Издание Forbes сообщает, что, по материалам его источников, в Роскомнадзоре планируется создание национальной системы защиты от DDoS-атак, которым подвергаются российские ресурсы. Большинство атак идет из других стран на фоне спецоперации, зачастую владельцы ресурсов не способны противостоять им собственными силами. Запуск системы намечен на осень текущего года, ему будет предшествовать обновление оборудования, предназначенное для глубокой фильтрации трафика, DPI (Deep Paket Inspection), используемое в целях обеспечения требований законодательства о суверенном интернете. На данный момент ведутся переговоры с поставщиком оборудования.
Согласно закону о суверенном интернете, действующему с 1 ноября 2019 года, в России должна функционировать инфраструктура, обеспечивающая перманентную работу российского сегмента интернета, независимо от внешних воздействий, включая отключение страны от международной сети и хакерские атаки.
Опыт первой недели с начала российской спецоперации показал, что большинство ресурсов не готовы отражать атаки хакеров – со сбоями работали множество сайтов, включая официальный сайт Кремля. Исходя из этого, в правительстве прорабатывают различные сценарии реагирования в сфере кибербезопасности на национальном уровне.
Несмотря на то, что в DPI-оборудовании уже предусмотрена защита от DDoS-атак, она реагирует только на определенные виды вредоносного ПО, сигнатуры которого уже разработаны Главным радиочастотным центром (ГРЧЦ).
В марте Минцифры столкнулось с «беспрецедентными кибератаками» на правительственные ресурсы, что подтолкнуло министерство к решению о начале фильтрации зарубежного трафика. Позже ведомство предложило распространить свои наработки на отечественные банки, отослав письмо в Центробанк с предложением организации фильтрации трафика, идущего из-за рубежа с помощью технических средств противодействия угрозам и составления списка информационных систем, потенциально подверженных атакам.
Эксперты считают, что реализовать такую защиту возможно и на действующем DPI-оборудовании, однако сомневаются в том, что удастся масштабировать её до объемов всей страны. На данный момент атаки на отечественные ресурсы идут двух разновидностей: первые предполагают огромные объемы мусорного трафика, а вторые – ищут уязвимости в веб-приложениях. Если со вторыми есть возможность бороться техническими методами, «обучая» DPI-оборудование обнаруживать такие угрозы, то в первом случае необходимо создавать специальные центры мониторинга и очистки, чтобы централизованно бороться со злоумышленниками.
К сожалению, качественная защита от DDoS-атак стоит достаточно дорого, вследствие чего множество российских ресурсов всё ещё остаются незащищенными. Как вариант, можно попытаться возложить ответственность за фильтрацию трафика непосредственно на операторов связи, однако, поскольку это коммерческая услуга, навряд ли они согласятся оказывать её бесплатно в подобных масштабах.
Другой приоритетной задачей Роскомнадзора является модернизация инфраструктуры для суверенного интернета, что должно повысить пропускную способность DPI-оборудования, позволяя уместить в нем больше сигнатур для распознавания трафика с заблокированных ресурсов, поясняет источник Forbes. С помощью того же оборудования осуществляются блокировки запрещенных в России ресурсов, таких как Facebook и Instagram, принадлежащих корпорации Meta, объявленной в России экстремистской.
Роскомнадзор не планирует расходы на модернизацию, поскольку рассчитывает получить оборудование «в рамках действующих контрактов», в то время как стоимость с момента их заключения возросла где-то на 40%.На рост цены повлияли проблемы с логистикой, возникшие вследствие западных санкций.
Оборудование, поставляемое операторам Роскомнадзором во исполнение закона о суверенном интернете может одновременно фильтровать до 100 Гб трафика в секунду. Поставляет его RDP.ru, принадлежащий «Ростелекому».Роскомнадзор ставит задачи увеличить пропускную способность в разы.
В среде аналитиков предполагают, что потребность в увеличении пропускной способности DPI-оборудования может быть связана с увеличением объема видеотрафика, по итогам 2021 года показавшего прирост на 31% в сравнении с предыдущим годом. Но, поскольку в 2022 году на фоне санкций и спецоперации с отечественного рынка ушло множество зарубежных интернет-ресурсов, а сотовые операторы отменяют безлимитные тарифы, существенного увеличения трафика в этом году не ожидается.
Однако, и количество хакерских атак существенно возросло. Если до начала спецоперации специалистами по кибербезопасности фиксировалось несколько десятков атак в месяц, сейчас их количество измеряется сотнями тысяч в неделю.
Только за 26 февраля 2022 года было отмечено более полусотни DDoS-атак мощностью более 1 Тбайт, а также некое количество профессиональных целевых атак на портал госуслуг.
Атакованы были сайты СМИ, Госмониторинга, а также сайты электронной коммерции и многие другие. Ответственность за атаки на правительственные ресурсы приняла на себя группа Anonymous, сообщившая вскоре после начала спецоперации об объявлении кибервойны российскому правительству.