Система ГосСОПКА собирает множество информации о произошедших в стране киберинцидентах. Несмотря на то что с каждым годом количество подключённых к ней субъектов растёт (их уже более 2300), у многих организаций возникает вопрос доверия к системе. И это не единственная проблема, которая пока мешает развитию ГосСОПКА.
Введение
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) выполняет множество функций, определённых в указах Президента и описанных в «Концепции ГосСОПКА» ещё в 2014 году. Это огромное «озеро данных» (Data Lake), где скапливается информация о произошедших в стране киберинцидентах. Но многие организации воспринимают систему не как помощника или базу знаний, а как «большого брата», который следит за тем, что происходит в ИТ-инфраструктуре, и карает за каждый алёрт.
Сколько организаций подключено сейчас к ГосСОПКА, чем система может быть им полезна и что тормозит её развитие, разберём в этой статье.
Зачем создавалась ГосСОПКА
Чтобы понять, что же такое ГосСОПКА и зачем она нужна, предлагаю рассмотреть другую, привычную нам систему, которой управляет МЧС — противопожарную:
- МЧС заставляет (именно заставляет и не даёт экономить на безопасности) ставить противопожарные системы и сигнализацию в новые дома, офисы, на производства, социальные объекты;
- МЧС ходит с проверками;
- МЧС облетает леса и производит профилактические вырубки;
- в случае пожаров на местах реагируют пожарные бригады и целые войска МЧС.
То есть существует целая система по профилактике, мониторингу пожаров и реагированию на них. Собирается статистика, на основе которой можно строить аналитику и давать прогнозы, а также планировать конкретные действия для улучшения защиты от пожаров.
А вот что происходит, как говорил Джордж Буш-младший, в этих ваших электрических интернетах, решительно непонятно, не видно и не осязаемо. Нет единой точки сбора данных о происходящем в так называемом «кибермире».
Когда горит здание, это сразу видно и соседи начинают принимать меры, чтобы огонь не перекинулся к ним, — а если перекинулся, то огнетушители уже наготове. Но в кибербезопасности, во-первых, никто не рассказывает о том, что их атакуют и они прямо сейчас находятся в противоборстве с хакерами. Об этом говорить не принято: нельзя показать клиентам или партнёрам, что у вас какие-то проблемы в части ИБ. Их надо проживать в соответствии с законами Тёмных времен — молча и стоически.
Во-вторых, не всякая организация вообще в курсе, что их взломали и надо как-то реагировать. Да и ИБ-специалисты для этого есть не везде.
В-третьих, если компанию пока не атакуют, значит, до неё просто не дошли руки. А когда дойдут, то хакеры, скорее всего, будут использовать уже применявшийся ими ранее набор техник, тактик и процедур. Поэтому атака пойдёт по стандартному сценарию, только жертва этот сценарий не узнает: ведь те, кого уже атаковали, доблестно молчат и никому о своих проблемах не рассказывают.
Именно поэтому было принято решение создать такую систему, которая бы:
- давала оперативную, достоверную и объективную информацию о состоянии защищённости информационных ресурсов, в первую очередь для КИИ;
- координировала субъекты КИИ для защиты информационных ресурсов от киберугроз;
- позволяла бы строить прогноз о развитии ситуации в области ИБ в целом.
Сервисы ГосСОПКА
Но это всё актуальность, обоснование необходимости, стратегия, которой надо придерживаться. Что же видит внешний наблюдатель, когда пытается охватить взглядом необъятную систему?
ГосСОПКА собирает всю информацию о компьютерных инцидентах, которые происходят в подключённых к ней организациях. По закону о безопасности КИИ передавать данные в систему должны владельцы критических инфраструктур, а госорганизации делают это в соответствии со своими внутренними нормативными актами. По собственному желанию к ГосСОПКА также может подключиться абсолютно любая компания.
Агрегирует, хранит и обрабатывает полученные данные Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Он же выпускает на их основе бюллетени по информационной безопасности, для того чтобы организации — участники ГосСОПКА могли оперативно узнавать об актуальных угрозах, вовремя предотвращать компьютерные атаки, выявлять уже идущую злонамеренную активность у себя в компании и ликвидировать её последствия.
Кроме этой основной деятельности НКЦКИ оказывает ещё и другие услуги:
- помощь в реагировании,
- исследование вредоносных файлов и писем,
- анализ DNS-логов компании,
- разделегирование фишинговых доменов,
- мониторинг сайтов на наличие злонамеренных искажений (дефейсов).
НКЦКИ ежегодно отчитывается о развитии системы, о подключении новых субъектов КИИ и центров ГосСОПКА. В частности, в декабре 2021 года в рамках «SOC-Форума» представители НКЦКИ озвучили такие данные:
- ГосСОПКА насчитывает более 2 300 участников;
- 500 бюллетеней о 1 200 уязвимостях сформировано в 2021 году;
- более 10 инцидентов, которые НКЦКИ выявило и о которых сообщило организациям, не были зафиксированы самими компаниями;
- 50 000 запросов о разделегировании вредоносных доменов было направлено зарубежным партнёрам;
- 1 000 вредоносных ресурсов в рунете закрыта после обращений зарубежных партнёров.
При этом ГосСОПКА идёт по проторённой дороге. Свою эффективность уже показали аналогичные зарубежные системы (например, The MITRE Corporation, Japan Computer Emergency Response Team Coordination Centre (JPCERT/CC), National Cybersecurity & Communication Centre (NCCIC) и др.) и отечественный FinCERT от ЦБ РФ (а до него — «Антидроп»). Например, когда в 2021 году хакеры атаковали систему межбанковских переводов АРМ КБР и вывели деньги со счёта одного из российских банков, об этом оперативно узнало всё сообщество и были приняты меры.
Что мешает ГосСОПКА
Что же в данный момент мешает ГосСОПКА? Препятствия коррелируют с общими проблемами в части обеспечения кибербезопасности в организациях, только имеют больший масштаб.
Во-первых, это вопрос доверия. Организации боятся отправлять сведения по своим инцидентам в НКЦКИ, так как уверены в неотвратимости наказания за любой инцидент. Ответственные за ИБ сотрудники боятся, что за ними тут же выедет «чёрный воронок», нагрянет проверка и заведут уголовное дело по статье УК 274.1 (неправомерное воздействие на критическую информационную инфраструктуру РФ).
В других организациях к вопросу взаимодействия подходят формально — «отправил и забыл». Только технические детали (IP-адрес атакующих, URL поддельного сайта, экземпляр фишингового письма или вредоносной программы) они не заполняют, потому что боятся раскрытия коммерческой тайны. Такой подход, естественно, не обогащает базу знаний и никак не помогает другим участникам системы повысить уровень защищённости от кибератак.
Вторая проблема — это загруженность, квалификация и ответственность эксплуатационных служб в компаниях. У Solar JSOC как центра мониторинга были различные случаи. Например, на старте пилотного проекта мы обнаружили компрометацию всей инфраструктуры одной компании. На часах 17:30, мы звоним заказчику:
- Злоумышленники хозяйничают у вас на контроллере домена. Рекомендации по реагированию выслали…
- А мы за 15 минут успеем это поправить? У нас 15 минут до конца рабочего дня.
- …
- Давайте тогда в понедельник.
Сотрудники НКЦКИ тоже регулярно слышат: «это инцидент не на объекте КИИ, у меня много других задач, когда будет время — посмотрю, что там». Уговоры, что это может быть первым шагом, после которого злоумышленники выйдут на КИИ и нанесут ущерб, редко работают.
Выводы
Как видно, подтверждается тезис о том, что «подключение к ГосСОПКА» — это не формирование защищённого канала связи с НКЦКИ и не формальное выполнение формальных требований. Это обеспечение двустороннего взаимовыгодного обмена данными о произошедших инцидентах, который помогает вовремя обнаружить кибератаку, предотвратить или ликвидировать её последствия.
