сотрудник, подкованный в вопросах кибербезопасности, потому что отправитель при составлении письма учитывал специфику бизнеса и знал, какие слова написать, на какие “точки” нажимать, — пояснил банкир. — Для того чтобы такие письма не попадали на электронную почту сотрудника компании, надо ставить более мощную защиту, покупать соответствующее оборудование, ПО, подключать профессионалов по ИБ, например, компаний-вендеров, усиливать кадрами собственные службы компьютерной безопасности».
По мнению господина Гусева, наличие у вендеров собственных «университетов», обучающих центров совершенно оправдано, поскольку поставщики, например, «Лаборатория Касаперского», «Ростелеком» знают и понимают, как готовить для себя кадры. Тогда как далеко не во всех государственных вузах знают и понимают, какие именно специалисты нужны сегодня рынку и как повышать в компаниях квалификацию штатных специалистов по ИБ.
«Обязательно в такой ситуации необходим конструктивный диалог стейкхолдеров: кому именно и как надо заниматься вопросами повышения информационной безопасности, на что именно обращать внимание, как воспитывать кадры и т. д. Это должно касаться не только крупного и среднего бизнеса, но и малого, с которым крупные и средние компании вступают в кооперационные связи, у которых обслуживаются. Если все сегменты бизнеса будут серьезно подходить к вопросам ИБ, то это повысит в стране и общий уровень кибербезопасности. Мы же со своей стороны, поможем чем сможем», — резюмировал Алексей Гусев.
Валерий Кукушкин сообщил, что с учетом возникших вызовов, в 2022 году были проведены занятия со всеми пользователями-специалистами органов исполнительной власти Ростовской области. Были, в том числе учения по кибергигиене. Их проводило Минцифры со своими подведомственными учреждениями.
«Во время таких занятий нужно было пройти специальный тест, связанный с работой сети интернет», — уточнил представитель министерства.
Константин Гуфан подчеркнл, что информационная безопасность — это то, что необходимо как гигиена, это компетенция, которая должна быть у всех. В этом смысле, по мнению эксперта, есть два принципиальных подхода.
«Первый — это развитие инфобезопасности как общей компетенции для всех. То есть мы все становимся экспертами в вопросах ИБ, — пояснил господин Гуфан. — И мы готовы к любым атакам. Особенно те из нас, которые находятся на ключевых, с точки зрения уязвимостей, позициях. Это — хорошая история, но она плохо масштабируется. Потому что всех обучить сложно, из-за того, что все разного возраста, с разной ментальностью, уровнем подготовки и т. д. Второй подход — делегирование, внедрение технологий обеспечения информационной безопасности. Например, спам-звонок до вас не доходит: с ним разбираются специальные устройства. И такой подход более понятный и эффективный».
Защита КИИ невозможна без импортозамещения
Так, Валерий Кукушкин, начальник отдела импортозамещения и защиты информации Министерства цифрового развития, информационных технологий и связи Ростовской области, рассказал, что в 2022 году в регионе, в соответствии с указом Президента России №250-ФЗ, был создан штаб по обеспечению кибербезопасности, который возглавляет заместитель губернатора Артем Хохлов. В составе штаба — представители правительства региона, компаний-разработчиков и др. специалисты.
«В прошлом году, в ходе работы штаба, было отражено более 900 DdoS-атак, выявлено около 2 тыс. инцидентов информационной безопасности (ИБ) и заблокировано более 250 компьютерных атак», — уточнил спикер.
Он добавил, что для построения в регионе качественной системы защиты пришлось «пойти нетрадиционным путем», применять особые способы реагирования. Один из них — централизованная закупка антивирусных средств.
«Для того, чтобы обеспечивать такими средствами информационные системы всех органов исполнительной власти, правительство Ростовской области заключило соглашение с компанией “Лаборатория Касперского”, в рамках которого и производится централизованная закупка (антивирусов)», — сообщил Валерий Кукушкин.
По его словам, в регионе выстроена система обеспечения безопасности объектов критической информационной инфраструктуры (КИИ). Работа проводится совместно с Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам (ЮФО и СКФО) и касается таких сфер, как здравоохранение, транспорт, энергетика и связь.
«Недавно провели совещания, на которых рассматривались связанные с объектами КИИ вопросы, требующие усиления и выработки конкретных решений», — сказал чиновник.
Он пояснил, что, например, в Ростовской области к объектам КИИ относится система электронного документооборота «Дело», доступ к которой имеют более 20 тыс. пользователей.
«Ядро системы построено на иностранном программном обеспечении. Сейчас как раз проводим мероприятия по импортозамещению этого ПО. В частности, идет переход на отечественную сертифицированную базу данных. Контракт рассчитан на несколько лет. Нам необходимо полностью перейти на отечественное программное обеспечение до 1 января 2025 года, в соответствии с задачей, которую поставил Президент РФ. Мы сделаем это к концу 2024 года», — резюмировал Валерий Кукушкин.
Директор ГБУ РО «Региональный центр информационных систем» (РЦИС) Андрей Кубарев заметил, что если в предыдущий период основные усилия злоумышленников были направлены на финансовый сектор, то сейчас главные удары «кибератакующих» — на объекты КИИ.
«В структуре РЦИС создан центр мониторинга и реагирования на инциденты. Анализ работы с начала 2023 года показал, что количество хакерских атак возросло, — констатировал господин Кубарев. — Такие атаки стали более точными, уровень профессионализма преступных группировок повысился. Во исполнение поручений губернатора Ростовской области РЦИС внедряет новые методы в работе центра мониторинга. В текущем году эта работа будет завершена».
Консультант отдела Управления ФСТЭК России по ЮФО и СКФО Станислав Цыбенко, обозначил, что на объекты критической информационной инфраструктуры регулярно происходят атаки злоумышленников, хакерских группировок. Вопросам защищенности такой инфраструктуры в России уделяется самое пристальное внимание
«В стране разработана нормативная база, касающаяся обеспечения безопасности объектов КИИ, — сказал Станислав Цыбенко. — Это Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», постановления Правительства Российской Федерации, приказы ФСТЭК России, ФСБ России и Минцифры России. В Федеральном законе № 187-ФЗ четко прописано, что субъектами КИИ являются государственные органы и учреждения, юридические лица и предприниматели, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в одной из 13 сфер деятельности. Субъект КИИ, имеющий такие объекты, обязательно должен соблюдать нормы и правила законодательства, провести категорирование и обеспечить безопасное функционирование данных объектов».
Станислав Цыбенко отметил, что согласно Указу Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности в Российской Федерации», в каждом субъекте КИИ персональная ответственность за информационную безопасность возлагается на руководителя. Кроме того, в каждой такой организации должен быть определен заместитель руководителя, ответственный за информационную безопасность, а также соответствующее структурное подразделение. Сейчас хакерские группировки при реализации компьютерных атак на информационную инфраструктуру активно эксплуатируют уязвимости программного обеспечения (ПО). В связи с этим необходимы дополнительные эффективные меры.
«17 мая 2023 года на сайте ФСТЭК России опубликовано Руководство по организации процесса управления уязвимостями в программах, программно-аппаратных средствах информационных систем. В руководстве подробно прописано, как выявлять уязвимости, устранять их и повышать уровень информационной безопасности», — разъяснил представитель Управления ФСТЭК России.
Он напомнил, что за нарушение законодательства в области обеспечения безопасности КИИ предусмотрена административная и уголовная ответственность. Она подразумевает штрафы за непредставление либо предоставление недостоверных сведений об объектах КИИ (за повторное нарушение — санкции ужесточаются), а также наказания за целенаправленное нарушение работы объектов КИИ.
В Южном федеральном округе уже есть практика применения ответственности в отношении нарушителей норм законодательства в сфере обеспечения безопасности КИИ. Работу в критически важных отраслях необходимо выстроить так, чтобы подобные случаи свести к минимуму.
Как заметил Евгений Фроленко, директор по работе с заказчиками Департамента регионального развития бизнеса по информационной безопасности «Ростелеком-Солар», в 2022 году, на фоне СВО, выявлена повышенная активность хакерских группировок, использующих известные уязвимости.
«Массовые атаки начались во втором квартале 2022 года, — уточнил господин Фроленко. — Отмечается увеличение скорости реализации угроз: от обнаружения до выполнения проходит несколько дней. В этих условиях компании активно повышают свою ИБ-защиту и начинают лучше выстраивать процессы реагирования на инциденты».
Эксперты центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» пришли к выводу, что одним из наиболее актуальных направлений стали атаки на web-ресурсы. По итогам 2022 года количество таких кибер-инцидентов увеличилось более чем вдвое.
«Большинство атак были низкоквалифицированными, с использованием известных уязвимостей, — уверен Евгений Фроленко. — Если раньше злоумышленники чаще стремились получить материальную выгоду, то атаки минувшего года, особенно утечки, отличались особой публичностью и были нацелены на деструктивное воздействие (например, безвозвратное шифрование). Каждый взлом инфраструктуры или слив данных становился достоянием общественности».
Против взлома есть приемы
Выход в «Ростелеком-Солар» видят в организации постоянного мониторинга вновь обнаруженных уязвимостей, своевременном обновлении и компенсирующих мерах, позволяющих нивелировать угрозы ИБ. Дополнительно необходимо обеспечить мониторинг информационной безопасности компетентными сотрудниками или передать эти функции в коммерческий центр противодействия кибератакам.
По прогнозам «Ростелеком-Солар», в 2023 году атаки будут усложняться, особенно фишинговые, киберпреступники будут использовать нетипичные методы и техники. Например, при помощи вирусного ПО, написанного под конкретное предприятие, с учетом его специфики и структуры. Также предполагается рост атак хакерских группировок, которые заинтересованы в получении данных пользователей.
«Главное здесь не шифрование или утечка, а закрепление в инфраструктуре с целью получения постоянного доступа. По нашему мнению, в первую очередь под прицелом окажутся государственные органы, СМИ и субъекты критической информационной инфраструктуры, которые в текущих условиях наиболее интересны хакерским группировкам, — рассказал Евгений Фроленко. — Продолжится рост атак через подрядчиков как вектор гарантированного проникновения в инфраструктуру. Атакуя компанию через подрядчиков, злоумышленники с высокой долей вероятности получают доступ к системам предприятия или крупной компании. Подрядчики, особенно представители малого бизнеса, не всегда уделяют должное внимание вопросам информбезопасности. Специалист фирмы может получить вредоносное письмо, открыть его и, сам того не ведая, скомпрометировать информационную систему».
В «Ростелеком-Солар» видят три базовых направления развития защиты информации любой организации. Первое — контроль внутренней инфраструктуры: актуализация всех имеющихся серверов, закрытие неиспользуемых протоколов, установка средств защиты от несанкционированного доступа и антивирусных средств. Дополнительно — выделение критических информационных систем в отдельные подсети, для минимизации доступа к этим системам. Второе направление — защита web-приложений, создание белых списков для API-приложений. Защита веб-приложения средствами защиты (WAF, Anti-DDoS). Это позволит нивелировать риск выхода из строя информационных ресурсов в результате инцидента. Третье направление — инвентаризация периметра на предмет наличия неиспользуемых открытых портов, различных сервисов, терминальных серверов. Необходимо выключить неиспользуемые сервисы и закрыть порты. Данную процедуру важно проводить хотя бы раз в месяц.
«Мы сталкиваемся с тем, что в компаниях очень мало сотрудников, обладающих практическими навыками обеспечения информационной безопасности. Например, мало кто из них может провести аудит ИБ. Возникают проблемы с пониманием структуры сети, в связи с высокой текучкой кадров отсутствуют схемы IP-адресации. В таких случаях целесообразно выбрать сервисную модель обслуживания. Например, мы предлагаем заказчикам такой вариант, при котором берем на себя функции по настройке и сопровождению средств защиты информации и организуем быстрое подключение ко всем необходимым сервисам ИБ. Это снимает нагрузку со штата клиента и экономит его бюджет», — заверил представитель «Ростелеком-Солар».
Заместитель директора ФГАНУ «Спецвузавтоматика» Константин Гуфан заметил, что в ближайшие пять-десять лет можно забыть о безопасности персональной информации. Данные будут широко доступны из-за утечки информации через разные сервисы.
Эксперт отметил, что еще совсем недавно Ростовская область была приграничным регионом и рассматривалась как «точка» для целенаправленных действий кибератакующих. Причем такие атаки могли грозить любому пользователю сотовой связи. Конечно, защиту могли бы обеспечить мобильные операторы или производители телефонов-смартфонов, сидящие где-то в Юго-Восточной Азии, но это не те люди, на которых гражданам стоит рассчитывать как на надежных защитников от киберугроз, уверен Константин Гуфан.
«Ростовская область в целом, Ростов и Таганрог в частности — это айтишные территории, — подчеркнул эксперт. — В этом смысле наш регион мог бы стать центром зарождения компетенций по обеспечению ИБ. Тем более, что все необходимое для этого у нас есть: сильная математическая школа, профильные вузы, научная база, высокотехнологичные предприятия».
Работников образования надо обучать
Константин Гуфан напомнил, что в Ростовской области есть «Фонд развития ИТ-образования», который создан при активном участии профильного бизнеса. Цель — усилить в регионе подготовку необходимых для отрасли кадров, способных, в том числе и работать над обеспечением ИБ, создавать и внедрять необходимые для этого решения.
Евгений Тищенко, декан факультета «Компьютерных технологий и информационной безопасности» РГЭУ (РИНХ), отметил, что практически все вузы Ростовской области готовят сегодня специалистов по информационной безопасности.
«На рынок ежегодно выходит довольно много таких выпускников, разного уровня: специалисты, бакалавры, магистры, — уточнил декан. — Например, мы готовим аспирантов по данной теме. Свои программы есть и у средних учебных заведений. В частности, у Ростовского колледжа связи и информатики. Другой вопрос — качество подготовки таких студентов. С этим есть трудности, которые, на мой взгляд, можно разделить на три вектора. Первый — компетенции преподавателей. Второй вектор — состояние материально-технической базы, на которой происходит обучение. Третий — общая стратегия обучения, понимание того, с какими компетенциями из стен учебного заведения должны выходить выпускники».
При этом, по мнению Евгения Тищенко, самый сложный вопрос — с преподавателями. Дело в том, что хороший специалист в сфере ИБ навряд ли устроится работать в вуз, пояснил эксперт. «Получается так, что основная масса преподавателей не успевает пополнять багаж знаний, не успевает за высокими темпами развития отрасли. Такие преподаватели, не являясь практиками, недостаточно владеют актуальными компетенциями», — подытожил господин Тищенко. Выходом может стать направление педагогов на практику в компании, занимающиеся обеспечением ИБ или разработками технологических решений.
Евгений Тищенко добавил, что с развитием материально-технической базы дела обстоят проще, поскольку есть вендоры, с которыми вуз заключает контракты на поставку ПО, программно-аппаратных комплексов и использует их в учебном процессе.
«Что касается компетенций, которые вузы должны давать выпускникам, то учебные заведения самостоятельно такую задачу эффективно решить не смогут. Необходимо тесное взаимодействие с потребителями этих компетенций (компаниями, в которые выпускники идут работать) и вендорами, которые хорошо разбираются в сфере ИБ, обладают соответствующей экспертизой», — резюмировал представитель РГЭУ (РИНХ).
Алексей Довгаль, руководитель обособленного подразделения, ГК «ИнфоТеКС» в Ростове-на-Дону, заметил, что ведущие поставщики, вендоры стараются тесно взаимодействовать с вузами.
«Есть академия “Инфотекс”, куда принимают на стажировку людей из высших учебных заведений, — привел пример господин Довгаль. — И мы не единственные, кто так работает. Однако проблема вузов зачастую в том, что они неповоротливы. В том, чтобы новый класс создать или лабораторию развернуть. В том, чтобы научиться работать с оборудованием и технологиями. Даже несмотря на достигнутые договоренности о поставках ПО, программно-аппаратных комплексов, технологических решений и техники. То у вузов нет денег, чтобы направить преподавателей, например, в наш учебный центр, то еще какие-то причины в вузах называют. Вендоры приходят в вузы, только вот вузы не всегда приходят к вендорам. Движение должно быть обоюдным. Тогда и толк будет».
Как рассказал заведующий кафедрой БИТ ИКТИБ ЮФУ Евгений Абрамов, они готовят первый выпуск специалистов по компьютерно-технической экспертизе при расследовании компьютерных преступлений, что для гражданского вуза — почти уникальный случай.
«В стране всего несколько учебных заведений готовят таких специалистов, — подчеркнул господин Абрамов. — Кроме того, идет подготовка бакалавров по специализации расследование компьютерных преступлений в финансовой сфере. На каждую из этих специальностей набирается по группе из 30 студентов: на 25 бюджетных мест и пять — контрактных. Всего в этом году на специальности, так или иначе связанные с информационной безопасностью, наш вуз наберет более150 студентов».
Евгений Абрамов добавил, что у образовательного процесса есть заказчик — государство, которое формирует требования, спрашивает с вуза за соблюдение этих требований и в итоге оплачивает работу.
«Мой, не всегда положительный опыт общения с представителями бизнеса, на уровне вице-президентов компаний по ИБ, крупных банков (из топ-3), показывает, что люди, которые несколько минут назад говорили о том, что у них на 50% некомплект кадров по ИБ, вскоре после этого утверждают, что взаимодействие даже в рамках целевого набора это — пять лет, а такой горизонт планирования им недоступен. Мы даже не просим у бизнеса деньги. Мы говорим: “Придите со своими требованиями, и мы с учетом их сформируем целевой набор, чтобы мы понимали, чего вы хотите, и вы это понимали и вкладывались в подготовку необходимых вам кадров”. Часто же к нам приходят и просят: “Дайте хороших выпускников вот прямо завтра”. Но, как правило, хорошие студенты (к моменту выпуска) уже несколько лет работают в ведущих компаниях, таких как, “Яндекс”, “Бизон”, “Ангара”, “Ростелеком-Солар”, “Позитив Технолоджис” (Positive Technologies) и др. Список — большой. И у этих выпускников все хорошо с трудоустройством», — сказал господин Абрамов.
По его мнению, будущее — за конструктивным взаимоотношением вуза с коммерческим заказчиком, в совместной разработке курсов для подготовки конкретных востребованных рынком специалистов.
«Например, с крупным системным интегратором ведутся переговоры об открытии специализации “product owner в сфере ПО по информационной безопасности” под требования этого интегратора. Не просто подготовка выпускников понимающих, как составить ТЗ и грамотно довести до разработчика и далее — до возможного потребителя, чтобы продать, а умеющего нормально вести диалог, разбираться в технологиях ИБ, уметь быстро и грамотно отвечать на вопросы и принимать решения на своем уровне, — пояснил завкафедрой. — А для этого необходимо выстраивать корпоративное взаимодействие с вузом. А преподавателям в сфере инфобезопасности необходимо одновременно быть и программистами, и аналитиками, и специалистами по обеспечению ИБ. Это позволит как следует обучить студента и понять в итоге сколько такой специалист будет стоить на рынке и сколько ему может предложить государство, как заказчик. Извлечение части работы из корпоративного университета компании и перенос в государственный корпоративный университет поможет эффективно решать задачу подготовки кадров для ИБ».
Евгений Абрамов добавил, что крайне важно и усиление практической подготовки преподавателей, поскольку все отмечают и увеличение числа кибератак, и их усложнение. Это приводит и к усложнению средств и технологий защиты. Все это важно знать, понимать и уметь с этим работать.
«Если мы будем учить студентов сегодня только на том, что когда-то сумели выучить и понять самостоятельно, то такая подготовка будет недостаточной по объему знаний и глубине проработки темы. Сегодня нужны специалисты, способные быстро и эффективно реагировать на основные сценарии атак и инциденты в своей области. И второй важный момент — создание межвузовских либо крупных вузовских программно-технических стендов, где преподаватели могли бы повышать свою квалификацию, разрабатывая сценарии атак и реагирования на них, и обучать этому студентов или представителей ИБ от бизнеса», — резюмировал господин Абрамов.
Кибергигиена как потребность и необходимость
По словам старшего советника председателя правления Банка «Центрокредит» Алексея Гусева, в их сфере есть большой потенциал качественно, эффективно заботиться не только о собственной кибербезопасности, но и об информационной безопасности корпоративных клиентов.
«Квалифицированные сотрудники банков умеют вести нормальный диалог с клиентами, — отметил господин Гусев. — Мало того, банковский специалист по ИБ может доходчиво объяснить корпоративному клиенту банка “что к чему”, поделиться собственным опытом отражения кибератак, защиты объектов КИИ и т. д. Строгая отчетность перед регулятором заставила банкиров еще много лет назад серьезно заняться кибербезопасностью, защитой данных, мерами по предотвращению атак, взломов, любых вариантов несанкционированного доступа и постоянно совершенствовать такую работу. Уже к 2019 году в банках понимали важность кибергигиены, но далеко не все их корпоративные клиенты даже просто задумывались об этом. Поэтому (перед банкирами) стояла задача убедить топ-менеджеров компаний, которые в банках обслуживаются, в необходимости кибергигиены, на собственных примерах показать, как при помощи каких программ и оборудования можно эту задачу решать. Так, чтобы и простейшая фишинговая атака, и более серьезные инциденты не привели к обрушению бизнеса клиента. И когда банк убеждает клиента и помогает ему заниматься кибергигиеной, то нормальный клиент, бизнесмен понимает важность всего этого».
Алексей Гусев заметил, что в прошлом году и в первой половине текущего года хакеры предпринимали массовые атаки на компании малого и среднего бизнеса, которые, по мнению злоумышленников, слабее защищены, чем предприятия крупного бизнеса.
«При этом правильно составленное письмо, содержащее вирус, вредоносную программу, откроет даже сотрудник, подкованный в вопросах кибербезопасности, потому что отправитель при составлении письма учитывал специфику бизнеса и знал, какие слова написать, на какие “точки” нажимать, — пояснил банкир. — Для того чтобы такие письма не попадали на электронную почту сотрудника компании, надо ставить более мощную защиту, покупать соответствующее оборудование, ПО, подключать профессионалов по ИБ, например, компаний-вендеров, усиливать кадрами собственные службы компьютерной безопасности».
По мнению господина Гусева, наличие у вендеров собственных «университетов», обучающих центров совершенно оправдано, поскольку поставщики, например, «Лаборатория Касаперского», «Ростелеком» знают и понимают, как готовить для себя кадры. Тогда как далеко не во всех государственных вузах знают и понимают, какие именно специалисты нужны сегодня рынку и как повышать в компаниях квалификацию штатных специалистов по ИБ.
«Обязательно в такой ситуации необходим конструктивный диалог стейкхолдеров: кому именно и как надо заниматься вопросами повышения информационной безопасности, на что именно обращать внимание, как воспитывать кадры и т. д. Это должно касаться не только крупного и среднего бизнеса, но и малого, с которым крупные и средние компании вступают в кооперационные связи, у которых обслуживаются. Если все сегменты бизнеса будут серьезно подходить к вопросам ИБ, то это повысит в стране и общий уровень кибербезопасности. Мы же со своей стороны, поможем чем сможем», — резюмировал Алексей Гусев.
Валерий Кукушкин сообщил, что с учетом возникших вызовов, в 2022 году были проведены занятия со всеми пользователями-специалистами органов исполнительной власти Ростовской области. Были, в том числе учения по кибергигиене. Их проводило Минцифры со своими подведомственными учреждениями.
«Во время таких занятий нужно было пройти специальный тест, связанный с работой сети интернет», — уточнил представитель министерства.
Константин Гуфан подчеркнл, что информационная безопасность — это то, что необходимо как гигиена, это компетенция, которая должна быть у всех. В этом смысле, по мнению эксперта, есть два принципиальных подхода.
«Первый — это развитие инфобезопасности как общей компетенции для всех. То есть мы все становимся экспертами в вопросах ИБ, — пояснил господин Гуфан. — И мы готовы к любым атакам. Особенно те из нас, которые находятся на ключевых, с точки зрения уязвимостей, позициях. Это — хорошая история, но она плохо масштабируется. Потому что всех обучить сложно, из-за того, что все разного возраста, с разной ментальностью, уровнем подготовки и т. д. Второй подход — делегирование, внедрение технологий обеспечения информационной безопасности. Например, спам-звонок до вас не доходит: с ним разбираются специальные устройства. И такой подход более понятный и эффективный».