Одной из главных целей отраслевого центра безопасности Минцифры станет координация противодействия компьютерным атакам, а также их атрибуция — то есть поиск тех, кто за подобными атаками стоит. Это следует из материалов презентации, распространенной ведомством на тематическом мероприятии «Инфофорум-2022». Расследоваться будут кибератаки на подведомственные Минцифры структуры, такие как «Главный центр спецсвязи», ФГУП «Космическая связь», а также государственные информационные системы — ГИС ЖКХ и не только.
Центр, запущенный Минцифры в начале февраля, — не первый в России. Ранее аналогичная структура — ФинЦЕРТ — была организована Банком России. На том же «Инфофоруме-2022» Минэнерго анонсировало создание Energy CERT. Над подобным проектом работают и в сфере здравоохранения. Однако только в случае с Минцифры публично была озвучена функция атрибуции.
Рассуждая об этом, бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий отметил, что в большинстве случаев данная опция центрам не нужна, поскольку мало влияет на защиту организации, но при этом крайне сложна в исполнении.
— Поэтому большинство центров реагирования — ни государственных, ни корпоративных — не включают ее в свой перечень задач, — говорит он.
Под атрибуцией атак, как правило, подразумевается установление личности преступника или принадлежности его к той или иной стране по цифровым следам вроде лингвистических особенностей в кодах вредоносных программ. Зачастую столь подробные расследования организовывают против хорошо организованных хакерских группировок.
В то же время установление личности и поимка конкретного хакера могут и не быть конечной целью атрибуции, отметил руководитель центра исследования безопасности промышленных систем «Лаборатории Касперского» Евгений Гончаров. По его словам, атрибуция чаще является системой знаний об инструментах групп преступников. Она помогает оценивать и классифицировать угрозы с целью повышения эффективности противодействия им.
В Минцифре «Известям» уточнили, что в их случае расследования будут отвечать обоим описаниям. Подведомственный отраслевой центр будет не только вести сбор и анализ данных для ранжирования атак по степени опасности и повышения эффективности противодействия им, но и определять принадлежность хакеров к тем или иным группировкам.
— Атрибуция компьютерных атак предполагает в том числе определение группировок киберпреступников в части инструментария и методов реализации целевых атак. Методы и процессы атрибуции компьютерных атак — конфиденциальная информация, — отметили в пресс-службе Минцифры.
В ведомстве сообщили, что для решения поставленных задач отраслевой центр будет справляться силами штатных специалистов. Однако там не исключили привлечение к работе сторонних экспертов, если того потребует конкретный инцидент или модель работы с тем или иным заказчиком.
Часть специалистов, опрошенных «Известями», считают, что атрибуции в отраслевых центрах безопасности — уместная и потенциально полезная практика. Как минимум потому, что они накапливают много информации, которую имеет смысл использовать именно для расследований, считает директор по взаимодействию с органами государственной власти компании «Ростелеком-Солар» Михаил Адоньев.
— Атрибуция кибератак подразумевает проведение целого комплекса мероприятий. Они требуют, среди прочего, кооперации различных центров реагирования на кибератаки, а также привлечения правоохранительных органов. CERT (Сomputer emergency response team — общепринятое название групп реагирования на чрезвычайные компьютерные инциденты. — «Известия») может быть важным звеном этой цепочки, — сказал он.
Главный специалист департамента аудита информационной безопасности компании T.Hunter Владимир Макаров считает, что возложение на центр Минцифры функции атрибуции может быть успешным экспериментом, новым витком эволюции государственных CERT.
— На мой взгляд, это интересное решение, которое в итоге приведет либо к повышению общего уровня компетенций специалистов, занятых в центрах, либо покажет, что функционал избыточен и люди не справляются. Полагаю, именно этим руководствовались, давая подобный функционал лишь одному «пилотному» центру, — сказал Макаров.
В то же время ряд представителей отраслевого сообщества скептично настроены по отношению к желанию Минцифры заняться сложными расследованиями киберинцидентов. Как минимум потому, что в силу развития технологий, которыми пользуются злоумышленники, их идентификация или даже отнесение к той или иной стране по цифровым следам на сегодня являются условными.
По словам директора экспертного центра кибербезопасности Positive Technologies Алексея Новикова, в киберпреступных кругах сформировался устойчивый тренд на переиспользование группировками инструментария друг друга. Это снижает эффективность принятых тактик идентификации хакерских групп по цифровым следам. Раньше одним набором инструментов пользовалась только группировка «А», следовательно, обнаружив следы этих инструментов, атаку можно было приписать группировке «А». Сегодня же инструментами группировки «А» может воспользоваться группировка «Б». Следовательно, указывать в таком расследовании на группировку «А» будет некорректно.
Алексей Лукацкий, в свою очередь, отметил, что расследование киберинцидентов в госцентрах вплоть до установления личности хакеров может быть малоэффективным по другой причине: российским судом сложно призвать к ответственности преступника из другой страны.
— Для того чтобы суд принял доказательства атрибуции, необходимо провести очень большой объем работы, что не все и не всегда могут сделать. Да и непонятно, что потом с этим делать. В международном суде эти доказательства силы не имеют, так как отсутствует соответствующая и признаваемая всеми государствами юридическая основа для этого, — заявил он.
Впрочем, оба эксперта согласились с тем, что вне зависимости от того, какие цели будут преследовать отраслевые центры безопасности в рамках расследований, сам факт создания подобных структур является позитивным моментом. Он способствует повышению защищенности государственной информационной структуры.
Роман Кильдюшкин