«Интегрирование в мировое киберпространство — единственный выход»

При глобализации закрыться от угроз кибербезопасности в каких-то ограниченных пределах нельзя, считает директор департамента информационно-коммуникационных технологий компании «Энвижн Груп» Дмитрий Костров.

kostrov-2«ЭС»: Дмитрий Владиславович, во всем мире ругают плохих русских хакеров…

— Сегодня хакеров в классическом смысле слова уже не существует: на место кучки взломщиков пришли мощнейшие центры, комплексно решающие проблему «как украсть». Одни ломают, другие цель наводят, третьи обналичивают… Чтобы бороться с ними нужны еще более мощные центры. И в России пора, наконец, создать национальный коммерческий центр кибербезопасности.

Проблема усиления мощности и сложности кибератак на критически важные объекты, на кредитно-финансовую сферу, на «чувствительную» информацию, а также на элементы сетей связи операторов связи и сети связи в целом требует комплексного подхода при обеспечении приемлемого уровня информационной безопасности.

Информационно-коммуникационные системы стали одним из основных факторов экономического и социального развития. Компьютеры и компьютерные сети используются в настоящее время столь же повсеместно, как электричество или водоснабжение. Безопасность коммуникационных сетей и информационных систем (особенно их работоспособность и отказоустойчивость) стала крайне актуальной темой.

Эта тревога объясняется риском появления в ключевых информационных системах проблем, которые могут возникнуть из-за сложности этих систем, склонности к авариям и ошибкам, а также из-за атак на инфраструктуры, предоставляющие критические сервисы для телекоммуникационной отрасли.

«ЭС»: Но у нас же есть, например, RU-CERT…

— Действительно, при Координационном центре национального домена сети Интернет работает центр реагирования на компьютерные инциденты. Есть центр при ФСБ РФ, но он, естественно, позиционируется как структура, обслуживающая интересы государства и государственно-значимых структур, вспомним КВО. На базе Group-IB создан CERT-GIB — коммерческий центр круглосуточного реагирования на инциденты информационной безопасности.

Но на практике их услугами российские компании, в том числе «Энвижн Груп», где я работаю сейчас, или МТС, где я работал раньше (у оператора есть свой операционный центр безопасности — Security operation center, SOC), пока не пользуются, потому что отсутствует понятная, прозрачная схема взаимодействия: как и чем обмениваться.

Центры SOC выполняют функцию обеспечения информационной безопасности компании или сторонней организации, в которую передана на аутсорсинг ИТ-безопасность. Задачей функционирования SOC является обнаружение попыток несанкционированного доступа к ИТ-инфраструктуре оператора связи, предотвращение попыток вторжения внутрь защищаемого периметра и управление инцидентами ИБ.

Управление рисками происходит посредством централизованного анализа событий посредством единой системы, состоящей из персонала, специализированных аппаратных средств и программного обеспечения. Как правило, эти системы работают в режиме 24/7.

В состав SOC входят подсистемы контроля и анализа журналов всех имеющихся в ИТ-инфраструктуре типов систем, устройств и приложений, деятельности пользователей, межсетевых экранов, систем обнаружения вторжений (IDPS), антивирусов, систем анализа защищенности и т. д., что позволяет из многомиллиардного количества событий выделить критичное с точки зрения нарушения правил ИБ, квалифицировать его как инцидент и обработать.

Этим, собственно говоря, и обусловлены планы компании «Энвижн Груп» создать центр кибербезопасности с собственным R&D-подразделением.

Мы пойдем проторенным путем, в русле мирового развития. Это означает сотрудничество с Международным сообществом команд реагирования на инциденты информационной безопасности FIRST, которое в настоящее время насчитывает более 300 команд из 70 стран мира.

Чтобы иметь возможность собирать данные отовсюду, в том числе от западных компаний, достаточно зарегистрироваться в FIRST, что дает возможность получать — бесплатно — информацию со всего мира. И, естественно, будем делиться своей информацией.

При создании центра за основу предлагается взять модель центра на основе международной Рекомендации МСЭ-Т X.800-X.849 «Руководство по созданию национальных открытых центров сетевой безопасности на протоколе IP для развивающихся стран» (разработка Российской Федерации).

Наиболее применимыми форматами получения и обмена информацией об инцидентах с отечественными центрами безопасности могли бы стать форматы X.1500 CYBEX (Обмен информацией, касающейся кибербезопасности — Обзор кибербезопасности. Методы обмена информацией о кибербезопасности).

Положительным фактором была бы возможность работы с международными CERT при регистрации в FIRST (Forum of Incident Response and Security Teams). Однако предполагается, что международное сотрудничество должно проводиться только через GOV-CERT.

«ЭС»: А для российских компаний это не безопасно?

— Работая в АТЭС (в эту организацию входят Япония, США, Австралия, Таиланд, Вьетнам и т. д., все они обмениваются или планируют обмениваться информацией в автоматическом режиме), я как-то поспорил с представителем США, когда объяснял ему, что мы не хотим обмениваться информацией в автоматическом режиме, потому что ее могут несанкционированно использовать, например взломать российскую часть сети Интернет. Он мне, в свою очередь, доказывал, что инциденты кибербезопасности — это как массовое заражение гриппом или любым другим вирусом. А если вы подхватили инфекцию и никому об этом не говорите, то тем самым губите себя и остальной мир.

Согласитесь, в этом есть определенный смысл. В условиях глобализации выход один — интегрироваться в мировое киберпространство. Мы намерены предлагать клиентам услуги центра пошагово. Ведь можно внедрить систему и забыть про проект, а можно развивать его: поддерживать жизнеспособность системы, взять ее на 100%-ный аутсорсинг.

Группа по ИКТ АТЭС (Telecommunications and Information Working Group, TEL), сформированная в 1990 г., занимается совершенствованием телекоммуникационной и информационной инфраструктуры в АТР, осуществляя совместные политические решения всех участников АТЭС и разрабатывая стратегии развития отрасли.

В группе существуют три подразделения: по либерализации, развитию ИКТ и безопасности и процветанию. Основными направлениями деятельности TEL являются подготовка кадров, передача технологий и стандартизация в сфере телекоммуникаций.

«ЭС»: На кого будете ориентироваться в деле создания центра?

— Примеров в мире достаточно, например прекрасный центр в Израиле организовала RSA. Там работают, в том числе, русскоязычные специалисты. Компания ввела в практику работы такой подход: после того как злоумышленники взломают банк, они выкупают у клиентов пароли. То есть компания платит деньги, чтобы узнать, как были взломаны пароли. У RSA мощнейшая база знаний.

«ЭС»: С кем собираетесь сотрудничать?

— В первую очередь будем искать партнеров среди российских компаний — Digital Security, «Лаборатория Касперского», InfoWatch, «Иновентика», которые давно спрашивают, когда будет запущен центр, чтобы можно было обновлять базы данных.

Понятно, что иметь единственную систему невозможно — центр должен взаимодействовать с множеством себе подобных, в том числе с международными организациями.

Опять же у всех разработчиков разный уровень знаний, опыт работы. Есть молодые, амбициозные специалисты, одни лучше знают финансовый сектор, другие — промышленность, кто-то специализируется на телекоме.

Один показательный факт: некая российская компания на конференции по безопасности АСУ ТП анонсировала создание центра R&D. Компания ведет большую работу в этом направлении, даже подготовила собственную рекомендацию, чтобы от администрации связи России представлять ее в МСЭ-T. Так вот, создавать свой центр она планирует не в России, а опять же в Израиле.

Давайте скажем честно: в области создания центров кибербезопасности мы отстаем от западных коллег. Только один пример. Сегодня во всем мире выделяют два направления: IT-безопасность (корпоративная сеть, ERP-системы и т. д.) и OT-безопасность (Operational Technology — операционные технологии, то, что у нас часто называют АСУ ТП: SCADA, датчики, видеокамеры). Если, например, взломать датчик, он, вместо реальной температуры — 300 градусов, будет показывать всего 50 градусов. Последствия предсказуемы. Но в России это направление пока только прорабатывается.

Попытки создать единый центр кибербезопасности предпринимаются у нас с завидной периодичностью, но все упирается в финансирование. Хорошо развивается направление компьютерных игр в АРСИБ, ассоциация объединяет много разных организаций, занимается обучением, но опять же не имеет финансовой поддержки. Сдерживающим фактором является и то, что профильные федеральные органы исполнительной власти (ФОИВ) не проявляют заинтересованности в такой структуре.

«ЭС»: На государство надейся, а сам не плошай…

— Допускаю, что надо рассчитывать не на государство, а на бизнес. Можно реализовать проект на базе какого-то оператора связи. Сейчас, в условиях кризиса, когда наблюдается массовое сокращение ИТ-специалистов, в том числе из банков, есть все условия, чтобы сформировать сплоченную группу разработчиков. Это может быть аутсорсинг или услуга бизнес-безопасности Managed Security Providing, ведь антиDDoS-услуги уже существуют.

Если у компании нет своего центра кибербезопасности, можно покупать данные услуги у такого центра. Предполагается, что центр будет включать в себя центр компетенций, центр анализа и сбора, базу знаний.

Информацию надо собирать со всего мира примерно по следующим шаблонам:
• описание общеизвестных уязвимостей (CVE) и система их оценки (CVSS);
• перечень общеизвестных слабых мест (CWE) и система их оценки (CWSS);
• открытый язык описания уязвимостей и оценки (OVAL);
• расширяемый формат описания списка проверки конфигурации (XCCDF);
• перечень общеизвестных платформ (CPE);
• перечень общеизвестных конфигураций (CCE);
• формат обмена результатами оценки (ARF);
• описание общих событий (CEE);
• формат обмена описаниями инцидентов (IODEF);
• перечень и классификация общеизвестных схем атак (CAPEC).

«ЭС»: А нас к информации допустят?

— Да никто и не против. Сведения о зараженных телефонах приходят из центров, работающитх по всему миру. Мы можем поставить системы на базе систем пассивного анализа запросов (СПАСС), чтобы в дальнейшем обмениваться информацией с другими центрами (заинтересованными специалистами). Это сложный, но правильный процесс. Когда-нибудь все равно к этому придем.

«ЭС»: Вы входите в ИК17 — Исследовательскую комиссию по безопасности МСЭ-T. Что дает вам эта работа?

— У меня как члена ИК17 есть доступ к огромному количеству рекомендаций, представляемых в основном администрациями связи Южной Кореи, Китая, США: по поиску bot-сетей, по системам обнаружения атак и др.

Специалисты США за основу своих предложений берут стандарты NIST и выводят их на международный уровень. В рамках работы по «Вопросу 4» в ИК17 разработана система автоматического обмена об инцидентах кибербезопасности, решения которой уже автоматически инсталлированы в систему защиты западных компаний (протоколы обмена и т. п.).

Исследовательские комиссии МСЭ, объединяющие большие сообщества очень мощных специалистов из разных стран, обычно собираются в Женеве два раза в год и работают две недели. Существует, конечно, некоторое противопоставление между развивающимися странами и развитыми. Развитые уже выстроили свои системы кибербезопасности, приняли определенные правила и теперь просто показывают развивающимся странам, как это можно делать.

Формат взаимодействия в исследовательских комиссиях такой: надо не просто выступить, а постоянно вести работу по привлечению на свою сторону других членов ИК.

Для этого требуется разъяснять, объяснять, встречаться вне зала, убеждать — показывать, в чем новизна предложения, на достижение каких преимуществ оно нацелено, как все это можно реализовать. Ведь не все развивающиеся страны присылают настоящих профессионалов. И не всегда получается успешно работать с развитыми странами: видя, как активно Россия продвигает свои рекомендации, они начинают серьезно противодействовать, находят недостатки в наших предложениях. Это, конечно, проблема: свести всю работу к двум неделям. К тому же представительство нашей делегации в последнее время все уменьшается.

Как, например, делают наши французские коллеги? Они внимательно слушают, все записывают, вечером садятся и в удаленном режиме консультируются со специалистами, находящимися в центре кибербезопасности во Франции, а утром задают по предложенному решению такие вопросы, что просто не успеваешь отбиваться. Если бы в России был такой центр помощи, было бы легче отстаивать национальные интересы.

Раньше под эгидой Ассоциации электросвязи, ее руководителя А.С. Кремера (см. «ЭС» № 6, 2015, с. 2 — Прим. ред.) собирались солидные делегации для работы в МСЭ: представители ТТК, МТС, «Ростелекома», других компаний. Мы активно готовили свои предложения, проводили внутренние совещания. Но на одном энтузиазме Аркадия Соломоновича, без финансовой поддержки со стороны администрации связи России, при том что командировочные в Женеву должны оплачивать компании, защищать позицию России в международных организациях трудно.

Например, мы продвинули проект по противодействию мошенничеству и руководство по созданию национальных открытых центров сетевой безопасности на протоколе IP для развивающихся стран. Но многие рекомендации так и не прошли, а ведь это, помимо прочего, удар по престижу администрации связи страны и всех российских компаний, работающих в отрасли электросвязи/ИКТ.
Очень хотелось бы, чтобы и у нас было создано такое направление. Его отсутствие ослабляет позицию российской делегации.

«ЭС»: На каком уровне должен решаться вопрос?

— Это уровень Министерства связи и массовых коммуникаций России. Желательно, при поддержке ФСБ, собрать специалистов самых разных организаций: Минкомсвязи, НИИ Радио, ЦНИИС, ФГУП «Восход», коммерческих компаний, чтобы они анализировали информацию: что происходит в сегменте кибербезопасности, куда движется отрасль, какие новые угрозы возникают, есть ли у нас возможность им противодействовать.

Я как-то предложил разослать по операторским компаниям вопросник: интересна ли вам информация по bot-сетям, насколько актуально создание безопасного магазина для разработки мобильных приложений и др. Разослать-то разослали, но все закончилось отписками «Предложений нет».

«ЭС»: А может, «под зонтиком» ФСБ и ФСТЭК процесс пойдет быстрее?

— Все надо делать под эгидой Минкомсвязи России, потому что ФСБ и ФСТЭК концентрируются на средствах и системах защиты, а за сети связи общего пользования, их устойчивость, целостность и безопасность, за исполнение Федерального закона «О связи» в целом отвечает министерство. Причем это единственное, наверное, министерство, которое имеет собственный закон, что дает ему самые широкие полномочия: можно развивать любое направление, собирать сообщество, создавать центр кибербезопасности под своим крылом и т. п.

«ЭС»: Но в Минкомсвязи нет даже департамента по безопасности — кибер-, информационной, электронной…

— Зато уже год работает профильный замминистра. Надеюсь что и департамент будет в конце концов создан. Проблема не в персоналиях, а в отсутствии института генеральных конструкторов вообще. Нет единого руководителя, который отвечает за кибербезопасность в целом.

А вот, например, Центр электронной безопасности при Министерстве связи и высоких технологий Азербайджанской Республики был создан во исполнение указа Президента Азербайджана (см. «ЭС» № 5, 2015, с. 7). Кибербезопасность на контроле у руководителя государства! Центр взаимодействует с крупнейшими зарубежными организациями, в том числе Anti-Phishing Working Group и с международным сообществом команд реагирования на инциденты информационной безопасности FIRST. Это означает прямой доступ азербайджанских офицеров безопасности к глобальным инструментам борьбы с киберпреступностью.

Такие центры, которые занимаются координацией деятельности субъектов информационной инфраструктуры в сфере кибербезопасности, информированием на уровне страны о существующей и возможной электронной опасности, полезно было бы создать на киберпространстве всего Регионального содружества в области связи.

Об этом говорилось на состоявшемся в мае заседании Совета глав АС РСС и Координационного совета государств-участников СНГ по информатизации при РСС. Ведь часто большинство инцидентов информационной безопасности происходят как раз между соседями. Злоумышленники могут использовать IP-адреса одной страны, чтобы атаковать интернет-пользователей других стран.

Для того чтобы найти источник заражения, проследить всю цепочку, необходимо наличие таких центров в каждой стране, входящей в РСС, и их действенное взаимодействие.

Рубрики и ключевые слова