Участие представителей регуляторов в пленарной сессии BIS Summit является традиционным событием мероприятия. В этом году, в условиях санкционных рисков, наплыва киберугроз и постоянной неопределенности роль регуляторов важна как никогда. Государственные организации и бизнес ожидают от них активных действий и рекомендаций – как обеспечить безопасность текущих процессов и в каком направлении развивать стратегию ИБ. Модератором первой части сессии «Новая старая модель угроз и предстоящие изменения» стала Наталья Касперская, президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт».
Виталий Лютиков, заместитель директора ФСТЭК России
Заместитель директора ФСТЭК России Виталий Лютиков уверен в том, что единственным решением для владельцев импортных средств защиты информации (СЗИ) является поэтапная замена этих продуктов на отечественные. Сегодня все сертификаты на зарубежные СЗИ, за редким исключением, аннулированы, а их поддержка вендорами на территории РФ прекращена. Формально требованиям к безопасности, установленным ФСТЭК, они не соответствуют. К тому же запрет на использование ИТ-решений «недружественных государств», в том числе СЗИ, в органах государственной власти с 2025 года прописан в двух недавних Указах Президента РФ: от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ» и от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ».
Главная проблема импортных СЗИ – не в появлении в них новых уязвимостей как таковых, а в том, что по многим классам софта пользователи не имеют возможности проводить обновление ПО, а значит – закрывать эти уязвимости. В то же время, если ИТ-инфраструктура организации основана на зарубежном решении, то быстро импортозаместить ее невозможно. Поэтому ФСТЭК проводит ряд мероприятий и разрабатывает методические рекомендации о том, как минимизировать риски использования таких СЗИ. Например, в ближайшее время будет выпущена методика оценки критичности уязвимости, подготовлен проект методики по тестированию обновлений.
«Модели угроз, разработанные ФСТЭК ранее, в целом себя оправдали. За исключением одного нюанса: мы привыкли, что модель угроз строится оператором или владельцем системы, проходит определенные согласования, и в результате принимаются какие-то меры. Такие угрозы, как недокументированные возможности (НДВ, проще говоря – закладки – прим. ред.), в том числе проявляющиеся в результате обновления ПО, – мы тоже учитывали, но многие операторы считали эти угрозы неактуальными, нереализуемыми. Теперь все поняли, что угроза может происходить и от недружественного государства, и от зарубежного вендора. Многие СЗИ потеряли функциональность. Вероятно, ФСТЭК надо было эти риски более взвешенно просчитывать, больше настаивать на включении таких угроз в перечень актуальных, а операторам – прорабатывать вопросы их нейтрализации. Сегодня НДВ – это ключевая проблема с точки зрения общей модели угроз», – рассказал Виталий Лютиков.
Владимир Бенгин, директор Департамента обеспечения кибербезопасности Минцифры России
Директор Департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин согласен с тем, что долгое время организации, использующие импортные программные продукты, уделяли недостаточно внимания их безопасности. По его словам, Минцифры много лет предупреждало об огромных рисках использования конкретных зарубежных софтверных продуктов, в том числе вело диалог с российскими интеграторами и заказчиками этих решений. Но риски были неправильно оценены. И даже когда большинство иностранных ИБ-производителей покинуло российский рынок, во многих организациях планировали продолжать пользоваться прежним софтом, поддерживая его работоспособность с помощью параллельного импорта или другими средствами: ведь на нем построена вся инфраструктура.
После выхода Указов 166 и 250 импортозамещение в госсекторе стало неизбежным. В Минцифры уверены, что на рынке СЗИ практически по каждому классу решений существуют качественные отечественные аналоги. Проблемы могут возникнуть, пожалуй, только с продуктами класса Next Generation Firewall (NGFW), но несколько российских вендоров уже подтвердили планы по их созданию.
«С марта 2022 года наша работа радикально поменялась. До этого мы больше занимались регуляторикой, поручениями и контролем их исполнения, вопросами нивелирования потенциальных рисков. Теперь всё изменилось. Одно дело – банки, уровень цифровой зрелости которых очень высок. Но все оставшиеся организации, включая РОИВ, нуждались в оперативной помощи. Большое количество атак обрушилось на тех, кто к ним даже был не готов: не предполагалось, что какой-то небольшой ресурс в РОИВ будет интересен злоумышленникам. Каждый день появлялись новые угрозы: то изменения в Open Source, то взлом веб-порталов. Мы собирали списки небезопасных зарубежных библиотек, модулей, отправляли их пользователям. То есть мы перешли от регуляторики и контрольно-надзорной деятельности к помощи и координации. Было создано 85 региональных штабов и 73 киберштаба для ФОИВ, вся работа была консолидирована, направлена на сбор информации по инцидентам, реагирование, управление в критических ситуациях», – доложил Владимир Бенгин.
Илья Массух, генеральный директор Центра компетенций по импортозамещению в сфере ИКТ
По мнению генерального директора Центра компетенций по импортозамещению в сфере ИКТ (ЦКИТ) Ильи Массуха, понимание рынка о необходимости перехода на российские решения окончательно произошло только к середине 2021 года. Уже тогда зарубежные ИТ-продукты стали активно использоваться для деструктивного воздействия на инфраструктуру российских компаний не только сторонними злоумышленниками, но и самими вендорами. Угроза недекларируемых возможностей, заложенных в исходном коде, – главный драйвер перехода на российские решения, как программные, так и аппаратные. Российские производители в этом отношении гораздо надежнее, поскольку находятся в досягаемости регуляторов и заказчиков, могут быстрее адаптировать решения под конкретные нужды.
В области промышленного ПО – на высшем уровне происходит тотальный пересмотр ИТ-решений по всем секторам экономики. Минцифры и Минпромторг создали 33 индустриальных центра компетенций по каждой из индустрий. В области ИБ также намечен ряд разработок.
«ИТ в России стали неотъемлемым средством производства, управления отраслями, государством. Выключив их, можно сильно отбросить страну с точки зрения конкурентоспособности. Надо понимать, что в информационном мире идет война. И чтобы обеспечить устойчивость нашей экономики, единственным способом является создание и внедрение собственных решений. Главная задача – не бросаться всем в одном и том же направлении. Каждое ведомство, каждая отрасль должна выбрать наиболее уязвимые процессы, которые необходимо в первую очередь обеспечить отечественными технологиями», – предложил Илья Массух.
Михаил Корягин, заместитель руководителя проектного офиса по реализации национальной программы «Цифровая экономика»
Заместитель руководителя проектного офиса по реализации национальной программы «Цифровая экономика» Михаил Корягин в очередной раз отметил безусловный общий тренд на импортозамещение в области кибербезопасности. Он напомнил о деятельности инновационной площадки Гостех, которая позволит обеспечить требования по ИБ на высочайшем уровне, а также о тенденции к размещению государственных информационных систем на централизованных государственных площадках.
«Задолго до февраля 2022 года руководством страны был принят ряд важных решений по созданию замещающей инфраструктуры в РФ. Сейчас данные мероприятия позволили обеспечить устойчивость наших сетей связи общего пользования, повысить защищенность. Мы видим реакцию всех участников на требования Президента и Правительства: в том числе это напрямую отражается на мероприятиях, которые они планируют», – заметил он.
Участники дискуссии отметили высокий уровень квалификации специалистов SOC (центров мониторинга и противодействия киберугрозам), которые в момент пиковой активности злоумышленников помогли обеспечить защиту и стабильную деятельность организаций. К сожалению, таких специалистов не хватает, поэтому в компаниях нужно развивать собственные компетенции ИБ.
Кроме того, участники диалога сошлись во мнении о том, что механизм реагирования на киберугрозы, запущенный под руководством таких ведомств, как НКЦКИ и ФСТЭК, организаций кредитно-финансовой сферы, работал достаточно эффективно. Организация штабов и быстрое принятие решений позволили скоординировать усилия разных отраслей и разных специалистов.
Наталья Касперская, президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт»
«По импортозамещению – отступать нам некуда. Сегодня мы от «деиндустриализации» в области ИКТ переходим к «индустриализации». С точки зрения угроз – модель угроз ФСТЭК в целом выстояла, за исключением надежды на иностранных вендоров. Большинство атак на кредитные учреждения происходили с целью остановки сервисов – но сервисы не остановились. Надежность нашей банковской сферы себя оправдала – остальным индустриям нужно копировать ее лучшие практики. У нас были созданы оперштабы. Важно, что весь механизм заработал как единое целое, в острый момент удалось не допустить катастрофы.
При этом есть мнение, что мы хороши в области тактики, но надо строить и стратегию. Я поддерживаю предложение по созданию института генеральных конструкторов, потому что, к сожалению, уровень компетенций по созданию информационных систем у нас пока низкий. Требования заказчиков российского ПО далеки от реальности: они просят сделать так же красиво, как зарубежное решение, только в десять раз дешевле и немедленно. Так эта задача не решается. Нужно конструировать, выбирать именно критические процессы.
С точки зрения регуляторики – будут вноситься изменения в категорирование объектов КИИ. Будет меняться регуляторика, связанная с компенсациями последствий утечек персональных данных», – подвела итог первой части дискуссии Наталья Касперская.
Отдельная ветка пленарной дискуссии BIS Summit 2022 была посвящена информационной безопасности в банковской сфере: оценке рисков и практике противодействия киберугрозам.
Вадим Уваров, директор департамента информационной безопасности Банка России
Банк России начал работу по замещению иностранных программных продуктов в 2018 году, тогда совместно с ФСБ и ФСТЭК были сформулированы требования для СЗИ. В 2019 году ЦБ провел анализ ИТ-решений, которые используются организациями кредитно-финансовой сферы: на тот момент это были в основном иностранные продукты. В настоящее время в Банке России создан центр по координации технологического суверенитета в кредитно-финансовой сфере. Его основная задача – собирать данные от организаций по иностранному ПО и при участии Минцифры и Минпромторга предоставлять им объективную информацию об альтернативных решениях отечественных разработчиков. Кроме того, Банк России проводит для финансовых организаций киберучения, которые помогают им поддерживать операционную надежность в текущих условиях.
«Для каждой организации кредитно-финансовой сферы мы хотим составить определенную технологическую карту, чтобы понимать, какие у нее есть критичные бизнес-функции, зависимые от тех или иных иностранных решений. Основная задача – определить наиболее значимые риски и понять, что из технологического стека в ближайшей перспективе нам необходимо будет заменить», – пояснил директор департамента информационной безопасности Банка России Вадим Уваров.
Дискуссия продолжилась во второй части пленарной сессии «Новая старая модель угроз и предстоящие изменения», модерировал которую директор по цифровой трансформации АО «НПП «Исток» им. Шокина» Виталий Александров.
Александр Егоркин, первый вице-президент «Газпромбанка»
Первый вице-президент «Газпромбанка» Александр Егоркин привел примеры DDoS-атак на банковскую инфраструктуру. Он отметил изобретательность, с которой действовали злоумышленники, и высокий уровень их подготовки. Важно также то, что киберкриминал сегодня действует не с целью получения наживы, а в основном по политическим мотивам – с целью обрушения информационных систем. Он призвал силовые структуры не оставлять банки в одиночестве перед иностранными киберспецслужбами.
«Более половины СЗИ у нас уже импортозамещены: антивирус, антиспам, DLP, SIEM, WAF и другие продукты. Сейчас банк ведет несколько десятков пилотных проектов, где мы тестируем российские продукты. Правда, ко многим из них у нас серьезные замечания: нагрузочные характеристики не соответствуют ожидаемым, функционал не покрывает наших задач, а надежность работы низкая. В то же время железо, операционные системы, СУБД – пока иностранные или Open Source. Поэтому мы используем доктрину по построению защищенного контура из доверенных и недоверенных компонентов. Их надо так сгруппировать, чтобы уязвимости были недоступны. От российского производителя мы ждем возможности минимимзировать не только риски отказа в техобслуживании, но и риски недекларированных возможностей. Сегодня, к сожалению, российские производители в основном используют готовые библиотеки, в которых уже заложены бэкдоры», – констатировал Александр Егоркин.
Батырбек Абдрашитов, нчальник Службы информационной безопасности Коммерческого банка КЫРГЫЗСТАН
Начальник Службы информационной безопасности Коммерческого банка КЫРГЫЗСТАН Батырбек Абдрашитов поделился своим опытом противодействия кибератакам. Поскольку Кыргызстан не подпадает под санкции и не проводит политику импортозамещения, проблем с поставкой ПО и оборудования в стране нет. Однако официальным языком в стране является русский. Это, вероятно, послужило одной из причин тому, что мошенники, занимающиеся фишингом, утратив доступ к российским пользователям, переключились на граждан Кыргызстана. «Массово происходит обзвон граждан мошенниками, некоторые поддаются на провокации. Но что важно – я вижу, что госорганы, банки и сотовые операторы противостоят этой угрозе как одна команда. Я говорил со всеми операторами, и ни один не отказал мне в помощи по противодействию фроду», – указал спикер.
Крупные промышленные предприятия также ведут большую работу по актуализации модели угроз и созданию новых стратегий ИБ. Как и представители банковской сферы, они отмечают недостатки многих импортозамещающих решений, которые сегодня предлагает рынок: недоработанный функционал, недружелюбный интерфейс, низкие нагрузочные характеристики, а также высокую стоимость.
Юрий Забавин, начальник отдела информационной безопасности «РусГазШельф»
«В компании создан антикризисный штаб, который включает в себя специалистов ИБ и ИТ, они делятся навыками, наработками. В части наших компетенций – были выдвинуты некие требования, которые помогли нам в определенный момент обезопасить себя на перспективу. Также мы начали обращаться к интеграторам, запрашивать у них информацию. Правда, многие из них брали определенную паузу, прежде чем предлагать какие-то решения. Таким образом, первые две-три недели в феврале-марте мы провели в экстренном режиме, и нам это помогло. Сейчас мы проводим ряд пилотов отечественного ПО, но многие системы пока остаются зарубежные», – рассказал начальник отдела информационной безопасности компании «РусГазШельф» Юрий Забавин.
Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов уверен, что вопросы кибербезопасности должны стать частью системы управления непрерывностью бизнеса, в том числе в плане управления рисками. Все эти бизнес-процессы уже неплохо описаны и стандартизированы, но встречаются пока в основном только на крупных предприятиях. Хотя система управления непрерывности бизнеса вполне доступна и среднему бизнесу, и в какой-то мере малому.
Михаил Смирнов, директор Экспертно-аналитического центра InfoWatch
«Принципиально новым в текущей ситуации стало то, что у руководителей компаний появились наглядные аргументы, живые примеры реализованных угроз – в виде выключенной машины, неработающей техники. Угрозы, которые раньше казались им паранойей со стороны ИБ, стали реальностью. Только в последние полгода мы увидели, что люди стали активно работать над созданием настоящих моделей угроз – не формализованных документов, а реальных, живых, интерактивных моделей, которые учитывают особенности среды, постоянно меняются. Специалистам ИБ наконец-то дали такую возможность», – заметил Михаил Смирнов.
По словам спикера, промышленные предприятия занимаются построением процессов технологической обработки информации, создают рабочие проекты. Для этого, например, в документах по безопасности КИИ предусматриваются учения, практические занятия с персоналом, на которых отрабатываются вопросы взаимодействия при кибератаках. Нормативная документация для такой деятельности уже существует, а за методическими рекомендациями компании могут обратиться в отраслевые ассоциации, вышестоящие предприятия, к коллегам из госорганов.
Кроме того, необходима усиленная работа российских вендоров и ИТ-компаний с вузами и учебными центрами. Например, Академия InfoWatch создает обучающие курсы, а также принимает участие в разработке профессиональных и образовательных стандартов. В том числе задействованы и средние специальные заведения: для учащихся техникумов создана компетенция по защите от внутренних угроз.
«За последние полгода в результате общения с коллегами у меня сложилось впечатление, что многие текущие угрозы оказались для них не проблемами, а, скорее, задачами. Был понятен алгоритм решения, требования к людям», – заключил Михаил Смирнов.