2024/02/16 17:01:20

Безопасность критической информационной инфраструктуры РФ

Статья посвящена нормативному регулированию и практическим аспектам обеспечения безопасности объектов критической информационной инфраструктуры в РФ.

Содержание

Основная статья: Критическая информационная инфраструктура России

2024

ФСТЭК назвала 6 главных причин успешных кибератак на предприятия и госорганы

В середине февраля 2024 года в Федеральной службе по техническому и экспортному контролю (ФСТЭК) перечислили четыре главных причины успешных хакерских атак на предприятия и госорганы:

  • слабые пароли пользователей и администраторов;
  • однофакторная идентификация;
  • использование паролей, установленных по умолчанию;
  • активные учетные записи уволенных сотрудников;
  • использование для доступа к информационной инфраструктуре личных устройств работников;
  • использование на рабочих местах личных мессенджеров и социальных сетей.

«
Результаты анализа компьютерных инцидентов, которые, к сожалению, у нас имели место быть за последние два года, позволили сформировать рейтинг основных недостатков, которые очень часто становятся предпосылками для успешной реализации компьютерных атак, - отметил начальник управления ФСТЭК Сергей Бондаренко, говоря о причинах, из-за которых чаще всего происходит взлом ИТ-систем компаний и государственных органов.
»

ФСТЭК перечислил четыре главных причины успешных хакерских атак на предприятия и госорганы

По словам Бондаренко, для создания надежной киберзащиты на предприятиях и в госорганах необходимо проводить инвентаризацию информационных ресурсов, устанавливать антивирусные программы, защищать периметр информационной инфраструктуры и контролировать почтовые вложения на предмет наличия вредоносного программного обеспечения.Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.1 т

В середине февраля 2024 года замглавы Минцифры РФ Александр Шойтов заявил, что атаки на критическую информационную инфраструктуру и госсистемы РФ, включая банки, усложнились. Часто хакеры, прикрываясь простыми DDoS-атаками, проводят еще несколько для дальнейшего негативного воздействия на ИТ-системы.

«
Мы даже не всегда и видим, - сказал Шойтов, выступая на одной из конференций, посвященной теме информационной безопасности.[1]
»

Понятие технологической независимости КИИ стандартизировали. Пока временно

Росстандарт в начале февраля 2024 года опубликовал предварительный стандарт ПНСТ 905-2023[2] «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения», который определяет основные понятия в области доверенных программно-аппаратных комплексов (ДПАК) для критической информационной инфраструктуры РФ.

Стандарт предварительный и срок его действия ограничен – с 1 апреля 2024 года до 1 апреля 2027 года. Однако именно в этом время предполагается обеспечение технологической независимости КИИ РФ за счет импортозамещения, поэтому стандарт может оказаться важен для всего рынка отечественной информационной безопасности.

Обложка стандарта ПНСТ 905-2023

В стандарте указано, что термины, им установленные, рекомендуются для применения во всех видах документации и литературы в области проектирования, разработки и изготовления ДПАК и их компонентов, а также при разработке нормативных документов в указанной области. И если кто-то не будет использовать соответствующие термины, то к нему возникнут вопросы касательно его компетенции.

Ключевыми понятиями документа являются определения таких терминов как технологическая независимость КИИ и доверенный программно-аппаратный комплекс. Это «состояние критической информационной инфраструктуры, характеризующееся возможностью ее создания, устойчивым, надежным функционированием и развитием, в том числе в условиях ограничений в доступности технологий и компонентов» и «программно-аппаратный комплекс, соответствующий требованиям обеспечения технологической независимости критической информационной инфраструктуры, функциональности, надежности и защищенности», соответственно.

При этом к ДПАК выдвигается ряд требований: как раз по обеспечению технологической независимости КИИ, по функциональности, надежности и защищенности. Для этого у ДПАК должно быть ключевое техническое решение (КТП), которое является его неотъемлемой частью и существенным для удовлетворения перечисленных выше категорий требований на всех этапах жизненного цикла. Что такое КТП, не уточняется, но определение очень похоже на отечественные аналоги аппаратного модуля TPM, которые, видимо, нужно будет устанавливать в каждый ДПАК.

Кроме того, стандарт определяет для ДПАК испытательный полигон, радиоэлектронную продукцию (РЭП) и электронную компонентную базу (ЭКБ), которые используются для его проектирования, тестирования и эксплуатации.

Есть также определение и для программного обеспечения, которое разделено на четыре категории: встроенное, системное, прикладное и специальное. Все эти категории ПО должны храниться в репозитории кода, который обязан полностью находиться на территории России.

ПНСТ 905-2023 разработан «НПО «Критические информационные системы» (КИС) и экспертной организацией «Инженерная безопасность». Утвержден он техническим комитетом №167 Росстандарта под названием «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них» в конце прошлого года – 28 декабря 2023 года приказом Росстандарта №115-пнст.

Стандарт предварительный, поэтому Росстандарт принимает замечания и дополнения к нему, которые должны быть направлены в ведомство не позднее, чем за 4 месяца до завершения действия. На их базе уже будет разработан основной стандарт, но это уже совсем другая история.

Путин разрешил сотрудникам транспортной безопасности сбивать дроны

Президент России подписал закон, разрешающий сотрудникам транспортной безопасности сбивать беспилотные летательные аппараты. Соответствующий документ опубликован 30 января 2024 года. Подробнее здесь.

2023

Отражение 65 тысяч атак на объекты критической информационной инфраструктуры

Отечественные специалисты отразили более 65 тысяч атак на объекты критической информационной инфраструктуры (КИИ) в 2023 году. Такой информацией поделился вице-премьер РФ Дмитрий Чернышенко, о чем 9 февраля 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Объекты критической информационной инфраструктуры составляют основу экономической системы страны, пояснил Антон Немкин.

«
Фактически к ним относятся важнейшие инфраструктурные объекты: государственные компании, банки, предприятия промышленности и научные организации, объекты транспорта и здравоохранения. Допущение кибератаки в этом случае может привести не только к утечке корпоративной информации, но и сведений, относящихся к гостайне. Кроме того, киберинцидент на неопределенное время может вывести из строя производственные процессы организации, – пояснил депутат.

»

Именно из-за этих причин объекты КИИ находятся под пристальным вниманием со стороны злоумышленников, подчеркнул Немкин.


«
Напомню, что только за первое полугодие 2022 года общее количество кибератак на российские организации увеличилось в 15 раз, по сравнению с аналогичным периодом 2021 года. Конечно, здесь не мог не сказаться фактор международной нестабильности, – отметил он.
»

По словам Немкина, играет роль и переход российских организаций на отечественные ИТ-решения.

«
Переход с одних систем на другие иногда создает бреши в информбезопасности, которыми активно пользуются злоумышленники. Речь идет об уязвимостях как в прикладном программном обеспечении, так и в самой инфраструктуре. При этом оптимальный уровень защищенности, во многом, зависит от скорости интеграции новых решений, – рассказал депутат.
»

Почти треть российских компаний, обладающих КИИ, сталкивались с инцидентами безопасности

32% субъектов КИИ сталкивались с инцидентами безопасности разной степени серьезности. Минимум 35% из них влекут за собой ущерб, который можно оценить в финансовых потерях. Простои — наиболее частое последствие инцидентов, причиной которых называют в основном DDoS-атаки и взломы сайтов. Кроме этого, приводятся следующие негативные последствия: репутационный ущерб, потеря данных без восстановления и прямой финансовый ущерб. Эти данные были получены в ходе исследования, проведенного «К2 Тех». Об этом компания сообщила 26 декабря 2023 года.

К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. Поэтому остановка их деятельности может нанести серьезный ущерб жизни и здоровью людей. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» должен защитить промышленность, банки, больницы и другие учреждения и компании от киберугроз.

Хотя закон был принят в 2018 году, значительное число компаний признались, что все еще не знают, какие решения им понадобятся для реализации требований 187-ФЗ. С планами не определились 24% респондентов. Четкое представление о предстоящих закупках имеют 68% опрошенных, 8% затруднились ответить. В связи со сложностью проектов и требованиями по импортозамещению компании вынуждены приобретать дополнительные решения и заменять уже существующие. Самым востребованным классом СЗИ на декабрь 2023 года являются межсетевые экраны. При этом с межсетевыми экранами связано много вопросов, потому что что пока нет российских аналогов, сравнимых по производительности с ушедшими зарубежными вендорами. На втором месте — средства защиты от вредоносного кода. За ними идут сетевое оборудование, средства криптографической защиты и SIEM.


«
Многие компании только в 2023 году начали плотно работать над выполнением требований 187-ФЗ. Это связано, во-первых, с появлением 250 Указа Президента, где прописаны конкретные практические задачи, которые необходимо выполнить, сроки и ответственные, а во-вторых, с тем, что в 2022 году бизнес был сфокусирован на борьбе с атаками и выполнении предписаний ФСТЭК. На декабрь 2023 года большинство компаний еще находятся на старте реализации. Самый важный этап для успешного завершения проекта — это качественное проведение категорирования и аудита объектов КИИ. Более половины (57%) компаний частично или полностью доверяют этот процесс внешним подрядчикам. Это значительно экономит время. Когда организация выполняет аудит своими силами, мы иногда сталкиваемся с тем, что объектов КИИ оказывается в 3 раза больше, чем изначально указывалось, — сказал Андрей Заикин, директор по развитию бизнеса «К2 Кибербезопасность».
»

«
С годами мы наблюдаем значительное повышение уровня зрелости наших промышленных заказчиков в области информационной безопасности. Те проблемы, с которыми мы сталкивались ранее, такие как отрицание необходимости защиты систем управления технологическим процессом (АСУ ТП) и критической информационной инфраструктуры (КИИ), отсутствие ответственных лиц за обеспечение информационной безопасности, использование корпоративных решений для защиты АСУ ТП, теперь уходят на второй план. Тем не менее, развитие рынка ИБ промышленных инфраструктур диктует необходимость перехода от защиты объектов КИИ, в первую очередь, систем промышленной автоматизации, с использованием пассивного мониторинга, к более плотной интеграции средств защиты в периметр таких систем и реализации активных действий по реагированию на возникающие инциденты и (или) их недопущению. Повышение готовности заказчиков к реализации такого подхода в промышленных сетях – это то, над чем еще предстоит работать, — отметил Андрей Бондюгин руководитель группы по сопровождению проектов защиты промышленных инфраструктур «Лаборатория Касперского».
»

«
В последнее время возросло количество кибератак на цепочки поставок, в результате реализации которых на стороне взломанной ИТ-компании хакеры внедряют вредоносный код в ПО, который затем незаметно попадает в инфраструктуру заказчиков, например, вместе с очередным обновлением. По уровню потенциального негативного воздействия такая кибератака действительно может сравниться со взломом значимого объекта КИИ, особенно ввиду того, что внедренный в ПО вредоносный модуль может попасть в инфраструктуры сразу множества субъектов КИИ. Одним из вариантов решения задачи могла бы стать организация государственного сервиса по проверке безопасности ПО и СЗИ, например, с использованием «песочниц», методов композиционного анализа и средств статического, динамического, интерактивного анализа; после такой проверки отсутствия «закладок» в дистрибутиве или пакете обновления значение хэш-суммы инсталлятора можно помещать в публично доступный реестр надежного софта, с которым субъекты КИИ будут сверяться в обязательном порядке», — рассказал Руслан Рахметов генеральный директор Security Vision.
»

Минцифры выделяет 25,2 млрд рублей на развитие ГИС в сфере кибербезопасности

28 ноября 2023 года стало известно о том, что Минцифры РФ намерено направить 25,2 млрд рублей на развитие государственных систем в области кибербезопасности. Инициатива призвана ускорить импортозамещение в данной области, а также повысить эффективность действующих систем защиты от хакерских вторжений, вредоносного ПО и пр.

Как сообщает газета «Коммерсантъ», об инициативе говорится в материалах национального проекта «Экономика данных». Указанную сумму Минцифры предлагает инвестировать в период до 2030 года. Планируется, что все зарубежные продукты в сфере информационной безопасности (ИБ) получат российские аналоги. Это поможет компаниям и госструктурам отказаться от импортных решений, что важно в условиях сформировавшейся геополитической обстановки.

Минцифры намерено направить 25,2 млрд рублей на развитие государственных систем в области кибербезопасности

Из общей суммы в 25,2 млрд рублей Минцифры выделит 7,1 млрд рублей на развитие новой системы противодействия компьютерным атакам «Мультисканер» на базе ГосСОПКА (госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак; контролируется ФСБ). Эта платформа сможет обрабатывать более 90 млн файлов в год. «Мультисканер» станет аналогом бесплатного американского сервиса VirusTotal, анализирующего объекты на предмет наличия вредоносного кода. Полноценное внедрение нового защитного комплекса намечено на 2025 год.

Еще 3,7 млрд рублей пойдет на развитие госсистем «Антифрод» (противодействие мошенническим звонкам; Роскомнадзор) и «Антифишинг» (блокировка мошеннических сайтов; Минцифры). Примерно 2,4 млрд рублей Минцифры намерено израсходовать на оценку защищенности ключевых государственных информационных систем (ГИС). Около 12 млрд рублей потребуется на другие системы обеспечения кибербезопасности, включая криптографические инструменты.

Однако участники рынка говорят, что заявленные по проекту инвестиции «выглядят несколько завышенными» даже с учетом инфляции. Вместе с тем коммерческий директор «Кода безопасности» Федор Дбар подчеркивает, что «финансирование само по себе не гарантирует какой-либо результат».[3]

ФСТЭК выявил сотни нарушений в защите информационной инфраструктуры России

Федеральная служба по техническому и экспортному контролю (ФСТЭК) по итогам оценки защищенности критической информационной инфраструктуры в отношении 900 субъектов выявил около 600 нарушений. Об этом заместитель начальника отдела управления ведомства Павел Зенкин рассказал в середине ноября 2023 года. По его словам, с точки зрения числе обнаруженных нарушений ситуация в сравнении с 2022 годом почти не изменилась.

«
Это все те же самые организационные меры: субъект не знает свои объекты критической информационной инфраструктуры, которая у него имеется, не знает их архитектуру, специалисты не знают, что они работают на объектах ИИ и обеспечивают их безопасность. Что касается технических мер, то здесь тоже ничего нового – стандартные пароли, подключение к внешним сетям, не проводится анализ уязвимости, не происходит блокировка угроз, - сообщил Зенкин в ходе ИТ-форума в Новосибирске (цитата по «РИА Новости»).
»

ФСТЭК выявил около 600 нарушений в защите КИИ

Представитель ФСТЭК отметил, что с момента начала специальной военной операции ФСТЭК России направил в адрес субъектов информационной инфраструктуры более 160 мер, направленных на повышение защищенности объектов, в том числе по анализу уязвимости и обновлению ПО в условиях санкционной политики. По словам Зенкина, сотни нарушений в защите информационной инфраструктуры России - это «просто колоссальная цифра».

«
Все недостатки о которых я сказал, приводят к инцидентам…, - добавил он.
»

Замдиректора ФСТЭК Виталий Лютиков в середине ноября 2023 года отметил, что основной причиной большого числа уязвимостей в ПО объектов КИИ Лютиков назвал уход иностранных вендоров, которые перестали поддерживать свои решения, установленные на инфраструктуре российских заказчиков.[4]

«Здесь необходимо выстраивать процессы управления уязвимостями, чтобы минимизировать хотя бы критичные», - считает он.

ИТ-господрядчиков в России заставят соблюдать требования к кибербезопасности

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разрабатывает для ИТ-господрядчиков требования по обеспечению информационной безопасности ИТ-систем. Об этом замглавы ведомства Виталий Лютиков рассказал 14 ноября 2023 года.

По его словам, требования по кибербезопасности к господрядчикам, оказывающим услуги ИТ-разработки, необходимы потому, что большинство взломов и утечек данных из государственных информационных систем происходит через подрядчиков-разработчиков, к которым никаких обязательных требований не предъявляется.

ФСТЭК разрабатывает для ИТ-господрядчиков требования по обеспечению информационной безопасности ИТ-систем
«
Количество угроз растет, ущерб от них увеличивается. Остаются все старые [угрозы]. Решать эти проблемы приходится на законодательном уровне, - сообщил Лютиков (цитата по «Ведомостям»).
»

Он отметил, что ФСТЭК проверила 40 тыс. систем критической информационной инфраструктуры и треть из них были отправлены на доработку «с точки зрения переоценки возможного ущерба» в случае нарушения работы при взломе. Почти каждая вторая система, проверяемая Федеральной службой по техническому и экспортному контролю, содержит критические уязвимости, заявил Лютиков.

По данным ФСТЭК, к середине ноября 2023 года в реестр объектов КИИ включено около 19% проверенных информсистем. Еще для 50% информсистем категории не присвоены, а по 31% заявки о присвоении той или иной категории значимости возвращены. При этом владельцам объектов КИИ было направлено около 1,6 тыс. требований о выполнении законодательства в части обеспечения безопасности.

«
Количество систем растет, количество объектов, включаемых в реестр значимых объектов КИИ увеличивается. Проблема в том, что операторы или владельцы объектов КИИ пытаются занизить ущерб, минимизировать и показать при определении объекта, что никаких последствий, никакого ущерба не произойдет. Но те инциденты, которые происходили за последние два года, они свидетельствуют об обратном, - добавил заместитель директора ФСТЭК.[5]
»

ФСТЭК займется созданием централизованной базы данных для контроля объектов КИИ - указ Путина

Президент России Владимир Путин подписал указ, которым расширил полномочия Федеральной службы по техническому и экспортному контролю (ФСТЭК). Соответствующий документ опубликован в ноябре 2023 года. Подробнее здесь.

ФСБ задержала гражданина РФ, вступившего в киберразведку Украины для атаки на российскую КИИ

Сотрудники ФСБ РФ задержали в городе Белово Кемеровской области гражданина России, который вел противоправную деятельность, направленную против безопасности Российской Федерации. Задержанному предъявлено обвинение в совершении преступления, предусмотренного ст. 275 УК России (государственная измена в форме оказания иной помощи иностранной организации), избрана мера пресечения в виде содержания под стражей. Информация об этом опубликована на официальном сайте ФСБ в сообщении от 31 октября 2023 г.

Установлено, что задержанный с помощью интернет-мессенджера вступил в украинское киберподразделение, действующее в интересах разведывательных служб Украины, в составе которого осуществлял компьютерные атаки с применением вредоносного программного обеспечения на информационные ресурсы России, которые привели к нарушению работоспособности объектов критической инфраструктуры страны.

По информации ФСБ, в адресах проживания и работы фигуранта уголовного дела, а также его связей проведены следственные действия и оперативно-разыскные мероприятия, в ходе которых изъяты средства вычислительной техники и связи, получены данные, подтверждающие его антироссийскую деятельность.[6]

Минцифры РФ обяжет телеканалы и операторов связи создать ИБ-подразделения

В середине октября 2023 года стало известно о том, что Минцифры РФ разработало новые требования, в соответствии с которыми российские компании — владельцы средств массовой информации (СМИ), а также операторы сотой связи и спутникового телевидения обязаны создать подразделения информационной безопасности (ИБ). Новые правила вступят в силу с 1 января 2025 года.

Как сообщает газета «Ведомости», требования распространяются на все каналы первого и второго мультиплексов, на «Российскую газету», ИТАР-ТАСС и МИА «Россия сегодня». Указанные организации и операторы связи должны перейти на отечественные средства защиты информации, тогда как на использование соответствующих решений из недружественных стран накладывается запрет. Подразделение по ИБ станут своего рода «внутренним аудитором» ИТ-инфраструктуры, поскольку количество кибератак на российские компании в свете сложившейся геополитической обстановки растет.

Минцифры разработало новые требования по ИБ для владельцев российских СМИ

Новые требования частично дублируют положения указа № 250 (принят в мае 2022 года), который распространяется на субъекты критической информационной инфраструктуры (КИИ). Такие организации обязаны обеспечить определенный стандарт защиты от аварийных ситуаций и попыток и последствий намеренного деструктивного воздействия на них. Участники рынка говорят, что в случае распространения жестких требований КИИ на весь операторский бизнес и СМИ потребуются огромные финансовые затраты.

В целом, размер инвестиций в создание ИБ-подразделений зависит от ряда параметров, в том числе от количества сотрудников в организации, объема информационной инфраструктуры и пр. Минимальное внутреннее подразделение по ИБ будет состоять из руководителя, специалиста по информбезопасности и специалиста по персональным данным. Партнер Б1 Сергей Никитчук полагает, что в зависимости от размеров бизнеса соблюдение новых требований потребует вложений от 5 млн до 50 млн рублей в год. Кроме того, дополнительные затраты понадобятся в связи с необходимостью импортозамещения СЗИ.[7]

Раскрыты подробности кибератак на предприятия российского ОПК через Microsoft Office

Эксперты компании Positive Technologies Денис Кувшинов и Максим Андреев при участии команд Incident response и Threat intelligence PT Expert Security Center подготовили подробный отчет с анализом троянской программы, названной ими MataDoor. Троянец был ранее замечен в отчетах Malwarebytes и `Лаборатории Касперского`, где он был назван MATAv5 и атрибутирован как часть деятельности хакерской группировки Lazarus. Эксперты же Positive Technologies получили исследуемый образец на одном из предприятий ОПК осенью 2022 года.

Предположительно начальный вектор проникновения вредоноса в инфраструктуру предприятия эксперты связывают с эксплуатацией уязвимости в компоненте Microsoft Internet Explorer под номером CVE-2021-40444. К сожалению, этот же компонент используется и в офисных приложениях Microsoft Office, что и позволяет сделать эксплойт, который запустит загрузку и исполнение на машине жертвы вредоносного кода. Для успешной атаки нужно, чтобы жертва загрузила документ в формате DOCX и открыла его на редактирование в Microsoft Office.

MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб

Письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались по сведениям исследователей на российские предприятия оборонно-промышленного комплекса в августе-сентябре 2022 года. Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, часть была составлена так, чтобы просто привлечь внимание адресата. Однако ранее – в сентябре 2021 года – компанией Malwarebytes были зафиксированы и исследованы аналогичные рассылки, но с другим эксплойтом.

Письма с эксплойтом уязвимости CVE-2021-40444 должны побуждать пользователя активировать режим редактирования документа, что является необходимым условием для его отработки. В этих письмах использовалось специфическое оформление текста, которое должно было побудить пользователя включить режим редактирования и сменить цвет шрифта на более контрастный. При включении режима редактирования происходит загрузка и выполнение вредоносного кода с контролируемого атакующими ресурса. Поэтому, если ваши сотрудники получали и просматривали письма с неконтрастным или другим неудобочитаемым оформлением, то стоит обследовать вашу инфраструктуру с помощью индикаторов компрометации, которые опубликовали в отчете исследователи.

Следует отметить, что MataDoor ориентирован на долговременное скрытое функционирование в скомпрометированной системе. Его файлы названы именами, похожими на легальное ПО, установленное на зараженных устройствах. К тому же ряд образцов имел действительную цифровую подпись. Также выявленные исполняемые файлы и библиотеки были обработаны протектором Themida для усложнения их анализа и обнаружения.

Сам же вредонос является модульным троянцем, который состоит из ядра (оркестратора) и модулей (плагинов), которые как раз и обеспечивают всю черную работу вредоноса в зависимости от того, на каком компьютере он установлен. MataDoor также предоставлял для своих модулей инфраструктуру передачи данных на контрольный сервер и асинхронного исполнения команд, загруженных с него. Таким образом, MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб. Ущерб, который был нанесен обнаруженным вредоносом и его собратьями, пока оценить достаточно сложно – в каждом отдельном случае нужно проводить тщательное расследование.

Правительство может смягчить требования к импортозамещению в критической информационной инфраструктуре

Требования указа президента Владимира Путина о переводе объектов критической информационной инфраструктуры (КИИ) на отечественные решения могут быть смягчены. В соответствии указом, подписанным 30 марта 2022 года, все программное обеспечение и программно-аппаратные комплексы (ПАК) на объектах КИИ должны быть замещены на отечественные до 1 января 2025 года.

Но для ПАКов возможно продление до окончания срока эксплуатации уже действующих решений. Такую поправку к указу разработал Минпромторг, рассказал «Ведомостям» федеральный чиновник и подтвердил топ-менеджер одной из нефтегазовых компаний. По их словам, документ был внесен в правительство.

Минцифры создаст реестр ПО для объектов критической информационной инфраструктуры

7 августа 2023 года стало известно о том, что Минцифры РФ разработало новый законопроект о безопасности критической информационной инфраструктуры (КИИ). Документ в перспективе приведет к формированию специального реестра программного обеспечения, разрешенного для использования в КИИ-системах.

Как сообщает газета «Коммерсантъ», документ «наделяет правительство полномочиями определять для каждой отрасли (а не только госкомпаний) типовые решения, которые будут отнесены к объектам КИИ, а также устанавливать для них сроки перехода на российские решения». Кроме того, планируется выбрать типовые ИТ-решения, которые будут отнесены к объектам КИИ. Иными словами, к объектам КИИ приравняют непосредственно информационные системы, используемые в тех или иных отраслях.

Минцифры разработало новый законопроект о безопасности критической информационной инфраструктуры

По состоянию на начало августа 2023 года к субъектам КИИ относятся госорганы, организации в области связи, здравоохранения, науки, транспорта, энергетики, банковской сферы, топливно-энергетического комплекса и других значимых отраслей экономики.

Категорирование самих информсистем значимых отраслей, по сути, расширит сферу действия закона путем включения объектов, которые ранее таковыми не были. А это приведет к появлению реестра софта, рекомендованного для использования на предприятиях и в организациях в различных отраслях экономики.

Участники рынка полагают, что новый законопроект поспособствует тому, что специалистам субъектов КИИ будет проще проводить категорирование на основе утвержденных правительством перечней. С другой стороны, это может «усилить регуляторные барьеры для отрасли». Принадлежность к КИИ накладывает на организации ряд условий работы, в том числе по обеспечению безопасности и импортозамещению. Согласно указу президента РФ от марта 2022 года, госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах КИИ с 1 января 2025 года.[8]

Минцифры РФ попросило госорганы создать дополнительную ИТ-инфраструктуру с георезервированием

4 августа 2023 года стало известно о том, что Минцифры РФ направило ведомствам методические рекомендации по укреплению устойчивости информационной инфраструктуры. В частности, предлагается выполнить резервирование каналов связи и обеспечить географическое распределение центров обработки данных (ЦОД).

Как сообщает газета «Коммерсантъ», ИТ-системы федеральных ведомств относятся к критической информационной инфраструктуре (КИИ). В сложившейся геополитической обстановке количество кибератак на такие ресурсы значительно возросло, что приводит к необходимости усиления защиты. Резервирование каналов связи требуется, если, например, в ЦОД, где одно или несколько ведомств хранят данные, доступ организован по единственной линии. В случае кибератаки или физического повреждения сетевого канала доступ к информационной системе ведомства будет невозможен.

Минцифры направило ведомствам методические рекомендации по укреплению устойчивости информационной инфраструктуры

На фоне новых угроз в киберпространстве действенным защитным решением может быть создание геораспределенных виртуальных и физических дата-центров с резервными каналами связи. Если это невозможно, то необходимо как минимум подключить к информационной системе дополнительные каналы связи, которые будут построены по географически разным маршрутам.

Участники рынка говорят, что рекомендации Минцифры уже повлияли в том числе на рост спроса на размещение данных в региональных ЦОД. Так, некоторые российские компании переносят обработку и хранение информации из дата-центров в Московском регионе за Урал. Провайдеры отмечают рост спроса в сегменте облачных сервисов в Екатеринбурге и Новосибирске. Однако формирование ИТ-инфраструктуры с георезервированием и развертывание дополнительных каналов передачи информации повлечет рост расходов ведомств на информационную инфраструктуру. Затраты могут подняться на 10%, что связано с необходимостью аренды дополнительных серверов и созданием вспомогательных сетевых каналов.[9]

Данные о недвижимости в России защитят от кибератак

В конце июня 2023 года Госдума приняла в третьем (окончательном) чтении изменения в федеральный закон «О безопасности критической информационной инфраструктуры РФ» в части уточнения субъектов критической информационной инфраструктуры.

Документ относит к таким субъектам информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости. Кроме того, субъектами КИИ также будут считаться лица, которым принадлежат такие системы и сети.

В КИИ включат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости

Данная инициатива, по словам ее авторов, позволит распространить на сферу недвижимости комплекс мероприятий, которые применяются государством для защиты критической информационной инфраструктуры. Новые нормы вводятся для обеспечения безопасности регистрационных данных в сфере недвижимости, «чтобы защитить их от хакерских атак и похищения», говорит председатель думского комитета по безопасности Василий Пискарев.

«
Можно только предполагать, к каким последствиям приведут попытки хакеров взломать базы данных и, например, изменить данные о собственниках недвижимого имущества или просто похитить эти сведения в мошеннических целях, - отметил он.
»

Принятие законопроекта позволит реализовать комплекс мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, проводимых в отношении объектов указанной сферы, и создаст условия для противодействия преступлениям, отмечается в пояснении к документу.

Член Комитета по бюджету и налогам Никита Чаплин подчеркнул, что крайне важно уделять особое внимание защите от похищения регистрационных данных в сфере недвижимости, особенно, когда речь идет о критической информационной инфраструктуре РФ. При этом он заметил, что российские спецслужбы успешно отражают нападки.[10]

Центр кибербезопасности ФСБ фиксирует рост кибератак через ИТ-подрядчиков. Что рекомендуется делать

Кибератаки на информационные системы госорганов и субъектов критической информационной инфраструктуры (КИИ) через цепочку поставок, через ИТ-инфраструктуру подрядчиков в Национальном координационном центре по компьютерным инцидентам (НКЦКИ), подведомственном ФСБ, называют одной из ключевых тенденций в 2023 году.

Эксперт НКЦКИ Андрей Раевский, выступая на международной конференции по ИБ 6 июня, пояснил, что часто ИТ-подрядчик разрабатывает и сдаёт проект, но у него остаются права администратора для авторского надзора или дальнейшего сопровождения системы. И наблюдается тенденция проникновения в инфраструктуру госорганов и субъектов КИИ через административные права ИТ-подрядчика.

При этом на законодательном уровне требования в области ИБ к информационным системам таких подрядчиков сейчас отсутствуют. По словам эксперта, в НКЦКИ задумываются над тем, чтобы предусмотреть требования на законодательном уровне, в первую очередь, для ИТ-подрядчиков, выполняющих работы для госструктур и субъектов КИИ.

Из презентации Андрея Раевского

НКЦКИ со своей стороны рекомендует заказчикам в рамках технических заданий на ИТ-проекты прописывать требования к информационной безопасности ИТ-ресурсов подрядчиков. И некоторые серьёзные организации уже это делают, отмечает Андрей Раевский.

Помимо этого, НКЦКИ рекомендует ограничивать количество уделённых подключений к своим системам привилегированных пользователей из числа подрядчиков.

На рынке есть отечественные разработки в области средств привилегированного доступа. Их использование становится очень актуальным. В НКЦКИ считают, что стоит присмотреться к этим разработкам.

Также необходимо следить за появлением сведений об утечках и компьютерных инцидентах в подрядных организациях, и в случае таких утечек в отношении своих информационных ресурсов нужно запрашивать у разработчиков по реагированию и исследованию причин возникновения утечек.

ФСБ утвердила порядок мониторинга защищённости сайтов субъектов КИИ

2 июня 2023 года Федеральная служба безопасности Российской Федерации (ФСБ) утвердила порядок мониторинга защищённости сайтов субъектов критической информационной инфраструктуры (КИИ).

Речь идёт о ресурсах, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям (компаниям) и иным организациям, созданным на основании федеральных законов. Кроме того, документ распространяется на стратегические предприятия и акционерные общества, системообразующие организации российской экономики, а также на юридические лица, являющиеся субъектами КИИ.

ФСБ РФ утвердила порядок мониторинга защищённости сайтов субъектов критической информационной инфраструктуры

Говорится, что мониторинг осуществляется в целях оценки способности информационных ресурсов организаций противостоять угрозам информационной безопасности. Соответствующие работы будут выполняться Центром защиты информации и специальной связи ФСБ и территориальными органами безопасности. Под мониторинг подпадают информационные системы (в том числе сайты в интернете), информационно-телекоммуникационные сети и автоматизированные системы управления.

Согласно приказу ФСБ, организации должны направить на адрес электронной почты monitoring@fsb.ru информацию о доменных именах и внешних сетевых адресах своих информационных ресурсов, а также об изменениях таких имён и адресов электронной почты. Мониторинг защищённости осуществляется непрерывно и включает в себя сбор и анализ сведений и документов об используемых информационных ресурсах; выявление функционирующих сервисов и обнаружение уязвимостей; оценку защищённости систем. Выявление работающих ресурсов и поиск потенциальных проблем осуществляются удалённо без предварительного уведомления организаций о начале проведения работ.[11]

ФСТЭК призывает госорганы и банки отключить доступ к корпоративной почте через зарубежные IP

21 марта 2023 года стало известно о рекомендациях в части информационной безопасности, которые Федеральная служба технического экспортного контроля (ФСТЭК) субъектам безопасности критической информационной инфраструктуры (КИИ — госорганы, связь, финансы, ТЭК, операторы связи и т. п.).

В частности, как пишет «Коммерсантъ» со ссылкой на презентацию ФСТЭК, ведомство призывает отключить удаленный доступ к критичным узлам и сетям, запретить open relay (серверы, позволяющие бесконтрольно пропускать через себя почту), а также взаимодействие через электронную почту с иностранными IP-адресами.

Объектам КИИ рекомендуется отключить удаленный доступ к критичным узлам, запретить open relay и взаимодействие через почту с иностранных IP

ФСТЭК пояснила, что эти меры позволят дополнительно защитить почтовые системы значимых компаний в РФ, относящихся к КИИ. Также ФСТЭК напомнила о необходимости записи действий всех привилегированных пользователей в ИТ-системах объектов КИИ для борьбы с возможными «внутренними нарушителями», включая тех, кто обеспечивает технологические процессы компаний в рамках аутсорса или привлечённых к работам сторонних сотрудников из других отделов.

В «Информзащите» назвали неплохой практикой отключение прямого удаленного доступа к управляющим интерфейсам и запрет open relay. Ограничение зарубежных адресов — мера, которую уже применили и госучреждения без особых негативных последствий для себя, но применять такую практику для субъектов КИИ не всегда возможно, поскольку компании могут взаимодействовать с контрагентами, которые используют зарубежные IP-адреса, отметили в компании.

Предложенные ограничения распространяются не на все компьютеры субъекта КИИ, а лишь на те, которые входят в критическую инфраструктуру, уточнил руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский. Он считает чрезмерным запрет на взаимодействие с иностранными IP-адресами, так как их принадлежность регулярно меняется. Субъектам КИИ придется каждый раз проверять, кому принадлежит IP-адрес почтового сервера корреспондента, уточняет эксперт.[12]

ФСТЭК объяснила, что делать, если у владельца КИИ нет денег на ИБ-систему для обеспечения её защиты

По итогам проведённых мероприятий госконтроля ФСТЭК выявила типовые проблемы в области защиты значимых объектов критической информационной инфраструктуры. О них 15 марта 2023 года рассказала начальник управления ФСТЭК России Елена Торбенко на мероприятии, посвящённом информационной безопасности АСУ ТП критически важных объектов.

К значимым объектам КИИ, напомним, относятся такие объекты КИИ, которым присвоена одна из категорий значимости, и они включены в соответствующий реестр, который ведёт ФСТЭК.

Нехватка денег для создания системы безопасности значимых объектов КИИ - нередкая проблема

По словам Елены Торбенко, финансовая проблема по созданию системы безопасности значимых объектов КИИ – одна из основных. Вместе с тем, когда объекту присваивается категория значимости в 2019-2020 гг., а в 2023 году ФСТЭК видит, что создание подсистемы защиты информации запланировано лишь на 2024-2025 гг., – это халатность, сказала представитель регулятора.

Невыполнение требований законодательства – это ответственность. Хорошо, если административная. А если произойдёт инцидент по данному вопросу, то это будет уже уголовная ответственность.

«
Не нужно сейчас спихивать задачу – «это был не я, это было до меня, у нас нет финансирования». Если вы не можете реализовать технические меры, то нужно что-то компенсирующее – организационные меры. Они не требуют существенных затрат, - отметила Елена Торбенко.
»

Если, например, в организации в промышленной системе, у которой жизненный цикл 5-10 лет, не могут реализовать те или иные меры, к примеру, установить туда антивирус, то следует применить организационную меру: оставить какое-то промежуточное место, где будет проводиться соответствующая проверка носителей информации, которые работают в значимой системе, в промышленном объекте, пояснила представитель ФСТЭК.

Или, если в организации не могут поставить парольную политику и разделение ролей, это можно сделать организационно, классически – журналированием.

«
Большинство этих организационных, «нулевых», как мы называем, мер уже реализованы в рамках ваших мер по промышленной безопасности. Просто примените их в своём значимом объекте, задокументируйте и живите спокойно, - рекомендовала начальник управления ФСТЭК России. – Но, тем не менее, создать подсистему нужно, в том числе с учётом тех организационных мер, которые вы можете применять в своих значимых объектах.
»

Другая основная выявленная проблема в том, что фактический состав таких объектов не соответствует тому, что субъекты КИИ предоставили в ФСТЭК ранее. Сведения о них не обновляются. Это ведёт к тому, что ни ФСТЭК, ни НКЦКИ зачастую не могут вовремя предупредить субъекты КИИ о проблемах, угрозах и опасностях, которые возникают в нынешней ситуации.

Следующей распространённой проблемой является то, что технологические объекты подключаются к корпоративным системам, и формально в организации считают, что выхода в интернет нет, однако корпоративная система зачастую без применения дополнительных средств защиты информации взаимодействует с интернетом.

«
Минимальная защита на периметре вашего значимого объекта КИИ, минимальные средства защиты и меры на периметре вашей корпоративной системы приводят к тому, что нарушитель может спокойно действовать в ваших системах. Статистика показывает, что до проявления нарушителя в системе он может находиться там до нескольких месяцев, - отметила представитель ФСТЭК.
»

Что касается выполнения правил категорирования значимых объектов КИИ, тут ФСТЭК указывает на то, что при категорировании зачастую не учитывается взаимодействие таких объектов с другими объектами. В организациях часто забывают, что один объект может зависеть от другого в своём функционировании. В итоге в ФСТЭК сталкиваются с тем, что зависимые объекты имеют разную категорию, что также несёт в себе угрозы безопасности.

А в некоторых организациях поступают так: разбивают свои объекты КИИ на отдельные небольшие подсистемы, пытаясь исключиться из реестра значимых объектов КИИ. Но это не пройдёт, заверила Елена Торбенко. От тех, кто так поступает, регулятор требует обосновать взаимодействие этих объектов.

Кроме того, имеет место занижение ущерба, который может повлечь прекращение или нарушение функционирования значимых объектов КИИ. К данной проблеме в ФСТЭК привлекают экспертов из других министерств, чтобы они помогли разработать необходимые методики и рекомендации.

Количество кибератак через подрядчиков выросло в 2 раза. Национальный центр по компьютерным инцидентам – о главных трендах 2022 года

В Национальном координационном центре по компьютерным инцидентам (НКЦКИ) констатируют, что на обстановку в российском информационном пространстве в 2022 году существенное влияние оказывало проведение СВО на территории Украины. Против России была развёрнута «беспрецедентная по масштабам» киберкампания, основными целями которой является выведение из строя информационной инфраструктуры и несанкционированный доступ к ИТ-системам организаций и предприятий различных отраслей критической информационной инфраструктуры РФ. Замдиректора НКЦКИ Николай Мурашов на отраслевом мероприятии 7 февраля резюмировал ключевые тенденции в области киберугроз за 2022 год.

Количество компьютерных атак на объекты российской информационной инфраструктуры в 2022 году увеличилось в разы. При этом отмечается увеличение и скорости реализации угроз: с момента появления сведений об угрозах – например, публикации сведений об уязвимостях – до практической реализации иногда проходит всего несколько часов.

Повышается доступность хакерского инструментария: на специализированных ресурсах регулярно публикуются исходные коды программных средств проведения атак, а также подробные сведения о компьютерных инцидентах для их дальнейшего анализа.

В 2022 году против России была развёрнута «беспрецедентная по масштабам» киберкампания, отмечают в НКЦКИ

Имеют место «политизированные недружественные действия» международного киберсообщества. Так, международное сообщество для реагирования на киберугрозы FIRST (Forum of Incident Response and Security Teams) прекратило работу с российскими центрами реагирования на компьютерные инциденты. Это решение подтверждает высказанную ранее НКЦКИ озабоченность о декларативном характере подхода некоторых стран к решению задачи по созданию мирной, стабильной и защищённой ИКТ-среды, считает Николай Мурашов.

В 2022 году увеличилось количество атак через цепочку поставщиков: это и интеграторы, и производители средств защиты, поставщики услуг и другие деловые партнёры. Количество атак через подрядчиков за год выросло в 2 раза, по имеющейся в распоряжении НКЦКИ информации. Получив доступ к инфраструктуре подрядчика, злоумышленники оказываются внутри целевой системы.

В 2022 году фиксировались массированные атаки на корневые DNS-сервера, отключение провайдеров от крупных магистральных каналов, встраивание вредоносного ПО в широко используемые элементы веб-страниц, а также появление вредоносного кода в обновлениях ПО – как свободно распространяемого, так и коммерческого.

Особенностью DDos-атак последних месяцев стало по-настоящему большое количество их участников. В кратчайшие сроки были сформированы Telegram-каналы, в которых проводилась агитация обычных людей, инструктаж участников, координация целеуказания, а также распространялись элементы проведения атак.

При этом большой объём DDoS-атак явился прикрытием для более серьёзных воздействий. Немало компьютерных атак было направлено на хищение информации из систем организаций и выведения из строя технологических процессов.

Одним из трендов стали атаки с использованием шифровальщиков для получения выкупа. В качестве целей злоумышленники выбирали платёжеспособные организации, в которых шифрование данных может нарушить функционирование основных бизнес-процессов. Поэтому они проявляли интерес к крупным компаниям, в том числе к промышленным предприятиям.

Большое внимание злоумышленники уделяют атакам, которые могут иметь значительный общественный резонанс, публикуется много утечек данных. В то же время, отмечают в НКЦКИ, в погоне за инфоповодом и общественным резонансом злоумышленники часто выдают сведения из ранее произошедших утечек за новые, делают компиляции из данных, полученных из публичных источников. Нередки случаи, когда взлом небольших организаций выдаётся за утечку из ключевых государственных систем или объектов критической информационной инфраструктуры. Тем самым поднимается якобы значимость произошедшего события, говорит Николай Мурашов.

Отдельно в НКЦКИ отмечают угрозы, связанные с возможным нарушением работы средств защиты информации. Прекращение их поддержки производителями, массовый отзыв сертификатов и другие ограничения могут оказывать негативное влияние на функционирование российского сегмента интернета.

Для повышения эффективности противодействия обострившимся угрозам ИБ необходима активизация и консолидация сил и технических средств субъектов критической информационной инфраструктуры, отметил Николай Мурашов.

В НКЦКИ также привели статистику по присоединениям к системе ГосСОПКА: к ней присоединились 1277 новых участников, а общее их количество теперь превышает 3,5 тыс.

Владельцы критических для России ИТ-систем наступают на старые грабли. ФСТЭК назвала типовые ошибки в безопасности

В 2022 году представители ФСТЭК в рамках мероприятий по реализации субъектами КИИ мер защищённости своих объектов осуществили выезды к более чем 700 организациям. По итогам представители регулятора увидели «неутешительные результаты», заявила на отраслевой конференции 7 февраля 2023 года начальник управления ФСТЭК России Елена Торбенко.

Ряд проблемных вопросов, актуальных уже несколько лет, остаются нерешёнными. Среди организаций в различных сферах были выявлены типовые ошибки, создающие возможность реализации угроз безопасности объектов КИИ. Представитель ФСТЭК их озвучила.

По итогам контрольных мероприятий ФСТЭК выявила типовые ошибки в области защиты объектов КИИ (фото - securitylab.ru)

Прежде всего, на компонентах значимых объектов КИИ в периметре организации выявляется ПО, в котором присутствуют уязвимости критического уровня опасности, которые могут быть проэксплатированы в том числе за счёт уязвимостей архитектуры системы.

«
Анализ защищённости субъектами КИИ не проводится, - говорит Елена Торбенко. – Коллеги, если у вас нет своих специалистов и ресурсов, за счёт которых вы могли бы это произвести, допускается привлечение лицензиатов, т.к. анализ защищённости периметра – это анализ той системы, с которой сталкивается нарушитель в первую очередь. Если вы там оставляете «дыры», вы оставляете открытую дверь для захода нарушителя в вашу систему.
»

Кроме того, ФСТЭК всё ещё сталкивается с тем, что на значимых объектах, в том числе на используемых для них средствах защиты информации, стоят пароли по умолчанию. Т.е. софт закуплен, установлен, и в нём остались предустановленные пароли. Это также по сути является приглашением для нарушителя проэксплуатировать уязвимость.

Те меры, которые реализует субъект КИИ, в ряде случаев являются формальными: они недостаточны для того, чтобы обеспечить полноценную защиту значимых объектов. При этом в случае невозможности реализации тех или иных мер на значимых объектах не применяются компенсирующие меры, говорит представитель ФСТЭК. Регулятор сталкивается с тем, что антивирусная защита не устанавливается в информационных компонентах. И там, где в системах автоматизированного управления невозможно установить антивирус, не реализуются дополнительные меры проверки носителей, которые есть.

Ещё одна типовая ошибка – использование неучтённых носителей информации, которые могут являться разносчиками вредоносного ПО в системах организации. И случаи шифрования промышленных систем уже встречаются в практике.

Некоторые субъекты КИИ также не считают целесообразным делать разграничение прав доступа к системам, привела ещё один пример Елена Торбенко. Соответственно, рядовой оператор может сделать всё что угодно из-под своей учётной записи, например, вывести объекты КИИ во внештатный режим функционирования.

Остаётся проблемой и взаимодействие с цепочкой поставок – т.е. с теми, кто обслуживает системы субъектов КИИ как в плане обеспечения безопасности, так и их штатного функционирования. В некоторых случаях полностью отсутствует контроль за такой внешней организацией, в договорных отношениях не предусматриваются вопросы того, что поставщики должны выполнять требования законодательства и также обеспечивать безопасность объектов КИИ.

«
И я уже не говорю о таких классических нарушениях, как контроль машинных носителей, отключение неиспользованных USB-портов и т.д. – то есть тех мерах, которые с незапамятных времён применяются в информационных системах, - добавила Елена Торбенко.
»

Представитель ФСТЭК также сообщила, что в 2022 году субъекты КИИ продолжали деятельность по определению своих ИТ-объектов, как объектов КИИ, отнесению их к значимым и созданию для них систем обеспечения безопасности. За 2022 год количество объектов, отнесённых к значимым, увеличилось более чем в два раза по сравнению в 2021-м, по данным ФСТЭК.

2022

Количество кибератак на госсектор России выросло в несколько раз

В 2022 году число атак на российский государственный сектор увеличилось примерно вдвое-втрое относительно показателя годичной давности. Об этом «Ведомостям» рассказал аналитик данных центра мониторинга кибербезопасности IZ:SOC компании «Информзащита» Шамиль Чич (публикация вышла 16 января 2023 года). Подробнее здесь.

ФСТЭК разработала методику оценки кибербезопасности для госорганов

Федеральная служба технического экспортного контроля (ФСТЭК) разработала новую методику оценки степени информационной безопасности в госорганах и организациях с госучастием, а также в компаниях,обладающих критически важной информационной инфраструктурой (КИИ; это банки, операторы связи, представители ТЭК и т. п.). Об этом стало известно 23 ноября 2022 года. Подробнее здесь.

Почти половина российских ведомств подверглись кибератакам

За 12-месячный период, конец которого пришелся на июнь 2022 года, с кибератаками столкнулись почти половина (46,6%) российских ведомств. Причем в 15% случаев нападения хакеров были неоднократными. Об этом сказано в обнародованном в середине сентября 2022 года исследовании Центра подготовки руководителей и команд цифровой трансформации РАНХиГС.

Согласно отчету, выдержки из которого приводят «Ведомости», 69,6% атак на госорганы было совершено при помощи вирусов и программ-вымогателей, которые в основном проникают через корпоративную почту либо вредоносные сайты. 51,1% опрошенных назвали DoS- и DDoS-атаки, 46,7% — фишинговые атаки, 38% — атаки на корпоративную сеть и взлом паролей, 30,4% — утечку данных и несанкционированный доступ.

С кибератаками столкнулись почти половина (46,6%) российских ведомств

Основными мишенями правонарушителей в 73,9% случаев были сайты и веб-приложения ведомств. Такой процент объясняется тем, что в настоящее время большинство сотрудников и клиентов взаимодействуют через цифровые сервисы.

Не подвергались кибератакам только 31,9% госорганизаций. В каждой пятой организации затруднились ответить на этот вопрос.

В опросе приняли участие 302 госслужащих разного уровня из 75 регионов и всех федеральных округов. Это были респонденты с разным должностным статусом – от руководителей цифровой трансформации и руководителей высшего звена до рядовых сотрудников. В центре уточнили, что участники опроса были сегментированы по уровню ИТ-компетенций и ряд вопросов был задан только профильным специалистам (92 человека).

По оценке технического директора АО «Синклит» Луки Сафонова, процент атак на российский госсектор гораздо выше.

«
Я думаю, около 90% российских ведомств и структур за последнее время были атакованы — как школьниками, настроенными против России, так и зарубежными хакерами, — сказал Сафонов в середине сентября 2022 года. Он добавил, что около около 10% атак могли быть успешными.[13]
»

В Сбере заявили, что против России ведётся организованная кибервойна

В текущих реалиях особое значение приобретает софт в сфере кибербезопасности, «ведь прямо сейчас против России ведётся организованная кибервойна, целью которой является вывод из строя всей критической инфраструктуры страны», заявил в начале сентября 2022 года заместитель Председателя Правления Сбербанка Станислав Кузнецов.

Станислав Кузнецов: «На всех системах кибербезопасности в России должны использоваться исключительно отечественные разработки»
Иллюстрация: g2.dcdn.lt

По его мнению, на значимых объектах критической инфраструктуры страны уже к 2025 году должны применяться только российские решения. Что касается систем кибербезопасности, то в них необходимо использовать исключительно отечественные разработки, независимо от их масштаба.

По словам Станислава Кузнецова, в этом отношении сделано уже много, но две области требуют особого внимания и подключения государственных институтов — это защита облаков и защита высоконагруженных систем, потому что для крупных компаний российских конкурентоспособных решений здесь всё еще нет.

«
В основе противостояния киберпреступникам находятся центры киберзащиты, и как раз они должны в первую очередь иметь отечественный софт. В Сбере такой центр есть, и в нём на 90% — разработки Сбера. Однако в стране в целом пока таких центров немного — мы насчитали всего пять. Хотелось бы, чтобы их было значительно больше, — отметил топ-менеджер банка.
»

Как он добавил, Сбербанк ощущает на себе влияние кибервойны: за последний квартал Сбер выдержал около 450 DDoS-атак, и 350 отразили его дочерние компании. Это столько же, сколько за последние пять лет. Основная активность преступников сосредоточена на трёх направлениях: сетевые атаки, фишинг и телефонное мошенничество. Противостоять таким действиям позволяют технологические решения, включая создание библиотеки голосов преступников, что позволяет успешно бороться с телефонным мошенничеством.

Так, у Сбера есть несколько разработок в сфере кибербезопасности. Среди них система — антифрода, которая позволяет предотвращать 99% телефонного мошенничества, и система анализа киберугроз. И банк готов делиться такими системами, подчеркнул Станислав Кузнецов.

«
В области кибербезопасности нам остаётся всего два года, чтобы сделать ещё один рывок и обеспечить собственными разработками защиту всего периметра государства. Критическая инфраструктура используется крупнейшими компаниями страны, и очень важно иметь надёжную защиту, ведь в условиях кибервойны любые ошибки и неконкурентные решения могут привести к катастрофическим последствиям. И важно не просто объединять усилия — должна быть более активная роль государства, — убежден заместитель Председателя Правления Сбербанка.
»

По мнению Станислава Кузнецова, чтобы успешно решить задачу перехода на отечественное ПО, необходим единый орган управления, а также единые правила и требования, единые процессы, которые распространяются и на государство, и на бизнес. Ещё одна чувствительная тема — подготовка кадров. Здесь без государства не обойтись, поскольку именно в государстве формируется заказ на кадры. По состоянию на начало сентября 2022 года в стране работает порядка 5 тыс. специалистов в сфере кибербезопасности, а необходимо — в 20 раз больше.

Топ-менеджер Сбера также добавил, что недостаточно просто иметь реестр российских решений — нужно понимать, какие из них действительно можно использовать и в каких сегментах бизнеса. Требуется аудит этих решений, чтобы понять, на каком этапе мы находимся и что необходимо сделать. И подобная работа должна проводиться под зонтиком государственных институтов.

Представитель Сбера также обратил внимание на ситуацию с телефонным мошенничеством. С одной стороны, уровень киберграмотности населения растёт, и люди всё реже раскрывают аферистам конфиденциальную информацию о своих счетах. С другой стороны, важно противостоять этому в том числе законодательно. Прежде всего, необходимо пресекать всё ещё существующую практику предоставления подмены номеров без паспортных данных, которой по-прежнему грешат некоторые региональные телеком-компании, тем самым помогая преступникам обманывать граждан.

Минцифры создает реестр недопустимых кибернарушений

23 августа 2022 года стало известно о решении Минцифры РФ запустить реестра недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ).

В реестр сначала внесут опасные для ИТ-сферы сценарии, которые компаниям «нельзя допускать ни при каких условиях». Эти угрозы должны выявлять аудиторы вместе с главами оцениваемых организаций, рассказал «Коммерсанту» осведомленный источник.

Министерство цифрового развития, связи и массовых коммуникаций РФ создает реестр недопустимых кибернарушений

Компании также должны будут определить, какие из событий могут быть для них характерны и сообщат об этом правительству. По словам другого собеседника издания, после этого проведут мониторинг отсутствия появления таких нарушений кибербезопасности.

Информацию о создании реестра недопустимых событий в области кибербезопасности газете подтвердили в Минцифры. Там рассказали, что рамках указа президента ряд организаций и органов должны были провести анализ защищенности и представить отчет в правительство. Проделанная работа показала, что неприемлемые события нужно систематизировать. В Минцифры уточнили, что реестр будет готов до конца 2022 года.

Независимый эксперт по кибербезопасности Алексей Лукацкий рассказал, что сейчас компании направляют в Минцифры абстрактные формулировки о рисках безопасности, за которыми не стоит понимание проблемы. По его словам, в случае с реестром появится возможность «показать наглядно, от чего каждая компания должна защититься». Эксперт уверяет, что важен не просто список, а «верификация каждого события, его демонстрация».

По его словам, ответственные руководители компаний должны понимать, к примеру, что возможна остановка оборудования, какой убыток понесет предприятие и что ему нужно сделать, чтобы этого не произошло.

«
Тогда реестр станет точкой отсчета при оценке уязвимости компаний из всех сфер, — сказал Лукацкий. [14]
»

Китайские хакеры атаковали российские оборонные предприятия

Китайскоязычная кибергруппа атакует оборонные предприятия и госорганы в России, странах Восточной Европы и Афганистане. Об этом 8 августа 2022 года сообщила «Лаборатория Касперского».

Всего в ходе расследования специалисты выявили атаки на более чем дюжину организаций. Предположительно, целью злоумышленников был кибершпионаж. Эксперты предполагают, что выявленная серия атак, возможно, связана с деятельностью китайскоязычной кибергруппы TA 428. В ней применялись новые модификации известных ранее бэкдоров.

Атакующим удалось в ряде случаев полностью захватить ИТ-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма. В них содержалась внутренняя информация, не доступная в публичных источниках на момент её использования злоумышленниками, в том числе Ф. И. О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882 . Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление заражённой системой, от пользователя даже не требуется включать выполнение макросов.

В качестве основного инструмента развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.

«
Целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, — не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем. Предприятиям и государственным организациям необходимо быть начеку и проводить соответствующую работу по подготовке к отражению сложных целенаправленных угроз, — сказал Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.
»

Кибергруппировка APT31 атакует российский топливно-энергетический комплекс и СМИ

В апреле 2022 года специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа. Об этом представители Positive Technologies сообщили TAdviser 4 августа 2022 года. Подробнее здесь.

В России появился особый вид вредоносного ПО, угрожающий госучреждениям и промышленности

27 июля 2022 года специалисты компании Positive Technologies предупредили о появлении в России особого вида вредоносного ПО, которое угрожает госучреждениям и промышленности. Речь идет о так называемых буткитах, которые запускаются до загрузки операционной системы. Подробнее здесь.

Правительство РФ установило требования к топ-менеджерам, ответственным за кибербезопасность в госорганах и корпорациях

Как стало известно в конце июня 2022 года, Правительство РФ установило требования к топ-менеджерам, ответственным за кибербезопасность в государственных органах и корпорациях. Положения разработаны по указу президента РФ Владимира Путина, согласно которому ответственность за киберриски ложится на заместителей руководителей предприятий.

Как пишет «Коммерсантъ» со ссылкой на правительственный документ, ответственный за обеспечение информационной безопасности обязан иметь высшее профильное образование «не ниже специалитета или магистратуры» или пройти профпереподготовку. Кроме этого, он должен понимать «влияние информационных технологий на работу организации», способы построения информационных систем, включая ограничение доступа, обеспечение безопасности внутренних сетей компании. Специалист должен быть знаком с «основными угрозами кибербезопасности, предпосылками их возникновения и возможными путями их реализации», а также их последствиями.

Правительство РФ установило требования к топ-менеджерам, ответственным за кибербезопасность в госорганах и корпорациях

Представители Group-IB и InfoWatch в разговоре с газетой пояснили, что фактически в новых требованиях описаны ИБ-эксперты с практикой и экспертизой, наработанными годами, которых в стране сейчас не так и много, а обучение текущих руководителей займет много времени и средств финансирования, которые должны были быть заложены еще в прошлом году. Так как это сделано не было, то госструктурам придется изыскивать ресурсы на подготовку руководства в срочном порядке из других статей расходов. Но даже в этом случае процесс обучения может затянуться или прерваться, если сотрудник уволится, а компании придется искать новые кадры ему на замену.

Требования типового положения потребуют затрат, в частности, на мероприятия по анализу и оценке состояния информбезопасности организации, отметил директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин. [15]

Мишустин утвердил список организаций, которым необходимо провести аудит защищённости своих ИТ-систем

В июне 2022 года премьер-министр Михаил Мишустин подписал распоряжение № 1661-р. Этим документом председатель Правительства РФ утвердил список организаций, которым необходимо провести аудит защищённости своих ИТ-систем.

В перечень вошли Минздрав, Минобрнауки, Минпромторг, Минтранс, Минфин, Минцифры, Минэнерго, МЧС, ФНС, Росреестр, казначейство, ФФОМС, правительство Москвы, правительство Санкт-Петербурга и ещё 58 ключевых организаций в различных сферах деятельности.

Мишустин утвердил список организаций, которым необходимо провести аудит защищённости своих ИТ-систем

Перечисленным ведоствам и компаниям необходимо осуществить мероприятия по оценке уровня защищённости своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России. Результаты аудита направят в правительство, информация будет учитываться при разработке мер обеспечения безопасности информационных ресурсов РФ, поясняли в министерстве.

В июне 2022 года Минцифры РФ опубликовало типовое техническое задание на выполнение работ по оценке уровня защищённости информационной инфраструктуры. Ведомство указано на необходимость решить следующие задачи:

  • выявление и консолидация стратегических рисков (недопустимых событий) информационной безопасности;
  • выявление уязвимостей информационной инфраструктуры, которые могут быть использованы внешними и внутренними нарушителями для несанкционированных действий, направленных на нарушение свойств конфиденциальности, целостности, доступности обрабатываемой информации, а также технических средств обработки информации, в результате которых может быть нарушен их штатный режим функционирования, что приведёт к недопустимым событиям;
  • выявление недостатков применяемых средств защиты информации и программных продуктов, а также оценка возможности их использования нарушителем;
  • проверка практической возможности использования уязвимостей (на примере наиболее критических);
  • получение оценки текущего уровня защищённости на основе объективных свидетельств;
  • разработка маршрутной карты модернизации информационной инфраструктуры.

С перечнем ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем, можно ознакомиться здесь.

Администрация президента: 90% инфраструктуры госсектора России подверглось кибератакам

С момента начала российской спецоперации на Украине (24 июня 2022 года) около 90% инфраструктуры государственного сектора РФ столкнулись с кибератаками в той или иной степени. Об этом 16 июня 2022 года заявила начальник управления Администрации президента РФ по развитию информационно-коммуникационных технологий и инфраструктуры связи Татьяна Матвеева. Подробнее здесь.

Обнаружена кибергруппировка, атакующая госсектор, электроэнергетику и авиационно-космическую отрасль в России

17 мая 2022 года компания Positive Technologies сообщила, что ее экспертный центр безопасности (PT Expert Security Center, PT ESC) обнаружил очередную киберпреступную группировку. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии - одну, а точное число пострадавших в Монголии пока неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, - госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей. Подробнее здесь.

Владимир Путин потребовал усилить меры в области ИБ и создать госсистему защиты информации

Президент РФ Владимир Путин во время трансляции совета безопасности РФ 20 мая 2022 года сказал, что страна находится под постоянными кибератаками, которые скоординированы и наносятся из разных стран. По его словам, это делают не хакеры-одиночки, а государственные структуры. Он напомнил, что в состав армий отельных стран входят кибервойска.

В связи с чем, Владимир Путин предложил усилить меры по защите цифрового пространства и создать в России государственную систему защиты информации.

Владимир Путин предложил создать государственную систему защиты информации. Фото - ТАСС
«
Считаю целесообразным рассмотреть вопрос о создании государственной системы защиты информации. Жду от вас также конкретных предложений о том, какие дополнительные шаги должны быть предприняты для обеспечения устойчивой работы информационной инфраструктуры в органах власти и госуправления, - сказал Владимир Путин на заседании Совбеза РФ.
»

По его словам, важно минимизировать риски утечек конфиденциальной информации и персональных данных граждан, а также усовершенствовать механизмы защиты критически важных объектов, от которых напрямую зависят обороноспособность страны, стабильное развитие экономической и социальной сферы. Действия госструктур в области ИБ должны координироваться на стратегическом уровне, а руководители организаций будут лично отвечать за исполнение предписанных мер.

Одним из главных шагов президент назвал переход на отечественные «железо» и ПО. Причем, по его словам, нужно не только копировать существующие западные решения, но и создавать собственные.

«
Сегодня можно сказать, что киберагрессия против нас, как и в целом санкционный наскок на Россию, провалились. В целом мы были готовы к этой атаке, и это результат той системной работы, которая велась все последние годы, - сказал Владимир Путин.
»

Владимир Путин отметил, что одним из инструментов санкционного давления на Россию стали ограничения на зарубежные информационные технологии, программы и продукты. Ряд западных поставщиков в одностороннем порядке прекратили техническую поддержку в России своего оборудования. Участились случаи ограничения работы или даже блокировки программ после их обновления. По его словам, это нужно учитывать при использовании российскими компаниями, органами власти и управления ранее установленных и внедрении новых иностранных информационных технологий и продуктов.

Задачи Комментарии президента РФ Владимира Путина
Усовершенствовать и донастраивать механизмы обеспечения информационной безопасности отраслевых критически важных объектов, от которых напрямую зависит обороноспособность страны, стабильное развитие экономики и социальной сферы До сих пор на трети подобных объектов нет структурных подразделений по защите информации. Между тем, такие подразделения должны быть созданы максимально оперативно, а в их состав включены профильные специалисты, которые хорошо знают отраслевую специфику. При этом координация действий всех структур обеспечения информационной безопасности критически важных объектов должна быть закреплена на стратегическом уровне, а персональная ответственность за решение данных вопросов согласно положению Указа № 250 возложена на руководителей организаций.
Повысить защищенность информационных систем и сетей связи в государственных органах. Проведенные в 2021 году проверки показали, что большинство действующих там ресурсов уязвимы для массированных атак, для деструктивного внешнего воздействия, тем более при использовании зарубежных технологий последнего поколения Нужно укреплять оборону отечественного цифрового пространства – здесь не должно быть слабых мест. Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в том числе за счет более строгого контроля правил использования служебной техники, коммуникаций, связи. Необходимо рассмотреть вопрос о создании государственной системы защиты информации. Президент ждет от участников совбеза конкретных предложений о том, какие дополнительные шаги должны быть предприняты для обеспечения устойчивой работы информационной инфраструктуры в органах власти и госуправления.
Кардинально снизить риски, связанные с использованием зарубежных программ, вычислительной техники и телекоммуникационного оборудования. Правительству необходимо за максимально короткое время создать современную российскую электронную компонентную базу. Нужно разработать и внедрить для этого отечественное технологическое оборудование, в том числе необходимое для производства программно-аппаратных комплексов. Часть работы уже выполнена: создан национальный кризисный штаб по предупреждению целевых компьютерных атак. В каждом федеральном округе образованы комиссии по информационной безопасности при полномочных представителях президента России.

Мишустин утвердил порядок проведения эксперимента по повышению уровня защиты ГИС

В середине мая 2022 года премьер-министр Михаил Мишустин подписал постановление, которым утвердил проведение эксперимента по повышению уровня защищенности государственных информационных систем (ГИС) федеральных органов исполнительной власти (ФОИВ) и подведомственных им учреждений.

Как следует из документа, эксперимент будет проводить Минцифры с 16 мая 2022 года по 30 марта 2023 года в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика». Целью эксперимента будет являться оценка уровня защищенности ГИС, инвентаризация систем защиты, а также выявление недостатков в инфраструктурных, архитектурных и организационных решениях. В результате планируется разработать перечень мер по нейтрализации уязвимостей ГИС.

Мишустин утвердил порядок проведения эксперимента по повышению уровня защиты ГИС

Как рассказали ТАСС в пресс-службе Минцифры, в рамках эксперимента ФОИВ или их подведомственные учреждения смогут подать заявку на проведение работ по повышению защищенности ГИС.

«
Минцифры с привлечением ведущих коммерческих компаний в сфере информбезопасности проведет мероприятия, которые позволят оценить текущий уровень защищенности ГИС, проверить практическую возможность использования уязвимостей, выявить недостатки в системе защиты ГИС, - пояснили в пресс-службе ведомства.
»

По итогам эксперимента Минцифры, совместно с ФСБ России и Федеральной службой по техническому и экспортному контролю России, разработает и предоставит участникам эксперимента рекомендации по нейтрализации уязвимостей ГИС.

Кроме того, Минцифры должно будет:

  • обеспечить заключение соглашений о взаимодействии и организовать выполнение работ по повышению уровня защищенности ГИС участников эксперимента;
  • осуществить контроль за ходом устранения выявленных в рамках эксперимента недостатков (уязвимости). [16]

Путин подписал указ о создании отделов кибербезопасности в медорганизациях

В начале мая 2022 года президент России Владимир Путин подписал указ о создании отдельной кибербезопасности на объектах критической информационной инфраструктуры (КИИ), включая учреждения здравоохранения. Возглавить такие структуры должен один из заместителей руководителя организации. Его обязанности, а также функции отдела правительство утвердит в течение месяца.

Согласно документу, отделы кибербезопасности обязаны сотрудничать в ФСБ, обеспечить сотрудникам службы беспрепятственный доступ (в том числе удаленный) к информационным ресурсам для мониторинга, выполнять их указания, данные по итогам проверки.

Путин подписал указ о создании отделов кибербезопасности в медорганизациях

С 1 января 2025 года при обеспечении кибербезопасности учреждениям здравоохранения и другим объектам КИИ запрещено применять средства защиты данных, изготовленные в недружественных странах. Под запрет попадает также оборудование фирм, которые находятся под прямым или косвенным контролем недружественной страны, аффилированных с ним.

Разъяснения по вопросам применения указа дадут Минфин и Центробанк, следует из указа. Правительству поручено в течение 10 дней утвердить перечень лиц, находящихся под санкциями, и определить дополнительные критерии отнесения сделок к запрещенным.

Активность киберпреступников в отношении медицинских учреждений неуклонно растет. К 2022 году медицина входит в тройку лидеров по количеству разного рода кибератак, уступая только правительственным учреждениям и промышленности, вытеснив из топа банки и финансовые компании.

Разнообразие информационных систем в разных лечебно-профилактических учреждениях (ЛПУ), которые могут быть государственными, частными и ведомственными, ведет к тому, что применяются разные подходы к защите информации. Часто защита систем в ЛПУ фрагментирована, что осложняет их киберзащиту.[17]

Создана межведомственная комиссия Совета безопасности РФ по обеспечению технологического суверенитета страны в сфере развития КИИ

Указом президента в России создана межведомственная комиссия Совета безопасности по обеспечению технологического суверенитета страны]] в сфере развития критической информационной инфраструктуры (КИИ). Об этом 25 апреля 2022 года сообщила компания ИВК. Основной задачей комиссии станет выработка мер по обеспечению безопасности КИИ. Подробнее здесь.

Positive Technologies: госорганы хуже всех защищены от кибератак

В России государственные органы хуже всех защищены от хакерских атак, считают в компании Positive Technologies, специализирующейся на технологиях информационной безопасности. Соответствующее заявление эксперты сделали в середине апреля 2022 года.

«
Федеральные министерства и ведомства показывают наименьшую степень готовности к кибератакам. Чиновники вынуждены сейчас жить в парадигме прошлого времени - сообщил директор по развитию бизнеса Positive Technologies в России Максим Филиппов.
»

В России государственные органы хуже всех защищены от хакерских атак, считают в компании Positive Technologies, специализирующейся на технологиях информационной безопасности.

По его словам, закупочные процедуры определены 44-ФЗ, 223-ФЗ. Для того чтобы приобрести какое-то средство защиты, которое к апрелю 2022 года стало как никогда актуальным, либо допустить на свои объекты экспертов для проведения ретроспективного расследования или перенастройки средств защиты, им необходимо пройти большое число тяжелых процедур. Они не успевают реагировать, а динамика и типы атак меняются поминутно. Если оперативно не обнаруживать и реагировать, то защищать будет нечего, считает Филиппов.

Также он указал на то, что государственные структуры и компании с госучастием выступают противниками информационного обмена с экспертами о прошедших кибератаках.

«
Госорганы боятся опубличивания этих инцидентов даже в кругу экспертных компаний. Это мне лично совсем не понятно. В нынешних условиях коллаборация с экспертами, которые сосредоточены на обеспечении безопасности инфраструктуры в киберпространстве, им нужна как воздух - добавил он.
»

Директор по развитию бизнеса Positive Technologies привел данные, согласно которым активность по кибератакам на компании и госорганы в РФ с конца февраля по середину апреля 2022 года выросла в 100 раз, при этом больше всего готовыми к кибератакам оказались банки, а менее всего - федеральные ведомства и компании с государственным участием.[18]

ФСТЭК создает систему для безопасной разработки ПО за 0,5 млрд рублей

16 февраля 2022 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) России объявил тендер на «создание унифицированной среды разработки безопасного отечественного программного обеспечения». Начальная (максимальная) цена контракта составляет 510 млн рублей. Подробнее здесь.

2021

Число уголовных дел из-за атак на госорганы и банки в России выросло втрое

В 2021 году в России завели 70 уголовных дел из-за кибератак и другого неправомерного воздействия на критическую информационную инфраструктуру (КИИ — ИТ-системы госорганов, банков, транспорта, топливной и атомной промышленности, энергетики и др.) против 22 годом ранее. Об этом свидетельствуют данные исследования InfoWatch, проведенного с использованием статистики МВД и данных ГАС «Правосудие». Подробнее здесь.

Более 90% атак высокопрофессиональных группировок направлены на объекты критической инфраструктуры

Абсолютное большинство (92%) кибератак, совершенных высокопрофессиональными злоумышленниками в 2021 году, было направлено на объекты критической информационной инфраструктуры (КИИ). Чаще всего внимание хакеров с высокой квалификацией – кибернаемников и проправительственных группировок – привлекали госорганизации, предприятия энергетики, промышленности и ВПК. Такие цифры 7 декабря 2021 года озвучил вице-президент «Ростелекома» по кибербезопасности, генеральный директор «Ростелеком-Солар» Игорь Ляпунов.

Всего, согласно исследованию «Ростелеком-Солар», в 2021 году было зафиксировано свыше 300 атак, реализованных профессиональными злоумышленниками, что на треть превышает показатели 2020 года. Большая часть атак была реализована группировками со средней квалификацией – киберкриминалом. Такие хакеры используют кастомизированные инструменты, доступное ВПО и уязвимости, социальный инжиниринг, а их основной целью является прямая монетизация атаки с помощью шифрования, майнинга или вывода денежных средств.

На высокопрофессиональные группировки пришлось 18% атак, совершенных в отчетный период. Такие киберпреступники используют сложные инструменты: самописное ПО, 0-day-уязвимости, ранее внедренные «закладки». Как правило, они нацелены на заказные работы, кибершпионаж, хактивизм, полный захват инфраструктуры, а их жертвами становятся крупный бизнес и объекты КИИ.

«
Такие атаки почти всегда являются таргетированными, поэтому сначала злоумышленники внимательно изучают атакуемую организацию. Причем кибернаемники и проправительственные группировки проводят разведку не только в отношении ИТ-периметра жертвы, но и в отношении ее подрядчиков, – отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Эти группировки хорошо знакомы с логикой работы базовых средств защиты информации, что позволяет им долгое время оставаться незамеченными. А ущерб от их действий может исчисляться сотнями миллионов рублей. Если же речь идет о КИИ, то возникают также риски, связанные с влиянием на экономику страны в целом, безопасность граждан и политическую ситуацию.
»

Ключевые техники, используемые профессиональными хакерами для взлома периметра, за год изменились незначительно. Фишинг по-прежнему занимает лидирующую позицию среди техник злоумышленников среднего уровня (60% атак), что объясняется его дешевизной и массовостью.

В 50% атак хакеры с высокой квалификацией эксплуатируют веб-уязвимости. Это связано с тем, что веб-приложения объектов КИИ и органов госвласти (например, корпоративные порталы или веб-почта) до сих пор слабо защищены и имеют огромное количество ошибок. Кроме этого, высокопрофессиональные злоумышленники чаще, чем киберкриминал, прибегают к атакам через подрядчика, рост числа которых наблюдается уже не первый год. Фишинг же, напротив, применяется ими только в 2% случаев. К наиболее популярным техникам взлома в 2021 году также добавилась эксплуатация уязвимостей в MS Exchange, которые были опубликованы в конце 2020 года.

Как и годом ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы. А для развития подавляющего числа атак – удаленные сервисы RDP, SMB, SSH. В частности, это связано с массовым переходом на дистанционный режим работы: компании стали активнее использовать эти протоколы, позволяющие организовать удаленный доступ к файлам и устройствам.

Минцифры проверит безопасность своих ГИС за почти 150 млн рублей

Минцифры готово заплатить за независимую проверку защищенности государственных информационных систем (ГИС), включая мобильные приложения, 149 681 625,9 рубля. Информация об этом появилась в конце октября на портале госзакупок. Победитель тендера будет определен в начале декабря 2021 года. Проверка ГИС должна завершиться 30 марта 2022 года.

В Министерстве на вопрос о цели проверки ГИС не ответили и не уточнили какие системы планируют проверять. Министерство само и через подведомственные структуры отвечает за более чем 30 ГИС, в том числе:

  • «Единый портал государственных и муниципальных услуг (функций)» (Портал Госуслуги);
  • «Единая система межведомственного электронного взаимодействия» (СМЭВ);
  • «Единая система идентификации и аутентификации» (ЕСИА);
  • «Государственная информационная система жилищно-коммунального хозяйства» (ГИС ЖКХ);
  • «Единая межведомственная информационно-статистическая система» (ЕМИСС);
  • «Федеральный портал государственной службы и управленческих кадров»;
  • «Единая система нормативной справочной информации» (ЕСНСИ);
  • «Официальный сайт Российской Федерации в информационно-телекоммуникационной сети «Интернет» для размещения информации о проведении торгов» (Портал Госпродаж)
  • «АИС «Управление ведомственной и региональной информатизацией»;
  • ИС «Независимый регистратор» и др.

Минцифры готово заплатить за независимую проверку защищенности ГИС. Фото - открытые источники

В России, в соответствии с положениями федерального закона №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации» за проверку и аттестацию ГИС отвечает ФСТЭК (Федеральная служба по техническому и экспортному контролю). Соответственно все требования к ГИС прописаны в Приказе ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Проведение собственных проверок ГИС органами государственной власти в законодательстве не регламентировано.

Бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий, комментируя тендер отметил, что бизнес регулярно проводит проверки информационных систем на уязвимости. В крупных международных компаниях плановые проверки систем защиты информации проводятся раз в полугодие, а иногда и раз в квартал. Государственные структуры из-за недостатка ИБ-бюджетов такие проверки проводят значительно реже, или даже вообще не проводят.

Практика регулярно проверять ГИС, по словам эксперта, в России появилась всего несколько лет назад. При обнаружении уязвимостей они чаще всего устраняются с помощью «патчей» или перенастроек систем ИБ. Если же речь идет о дефектах архитектуры, то формируется ТЗ на доработку системы ИБ.

По словам Алексея Лукацкого, цена услуг по поиску уязвимостей систем ИБ зависит от масштаба проверяемых ГИС и глубины анализа.

Обнаружена атакующая российские ТЭК и авиапром хакерская группировка

В конце сентября 2021 года стало известно о появлении новой хакерской группировки ChamelGang, которая замечена в атаках на критическую информационную инфраструктуру, в том числе в России. Подробнее здесь.

Как защитить критическую инфраструктуру. Обзор большой экспертной дискуссии

В рамках прошедшего в июне цифрового форума ITSF-2021 состоялась дискуссионная панель, посвящённая информационной безопасности критической инфраструктуры. Эксперты обсуждали широкий спектр вопросов, в числе которых были: практика реализации ФЗ-187, категорирование КИИ, импортозамещение, оценка ущербов при различных угрозах и многое другое. Модератором сессии выступил независимый эксперт по информационной безопасности Алексей Лукацкий. Подробнее здесь.

Миссия невыполнима: банкам смягчат условия перехода на отечественное ПО и оборудование

16 июля 2021 года рабочая группа по переходу финансовых организаций на отечественное ПО и оборудование при Комитете Госдумы по финансовому рынку получила от регуляторов одобрение нескольких предложений к проектам актов в сфере импортозамещения в финсекторе. Об этом на онлайн-встрече с прессой сообщил Анатолий Аксаков, глава Комитета Госдумы по финансовому рынку.

Импортозамещение в финсекторе, напомним, проводится в связи с поручениями президента в области обеспечения безопасности критической информационной инфраструктуры (КИИ).

Одним из критических вопросов, поднятых на заседании рабочей группы с участием регуляторов, стали сроки перехода субъектов КИИ в финсекторе на отечественное ПО и оборудование. Текущий срок обозначен 2023 годом, но банки неоднократно критиковали такой дедлайн, как вряд ли достижимый, и несколько раз просили сдвинуть сроки перехода вплоть до 2028 года.

Анатолий Аксаков рассказал, что, несмотря на пожелание банкиров, сроки все же будут достаточно жесткими. Однако удалось согласовать компромисс: получилось договориться с регуляторами об отлагательной ситуации, когда импортозамещение можно будет оттянуть и на срок позже 2023 года, если к этому времени у организаций-субъектов КИИ финсектора еще не истечет срок лицензий на уже использующееся импортное ПО или еще не подойдут сроки амортизации импортного оборудования.

Переходить на отечественный софт и оборудование российским банкам придется в жесткие сроки, но на более гибких условиях (фото - eprussia.ru)
«
Переход на отечественное ПО и оборудование означает очень большие затраты, потому что надо старое списать и по сути платить за лицензии, несмотря на то, что вы переходите на российский аналог. А сейчас нам разрешили дождаться срока окончания действия лицензий ПО и сроков списания оборудования по амортизации и потом переходить на российские аналоги. Это значит, что существенно будут снижены расходы банковской отрасли, что является значимым критерием для устойчивости банковской сферы в нашей стране, - говорит председатель рабочей группы, член Ассоциации банков России, председатель совета директоров «Киви Банка» Мария Шевченко. – Это сняло, наверное, основные противоречия между участниками.
»

Таким образом, несмотря на то, что срок перехода на отечественное ПО и оборудование для субъектов КИИ в финсекторе останется жестким, у банков будет больше гибкости при планировании. Банки-субъекты КИИ должны будут разработать планы перехода с учетом сроков действия лицензий ПО и амортизации оборудования, выбрав российские аналоги по согласованным с Банком России спискам.

Включение Банка России в процедуру импортозамещения как профильного регулятора стало еще одним важным достижением рабочей группы по итогам дискуссии. По словам Анатолия Аксакова, Банк России будет участвовать, в том числе, в отборе отечественного программного обеспечения, оборудования для финансовых институтов, для их последующего внедрения на финансовом рынке. На эти списки будут ориентироваться банки при составлении своих планов импортозамещения.

При этом, учитывая, что Банк России сам является субъектом реализации закона о безопасности КИИ, то есть он тоже должен будет внедрять отечественные решения, он будет очень внимательно относиться к тому, что предлагается финсектору, отметил Аксаков.

«
Мы благодарны Банку России за содействие в этом процессе, а также Минцифры за поддержку предложения. Это нововведение позволит синхронизировать процесс перехода на преимущественное импортозамещение в финансовом секторе с текущими требованиями к субъектам этого рынка, учесть их особенности и минимизировать возможные риски для финансовой системы, – говорит Мария Шевченко.
»

Кроме того, говорят в рабочей группе, были достигнуты договоренности о распространении требований по импортозамещению только для значимых объектов КИИ. А для тех, кто не имеет категорий значимости, положения будут носить рекомендательный характер. Это позволит сосредоточиться на важнейших для государства объектах.

Теперь осталось дождаться выхода документов которые легализовали бы достигнутые с регуляторами договоренности. Речь идет о проекте указа президента, проекте постановления правительства, в котором утверждаются требования к ПО и оборудованию и порядок перехода на преимущественное импортозамещение. Отдельно также есть постановление правительства №1236 с требованиями к ПО, подлежащему внесению в реестр российского ПО, и к нему по состоянию на июль также разрабатываются изменения: в частности, о том, чтобы упростить процесс включения в реестр отечественного ПО решения, разработанные самими банками. В рабочей группе ожидают, что документы будут готовы к осени 2021 года, а в силу вступят с марта 2022 года.

Число кибератак на критическую инфраструктуру РФ увеличилось на 150%

Число кибератак на критическую инфраструктуру РФ увеличилось на 150%. Об этом стало известно 12 июля 2021 года.

В 2020 году показатель тоже вырос, но всего на 40%. Шифровальщики в основном атаковали образовательную и научную сферы, а также промышленность. На них пришлось 30% от общего числа атак.

Российская компания Group-IB подсчитала, что 40% всех атак совершают «классические» киберпреступники. А вот остальные 60% приходятся на проправительственные агентства других государств.

На промышленные компании в большинстве случаев нападают вымогатели. Получается, что каждая крупная компания является потенциальной жертвой для киберпреступников. А сумма выкупов увеличивается.

Эксперты прогнозируют, что число кибератак в дальнейшем будем только увеличиваться, а суммы, запрашиваемые мошенниками, будут расти[19].

8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры

24 июня 2021 года компания Group-IB сообщила, что в среднем, 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры. В первой половине 2021 года, в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь 2019 год.

К проблемам с обслуживанием ИТ-инфраструктуры организаций приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент (процесс закрытия уязвимостей, благодаря своевременным обновлениям программного обеспечения), а значит они являются потенциальной мишенью для киберпреступников, сообщили в Group-IB.

На июнь 2021 года, по данным Group-IB Threat Intelligence & Attribution, суммарно 137 групп, из которых 122 киберкриминальных групп и 15 прогосударственных групп, нацелены на объекты критической инфраструктуры. Основная мотивация киберкриминальных групп по-прежнему финансовая, большую часть от их числа составляют «вымогатели», то есть хакеры, атакующие организации с целью выкупа за расшифровку данных. Целями проправительственных хакерских групп являются шпионаж, саботаж и диверсии. Group-IB приводит статистику: количество атак на объекты критической инфраструктуры в мире с 2019 года выросло в 12 раз.

За первые 6 месяцев 2021 года, 40% атак на объекты КИИ в России, были совершены киберкриминалом, 60% — прогосударственными атакующими.

Рос­сия и США хо­тят соз­дать эк­сперт­ную груп­пу по ки­бер­бе­зопас­ности с целью защиты КИИ от кибератак

Пре­зиден­ты России и США хо­тят соз­дать эк­сперт­ную груп­пу по ки­бер­бе­зопас­ности. Од­на­ко обе сто­роны уве­рены, что оп­по­нент со­бирает данные о пред­прия­тиях кри­тичес­кой ин­фраст­рук­ту­ры и со­вер­шает про­тив кол­лег ха­кер­ские ата­ки.

США неоднократно просили Россию прекратить хакерскую деятельность в отношении американских компаний. Однако и Россия не остается в долгу: тут уверены, что большинство хакерских атак на объекты критической инфраструктуры (КИИ) совершаются из США.

В Женеве 16 июня 2021 года состоялась встреча лидеров двух государств. Российский президент Владимир Путин перед встречей с президентом США Джо Байденом заявил, что вопрос кибербезопасности является одним из самых важных в глобальном масштабе.

«
"Потому что всякие отключения целых систем ведут к очень тяжелым последствиям. А это, оказывается, возможно", - заявил Владимир Путин в интервью на телеканале "Россия 1".
»

По итогам переговоров лидеры обсудили создание экспертной группы по кибербезопасности. Джо Байден заявил, что кибератаки не должны совершаться на объекты критической инфраструктуры.

«
"Мы договорились поручить проработать, какие цели не должны подвергаться кибератакам". Но, пообещал Джо Байден, если договоренности будут нарушены, США будут реагировать.
»

В ходе саммита Путин и Байден договорились начать консультации по этому направлению и привлечь экспертов для обсуждения вопросов защиты от хакерских атак. Джо Байден предложил список из 16 секторов инфраструктуры, против которых будут запрещены кибератаки.[20]

Каждая десятая ИТ-инфраструктура госорганов, банков и ТЭК в РФ заражена вирусом

В начале июня 2021 года стало известно о том, что каждая десятая ИТ-инфраструктура госорганов, банков, ТЭК, транспортных и оборонных учреждений заражена вирусом. Такие данные привели в компании «Ростелеком-Солар».

По словам экспертов, совершить успешную атаку на критическую информационную инфраструктуру могут даже хакеры низкой квалификации, а большая часть уязвимостей в таких сетях существует уже больше 10 лет.

Такую ситуацию специалисты объясняют тем, что процесс обновления ПО отсутствует в более чем 90% организаций, а среднее время установки обновлений составляет более 42 дней.

В России каждая десятая организация – субъект КИИ заражена вредоносным ПО

Наиболее распространенные из уязвимостей в КИИ: появившаяся в 2011 году Heartbleed, EternalBlue (в 2017 году она стала причиной распространения шифровальщика WannaCry) и BlueKeep, обнаруженная в 2019 году. Все они активно используются хакерами для реализации кибератак.

В исследовании отмечается, что пандемия коронавируса COVID-19 значительно ослабила ИТ-периметры. За год к началу июня 2021 года более чем на 60% выросло число автоматизированных систем управления технологическими процессами (АСУ ТП), доступных из интернета.

Кроме того, почти в 2 раза увеличилось количество хостов с уязвимым протоколом SMB. Это сетевой протокол для общего доступа к файлам, принтерам и другим сетевым ресурсам, который применяется практически в каждой организации. Такие уязвимости особенно опасны, так как позволяют хакерам удаленно запускать произвольный код без прохождения аутентификации, заражая вредоносным ПО все компьютеры, подключенные к локальной сети.

Основной проблемой во внутренних сетях в компании «Ростелеком-Солар» назвали некорректное управление паролями. Крайне распространены слабые и словарные пароли, которые позволяют злоумышленнику проникнуть во внутреннюю сеть организации. Подбор пароля используют как хакеры-любители, так и профессиональные злоумышленники.[21]

Загадочная хакерская группировка три года «висела» в ИТ-инфраструктурах федеральных госорганов России

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России и «Ростелеком-Солар» в мае 2021 года на встрече с журналистами рассказали о выявлении серии целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти (ФОИВ).

«
Исходя из сложности использованных злоумышленниками средств и методов, а также скорости их работы и уровня подготовки мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы, - отметил замдиректора НКЦКИ ФСБ России Николай Мурашов.
»

Николай Мурашов также назвал обнаруженные атаки прецедентом

Атаки были выявлены в 2020 году. А история с обнаружением началась в конце 2019 года, когда «Ростелеком-Солар» обеспечивала безопасность ИТ одного из госорганов, рассказали в компании. Тогда была обнаружена попытка прикосновения к одному из серверов защиты заказчика. Обычно атаки такого рода не детектируются стандартными средствами защиты и антивирусами: это были следы, быстро исчезнувшие, но давшие зацепку, чтобы понять, что происходит, откуда пришла группировка и какими методами пользуется.

В результате анализа выяснилось, что та же группировка присутствовала в системах и других ФОИВ. Причем первые признаки присутствия датировались еще 2017 годом. То есть более 3-х лет группировка работала и осуществляла свои действия в ИТ-инфраструктурах госорганизаций, говорит вице-президент по ИБ «Ростелекома» Игорь Ляпунов.

Названия атакованных госорганов специально не называются - из соображений безопасности. Число атакованных ФОИВ в НКЦКИ также предпочли не уточнять.

Во всех выявленных операциях главными целями злоумышленников были полная компрометация ИТ-инфраструктуры, а также кража конфиденциальной информации, такой как почтовая переписка, файлы общего и ограниченного доступа, инфраструктурные и логические схемы и т.д., согласно анализу, проведенному НКЦКИ ФСБ России и «Ростелеком-Солар».

«
Ущерб, с нашей точки зрения, скорее, носит репутационный характер, - отметил замдиректора НКЦКИ ФСБ России, отвечая на вопрос TAdviser о нанесенном группировкой ущербе.
»

Николай Мурашов добавил, что информация, составляющая гостайну, не могла быть похищена таким путем. Он также напомнил, что в России существует порядка 40 видов тайны, включая налоговую, медицинскую и многие др. Здесь определенные сведения, которые содержали частично персональные данные и им подобные, могли быть из системы вынесены, говорит представитель НКЦКИ.

«
Но, на мой взгляд, самое главное в функционировании этой системы – что она была рассчитана на длительную перспективу, - отметил представитель НКЦКИ ФСБ России, отвечая на вопросы TAdviser. – Это как система, которая на всякий случай существует. Они проникают, а потом очень аккуратно… Ведь коллеги рассказали о том, насколько аккуратно они действовали. То есть, все действия подобной атаки были рассчитаны на длительную перспективу.
»

Инструментарий, который использовали киберзлоумышленники, был профессиональный, очень сложный и позволял скрытое продвижение внутрь ИТ-инфраструктуры, говорит Игорь Ляпунов. И уровень закрепления в инфраструктуре был очень обширный: злоумышленники создавали до 10-15 разных каналов доступа.

Из презентации «Ростелеком-Солар»

Такого уровня атаки – это не результат деятельности обычных коммерческих группировок. Тут нет никакой возможности для монетизации, и стоимость такой атаки большая, поскольку для нее требуется очень специализированное ПО, отмечают в «Ростелекоме».

А для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак: фишинг; эксплуатацию уязвимостей веб-приложений, опубликованных в интернете; взлом инфраструктуры подрядных организаций (Trusted Relationship).

Примечательно, что разработанное злоумышленниками вредоносное ПО для выгрузки собираемых данных использовало облачные хранилища российских компаний «Яндекс» и VK (ранее Mail.ru Group), а в своей сетевой активности маскировалось под легитимные утилиты «Яндекс.Диск» и Disk-O производства этих компаний, выяснили НКЦКИ ФСБ России и «Ростелеком-Солар».

Госдума одобрила штрафы за нарушение безопасности критической ИТ-инфраструктуры

18 мая 2021 года Государственная Дума РФ приняла в третьем (окончательном) чтении законопроект о штрафах за нарушение безопасности критической информационной инфраструктуры. Речь идет о системах в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и т. д.

Согласно новым нормам, которые должны вступить в силу 1 сентября 2021 года, за нарушения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечения их работы и безопасности будут грозить штрафы. Их сумма составит от 10 000 до 50 000 рублей для должностных лиц и от 50 000 до 100 000 рублей для юридических лиц.

Госдума одобрила штрафы за нарушение безопасности критической ИТ-инфраструктуры - в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере

За нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак» будут наказывать еще серьезнее: штрафы составят от 10 000 до 50 000 рублей для должностных лиц, от 100 000 до 500 000 рублей для юрлиц.

За нарушения порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы: для должностных лиц – от 20 000 до 50 000 рублей, для юридических лиц – от 100 000 до 500 000 рублей.

Согласно пояснительной записке к законопроекту, «размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности».

Как отмечает ТАСС Информационное агентство России, обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.[22]

На банки и предприятия ТЭК в России обрушились кибератаки через подрядчиков

В конце марта 2021 года сервис для защиты информационных активов «Ростелеком-Solar» опубликовал исследование, в котором сообщил о двукратном росте числа атак на объекты критической информационной инфраструктуры (КИИ: банки, предприятия ТЭК и т.п.) путем проникновения через инфраструктуру подрядчика (метод supply chain) в 2020 году. Центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает показатель 2019 года.

По словам экспертов, взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.

«Ростелеком-Солар» зафиксировал двукратный рост атак на КИИ через инфраструктуры подрядчиков

Активное использование метода supply chain связано с ростом числа более сложных целенаправленных атак. Кроме того, все чаще организации отдают на аутсорсинг часть внутренних процессов, но при этом редко мониторят собственную инфраструктуру и практически не контролируют точки подключения сторонних компаний к своей сети. В итоге проблема может долгое время оставаться вне фокуса внимания. Именно это привело к росту подобных атак в 2020 году.

В компании «Ростелеком-Solar» отметили, что рост популярности метода supply chain указывает не просто на изменение технической специфики атак, а на появление новой ключевой угрозы кибербезопасности на государственном уровне. Однако четкого решения, как минимизировать риски, пока нет. Даже аттестованный регулятором на соответствие нормам ИБ подрядчик может быть успешно атакован злоумышленниками. При этом у компании-заказчика нет возможности напрямую контролировать уровень ИБ-защиты аутсорсера, добавили эксперты.

«
Очевидно, что продвинутые АРТ-группировки будут все чаще использовать технику supply chain, поэтому ИБ-сообществу нужно как можно скорее выработать фундаментальный подход к решению проблемы, - отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».
»

Также впервые с 2017 года эксперты Solar JSOC фиксируют рост нарушений, совершаемых внутренними пользователями – рядовыми сотрудниками компаний. Больше половины (53%) внутренних инцидентов были связаны с утечками информации: перейдя на удаленный режим работы, сотрудники стали совершать нарушения, включая хищение и слив данных, на которые не решились бы в офисе. Кроме того, пандемия привела к росту нарушений в части доступа в интернет. Речь идет не только о посещении подозрительных сайтов с рабочего компьютера. Удаленные работники могли также получить нелегитимный доступ к закрытым ресурсам компании, так как корректно сегментировать корпоративную сеть на базе VPN затруднительно.

Самым распространенным инструментом внешних злоумышленников стало вредоносное ПО, а основным способом его доставки в инфраструктуру жертвы - фишинговые рассылки, большая часть которых спекулировала на теме COVID-19. При этом отмечается значительный рост (на треть) числа атак с использованием шифровальщиков: в период массовой «удаленки», когда многие компании ослабили ИБ-защиту, этот и без того простой способ монетизации стал еще популярнее.

В 2020 году на 30% выросло количество атак, направленных на получение контроля над инфраструктурой, в то время как количество атак, нацеленных на кражу денежных средств, увеличилось незначительно (менее, чем на 10%). Это говорит о значительном росте квалификации злоумышленников и усложнении их инструментария.

Отчет об атаках и инструментарии профессиональных группировок за 2020 год

Обнаружение более 6300 уязвимых камер видеонаблюдения на объектах критической инфраструктуры РФ

12 марта 2021 года стало известно об уязвимости более 6300 камер видеонаблюдений, установленных на объектах критической инфраструктуры и промышленных предприятиях России. Из-за недостатков в этом оборудовании его легко взломать.

Об уязвимости камер на электростанциях, промышленных предприятиях, АЗС и т. п. сообщили в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, рассказали «Коммерсанту» эксперты.

Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтвердил изданию гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допустил Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, сказал он.

На АЗС и предприятиях России нашли тысячи уязвимых камер

Эксперт лаборатории практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая в разговоре с РБК отметила, что данные с камер, к примеру, могут послужить источником информации о передвижении человека.

«
При желании злоумышленник может составить карту перемещения человека по городу. В случае, конечно, если качество с камер позволит распознать определенного человека. Большинства граждан эта проблема вряд ли касается, так как сложно представить, что за простым программистом или учителем будет установлена слежка. Но в любом случае сам факт наличия возможности нельзя считать нормой, на которую можно спокойно закрыть глаза, — объяснила она.[23][24]
»

Эксперт Cisco: Пока не будет уголовных дел, бизнес не станет серьезно вкладываться в исполнение закона о критической инфраструктуре

В начале 2021 года ФСТЭК заявляла о намерениях усилить контроль за исполнением закона о безопасности критической информационной инфраструктуры (КИИ) в России (187-ФЗ). Ведомство планирует увеличить число проверок, в том числе с участием прокуратуры, вовлекать отраслевые ведомства в работу над приведением объектов КИИ в соответствие с требованиями закона. Кроме того, в дополнение к уже предусмотренной в Уголовном кодексе ответственности на подходе введение административной ответственности за неисполнение закона о безопасности КИИ, предусматривающей штрафы.

Эксперт по кибербезопасности Cisco Алексей Лукацкий считает, что ужесточение контроля со стороны ФСТЭК за исполнением этого закона подхлестнет интерес владельцев объектов КИИ к обеспечению их безопасности, но не раньше, чем через полтора года. Связано это с тем, что первые проверки у ФСТЭК начнутся со второй половины 2021 года, и пока запланировано небольшое их число, недостаточное, чтобы говорить о тенденции, пояснил он Tadviser.

«
И пока не будет реальных штрафов или возбужденных уголовных дел, доведенных до приговора, российский бизнес серьезно вкладываться именно в обеспечение законодательных требований, к сожалению, не будет. Потому что затрат очень много, а выгода совершенно неочевидная, - полагает Алексей Лукацкий.
»

По данным ФСТЭК, с момента вступления в силу в 2018 году 187-ФЗ, было определено более 50 тыс. объектов КИИ, из которых 10 тыс. отнесены к наиболее значимым системам и сетям (фото - pixabay.com)

Говоря об угрозах для объектов КИИ, эксперт отдельно остановился на АСУ ТП.

«
Мы видим внимание злоумышленников к АСУ ТП, мы видим, что они пробуют свои силы, разрабатывают вредоносный код, который осуществляет какую-то разведывательную деятельность – то есть собирает данные о внутренних активах промышленных площадок. Но пока в условиях невысокой информатизации промышленных площадок и непонимания, как эти атаки можно монетизировать, злоумышленники активно это не используют в своей деятельности, - отметил эксперт по кибербезопасности Cisco.
»

А остальные объекты КИИ – это преимущественно бизнес и офисные системы, которые ничем не отличаются от того, что ранее не называлось объектами КИИ. Лукацкий отметил, что атаки на банковские системы, которые теперь относятся к объектам КИИ, на офисные системы промышленных, транспортных, государственных предприятий как происходили ранее, так и происходят.

Что касается промышленных предприятий, в частности, то и здесь атаки чаще всего осуществляются не на АСУ ТП, а на офисные системы: например, на отвечающие за транспорт, управление поставками, работу цеха и т.д., после чего злоумышленники требуют выкуп за восстановление функций управления, но не взлом самих промышленных площадок.

Однако это не значит, что атак на АСУ ТП не будет становиться больше в будущем, когда злоумышленники научатся использовать взломы для монетизации своих действий, подчеркнул Алексей Лукацкий. И проблема для большинства промышленных предприятий в том, что их АСУ ТП используют устаревшие протоколы и компоненты, подверженные атакам.

По данным ФСТЭК, в общей сложности в 55% наиболее значимых систем и сетей, относящихся к КИИ, не применяются требуемые средства защиты от компьютерных атак (подробнее см. в блоке ниже).

55% систем самой значимой критической инфраструктуры плохо защищены от хакерских атак - ФСТЭК

Выступая в Госдуме в конце февраля 2021 года в защиту законопроекта, предполагающего введение административных штрафов за нарушение закона о безопасности критической информационной инфраструктуры (КИИ), замдиректора ФСТЭК России Виталий Лютиков привел показатели текущего уровня ее защиты.

С момента вступления в силу в 2018 году 187-ФЗ о безопасности КИИ было определено более 50 тыс. объектов КИИ, из которых 10 тыс. отнесены к наиболее значимым системам и сетям, подлежащим защите в соответствии с установленными требованиями. Анализ состояния их безопасности показал, что в 55% систем и сетей не применяются требуемые средства защиты от компьютерных атак, заявил Лютиков. А у 25% субъектов КИИ отсутствуют профильные специалисты.

По данным системы ГосСОПКА, в 2020 году было выявлено более 120 тыс. воздействий на информационную инфраструктуру РФ, добавил замдиректора ФСТЭК.

«
В этих условиях существует реальная угроза нарушения функционирования систем управления критически важных и потенциально опасных объектов наиболее значимых отраслей экономики, - отметил Лютиков.
»

Замдиректора ФСТЭК Виталий Лютиков рассказал о текущем состоянии защиты объектов КИИ

Виталий Лютиков отметил, что предусмотренное 187-ФЗ категорирование объектов КИИ является основанием для принятия необходимых защитных мер. По состоянию на февраль 2021 года более 700 субъектов КИИ не провели категорирование в сроки, установленные правительством, заявил Виталий Лютиков. Требования по обеспечению безопасности на их объектах не реализованы.

За 2020 год на объектах КИИ произошло 507 компьютерных инцидентов, из которых только по 3% были своевременно приведены данные в ГосСОПКА.

Законопроект об установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ был подготовлен ФСТЭК совместно с ФСБ во исполнение указаний президента РФ, напомнил Лютиков. Предлагается внести две статьи в административный кодекс РФ: о нарушении требований в области обеспечения безопасности КИИ и о непредставлении сведений, предусмотренных законом в области обеспечения безопасности КИИ. За правонарушения по указанным статьям предлагается ввести наложение штрафов на должностных лиц до 50 тыс. рублей, на юрлиц – до 500 тыс. рублей.

«
Размеры штрафов определены на основании оценки последствий от компьютерных атак с использованием вируса-шифровальщика WannaCry, произошедших на отдельные госкомпании в 2017 году, - пояснил Виталий Лютиков, выступая в Госдуме.
»

В ФСТЭК рассчитывают, что принятие законопроекта побудит субъекты КИИ к своевременному принятию на принадлежащих им объектах КИИ мер защиты. Ранее представители ведомства отмечали низкий процент исполнения 187-ФЗ и говорили об усилении работы с целью ускорить его исполнение. Для этого ФСТЭК, в том числе, подключила прокуратуру и усиливает проверки.

Законопроект о введении административной ответственности, рассматриваемый в Госдуме и уже прошедший первое чтение, был подготовлен еще в 2019 году. В Госдуму он поступил в ноябре 2020-го. Ко второму чтению его еще предстоит доработать.

Ранее по итогам общественных обсуждений и публичных консультаций документ вызвал замечания у участников рынка и регуляторов. Так, Минэкономразвития ранее в своем заключении об оценке регулирующего воздействия на законопроект отмечало, что в Уголовном кодексе РФ (ч. 3 ст. 274.1) уже установлена уголовная ответственность, предусматривающая, в том числе, лишение свободы на срок до 6 лет за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ и связанных с ними системах и сетях, либо правил доступа к ним, если это повлекло причинение вреда КИИ.

В Минэкономразвития полагают, что дополнительное установление мер административной ответственности должно быть синхронизировано с одновременным снижением мер уголовной ответственности.

Кроме того, принятие законопроекта может быть сопряжено с риском возложения дополнительных расходов на бюджет, отмечали в Минэкономразвития. По информации, представленной органами исполнительной власти субъектов РФ, для исполнения требований 187-ФЗ требуются значительные расходы. Например, органам исполнительной власти Республики Хакасия для реализации установленных требований требуются финансовые затраты в размере более 200 млн рублей.

ФСТЭК нашла способ борьбы с уклонистами от исполнения закона о защите критической ИТ-инфраструктуры. Его обкатали на Минэнерго

Алексей Кубарев, заместитель начальника управления ФСТЭК, выступая на конференции по безопасности в феврале 2021 года, констатировал низкий уровень исполнения федерального закона о безопасности критической информационной инфраструктуры (КИИ) и заявил о планах развивать взаимодействие с ФОИВ как одну из мер для улучшения этой ситуации. Опыт такого взаимодействия у ФСТЭК уже есть с Минэнерго.

«
У нас есть замечательный опыт с Минэнерго России, который нам понравился. При помощи профильных органов госвласти нам работать удобнее, поэтому мы эту практику будем расширять на другие сферы, - сообщил Алексей Кубарев.
»

Евгений Новиков, начальник отдела обеспечения безопасности объектов ТЭК и КИИ департамента экономической безопасности ТЭК Минэнерго, на той же конференции отметил, что основные регуляторы в области закона о безопасности КИИ (187-ФЗ) – это правительство РФ, ФСТЭК и ФСБ. Но по согласованию с ФСТЭК Минэнерго в своей сфере тоже может вырабатывать дополнительные требования по обеспечению безопасности значимых объектов КИИ, учитывающие особенности их функционирования именно в области ТЭК.

Представитель Минэнерго напомнил, что есть три основных этапа реализации 187-ФЗ: категорирование объекта КИИ, обеспечение его безопасности и обеспечение взаимодействия с ГосСОПКА. Проблемы категорирования объектов КИИ в ТЭК имеют отраслевую специфику. Во-первых, это очень большой объем документов, которые надо подготовить и предоставить.

«
В свое время мы получили информацию от ФСТЭК, что автобусами привозят данные о категорировании объекта, - сказал Евгений Новиков.
»

Слайд из презентации Евгения Новикова

Второе – есть еще отраслевой закон о безопасности объектов топливно-энергетического комплекса (256-ФЗ) и закон о промышленной безопасности опасных производственных объектов (116-ФЗ), с которыми необходимо согласовывать результаты категорирования.

И, наконец, есть функциональная специфика предприятий ТЭК. Получается, что для каждого объекта в зависимости от сектора ТЭК должна быть своя методика, пояснил Новиков. При содействии со стороны Российского государственного университета нефти и газа им. И.М. Губкина. Минэнерго разработало общие методические рекомендации по определению и категорированию объектов КИИ ТЭК и согласовали их с ФСТЭК.

«
Методические указания, которые разработало Минэнерго России, на данный момент являются единственными, разработанными государственным органом власти, - заметил представитель Минэнерго.
»

Помимо этого ведомство проводит ряд других мероприятий по реализации 187-ФЗ и информационной безопасности в целом. Так, например, при Минэнерго была создана межведомственная комиссия по координации обеспечения безопасности КИИ ТЭК.

Слайд из презентации Евгения Новикова

Также в конце 2020 года при Минэнерго введен ведомственный центр информационной безопасности ГосСОПКА. В зону его ответственности входят подведомственные предприятия и информационные ресурсы самого министерства.

«
Сейчас мы рассматриваем вопрос, расширения этого функционала на область всего ТЭК: хотя бы попробовать обмениваться с какими-нибудь корпоративными центрами, подключить аналитические центры, - сказал Евгений Новиков.
»

Кроме того, на Минэнерго сейчас ложится обязанность организации командно-штабных тренировок и киберучений в ТЭК. Пробные мероприятия ведомство уже проводило, в них активно участвовали ФСТЭК и ФСБ.

По словам Новикова, уже практически все крупные организации ТЭК прокатегорировались, представили данные в ФСТЭК. Но субъектами КИИ являются и небольшие организации.

«
Месяца три назад на меня вышла организация из, по-моему, Ямало-Ненецкого округа, говоря, что от нас им поступило письмо про какой-то 187-ФЗ. Я, честно говоря, чуть не сел на месте. Вы в какой области работаете? То есть незнание закона не освобождает от его исполнения, - сказал Евгений Новиков.
»

Подробнее о проблемах с выполнением закона о безопасности КИИ и мерах усиления контроля, которые планирует предпринимать ФСТЭК, см. в блоке ниже.

ФСТЭК: закон о защите критической инфраструктуры выполняется плохо, подключена прокуратура, усиливаются проверки

Федеральный закон о безопасности критической информационной инфраструктуры (КИИ) РФ (187-ФЗ) действует уже три года. Алексей Кубарев, заместитель начальника управления ФСТЭК, в феврале 2021 года, выступая на конференции по безопасности, подвел некоторые итоги выполнения этого закона.

В соответствии с 187-ФЗ требовалось произвести категорирование объектов КИИ, создать и обеспечить функционирование систем безопасности значимых объектов КИИ, принять меры по обеспечению безопасности этих объектов и осуществить взаимодействие с ГосСОПКА.

Слайд из презентации Алексея Кубарева

А в 2019 году вышло постановление правительства, согласно которому субъекты КИИ должны были до 1 сентября того же года подготовить и представить в ФСТЭК России перечень объектов КИИ, подлежащих категорированию.

По оценкам ФСТЭК, процент реализации субъектами федерального закона вышел крайне низким. И ведомство планирует с этим бороться, отметил Алексей Кубарев.

В процессе организации работы по рассмотрению сведений об объектах КИИ ФСТЭК столкнулась с рядом явлений.

«
Во-первых, многие пытаются уклониться от реализации федерального закона, говоря «Мы не субъект КИИ», несмотря на то, что все прямые и косвенные признаки на это указывают. Другой способ уклонения от реализации – «У нас нет объектов КИИ, которые необходимо категорировать». С этим мы тоже будем бороться, и уже примерно знаем, что нужно сделать, - сказал Алексей Кубарев.
»

По словам представителя ФСТЭК, есть еще те, кто никуда не торопится, и нарушают сроки предоставления перечней объектов КИИ. Кроме того, есть наблюдение, что организации уведомляют регулятора не обо всех имеющихся у них объектах КИИ. Помимо проблем с составлением перечней объектов КИИ в сроки, установленные постановлениями правительства, возникают проблемы и на этапе категорирования объектов по составленным перечням. Это и нарушение сроков, и искусственное занижение категорий значимости имеющихся объектов КИИ.

«
Часто нам приходится настаивать, что АСУ ТП опасного производственного объекта не может быть без категории, тем более, что она управляет, обеспечивает безопасность этого объекта. Примерно в 30% поступающих сведений нам приходится поспорить с субъектом КИИ, - рассказал Кубарев.
»

Помимо этого, на этапе категорирования организации, бывает, предоставляют недостоверные сведения об объектах КИИ и учитывают не все показатели.

Представитель ФСТЭК напомнил, что в соответствии с постановлением правительства №127 от февраля 2018 года, необходимо предоставлять ФСТЭК и сведения о вновь создаваемых объектах КИИ. Это необходимо для того, чтобы заложить в ТЗ на создание значимого объекта меры и средства на обеспечение безопасности. Многие это тоже не выполняют.

Что касается следующего этапа по 187-ФЗ – создание и обеспечение функционирования систем безопасности значимых объектов КИИ – и здесь наблюдается немало проблем. Помимо медлительности в исполнении федерального закона, которая уже не раз упоминалась, зачастую субъекты КИИ недооценивают потенциал нарушителя и имеют проблемы с силами безопасности, констатировал представитель ФСТЭК.

«
У отдельных организаций безопасность значимых объектов обеспечивают подразделения по экономической безопасности, у некоторых – вообще юридические службы. Для меня это парадокс, - говорит Алексей Кубарев.
»

Также он отметил проблемы со средствами безопасности: на многих объектах, особенно это касается АСУ ТП, применяются только средства антивирусной защиты и штатные средства операционных систем. Этого недостаточно для противостояния серьезным угрозам.

Представитель ФСТЭК напомнил о постановлении правительства №743, действующего с января 2020 года. Согласно ему, при подключении объекта КИИ к сетям общего пользования такое подключение необходимо согласовывать с ФСТЭК. Сам ФСТЭК во исполнение этого постановления разработал и утвердил соответствующий приказ.

«
И сидим, ждем. И каков результат? Больше чем за год ни одного обращения о согласовании подключения к нам не поступило, – констатировал Алексей Кубарев. – У меня большие сомнения, что из тысяч значимых объектов ни один не инициировал подключение к сетям общего пользования. Мы с этим будем разбираться.
»

Слайд из презентации Алексея Кубарева

В 2021 году, говорит Кубарев, в ФСТЭК решили значительно повысить показатели выполнения федерального закона о безопасности КИИ. И для этого ведомство планирует проводить соответствующие мероприятия.

«
Напомню, что с прошлого года активно работают органы прокуратуры по субъектам критической информационной инфраструктуры, и более того – даже по потенциальным субъектам. Они проводят мероприятия, выездные проверки, мы в них участвуем. И мы со своей стороны будем подключать профильные федеральные органы власти, Банк России, госкорпорации в целях повышения процента реализации федерального закона, - говорит Алексей Кубарев.
»

Он добавил, что с 2021 года у ФСТЭК появились основания для плановых проверок, чем ведомство и планирует заняться для осуществления государственного контроля за исполнением федерального закона. Алексей Кубарев заверил, что цель такого контроля – не наказание, а оказание методической помощи субъектам КИИ, но при этом отметил, что «добро должно быть с кулаками», каковыми ФСТЭК себя в скором времени и снабдит.

«
Разработан и представлен в Госдуму федеральный закон о внесении изменений в КоАп в части введения административной ответственности за нарушение норм законодательства о безопасности КИИ. Первое чтение он благополучно прошел, и, думаю, через 2-4 месяца он будет утвержден, - пояснил представитель ФСТЭК.
»

ФСТЭК создаёт центр проверки ОС для госсектора

11 февраля 2021 года стало известно о планах Федеральной службы по техническому и экспортному контролю (ФСТЭК) создать центр исследований безопасности операционных систем на ядре Linux. На реализацию этого проекта выделено 300 млн рублей, победителя тендера выберут до 2 марта 2021 года. Подробнее здесь.

2020

На ИТ-системы госорганов, банков и ТЭК России совершено 120 тыс. кибератак

На критическую информационную инфраструктуру России (сюда относятся ИТ-системы госорганов, банков, ТЭК и др. ) в 2020 году было совершено более 120 тыс. хакерских атак. Такую цифру 24 июня 2021 года озвучил секретарь Совета безопасности РФ генерал армии Николай Патрушев.

По его словам, киберпространство всё чаще становится ареной борьбы с «геополитическими оппонентами», а Россия регулярно подвергается компьютерным атакам.

Николай Патрушев: На ИТ-системы госорганов, банков и ТЭК России за год совершено 120 тыс. кибератак
«
Большая часть из них осуществлялась с территории США, Германии и Нидерландов, и была направлена против объектов государственного управления, военно-промышленного комплекса, здравоохранения, транспорта, науки и образования нашей страны, — сказал он.
»

Как отметил секретарь Совбеза, Россия выступает за неполитизированное сотрудничество между странами для создания глобальной системы кибербезопасности.

«
Россия выступает за развитие международного сотрудничества в интересах формирования глобального международно-правового режима, обеспечивающего безопасное и равноправное использование информационно-коммуникационных технологий, - подчеркнул он в интервью «Российской газете».
»

24 июня 2021 года в компании Group-IB привели данные, согласно которым в первой половине 2020 года в России было зарегистрировано втрое больше атак на объекты критической инфраструктуры, чем за весь 2019 год. 40% атак на объекты КИИ в России, были совершены киберкриминалом, 60% - прогосударственными атакующими.

Руководитель Департамента сетевой безопасности Group-IB Никита Кислицин отметил, что примерно 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры.

По словам экспертов, к проблемам с обслуживанием ИТ-инфраструктуры организаций приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент.[25]

Рост числа кибератак на органы власти в 2 раза - ИБ-центр ФСБ

Больше половины (58%) кибератак в России за 2020 год пришлось на органы государственной власти, тогда как в 2019-м эта доля равнялась 27%. Такие данные в конце апреля 2021 года привел заместитель директора созданного на базе ФСБ Национального координационного центра по компьютерным инцидентам (НКЦКИ; координирует работы по обнаружению, предупреждению и ликвидации последствий компьютерных атак на объекты критической информационной инфраструктуры в России и реагированию на компьютерные инциденты) Николай Мурашов.

«
Проведенный НКЦКИ анализ данных показал, что если в 2019 году наибольшая доля компьютерных атак была нацелена на кредитно-финансовую сферу – 33%, то в 2020 году – на информационные ресурсы органов государственной власти и предприятий промышленности, — сказал Мурашов на онлайн-брифинге (цитата по «РИА Новости»).
»

Доля кибератак на органы власти в 2020 году выросла вдвое

По его словам, доля хакерских атак на ИТ-системы предприятий промышленности в 2020 году достигла 38% против 18% годом ранее.

Ранее секретарь Совета безопасности РФ Николай Патрушев заявил, что интенсивность деятельности иностранных разведок в киберпространстве существенно возросла на фоне обострения обстановки в мире, а количество хакерских атак на российские информационные ресурсы в 2020 году выросло в 1,6 раза.

Патрушев отметил ежегодный рост хакерских атак на ИТ-ресурсы органов власти и компаний «с целью их блокировки, получения возможности доступа к охраняемым банкам данным и скрытому управлению информационными системами».

«
Одновременно актуальным остается вопрос использования уязвимостей применяемого в государственных органах и организациях программного обеспечения в разведывательных целях. Более 30% выявленных уязвимостей может быть использовано дистанционно для проведения компьютерных атак на информационную инфраструктуру, – сказал секретарь Совбеза РФ.[26]
»

КИИ и госорганизации стали главными мишенями продвинутых кибергруппировок

По статистике «Ростелекома», за 2020 год центр мониторинга и реагирования на кибератаки Solar JSOC зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики. Об этом 1 декабря 2020 года сообщил Солар (ранее Ростелеком-Солар). Примерно в 30 случаях за атаками стояли злоумышленники наиболее высокого уровня подготовки и квалификации – кибернаемники и кибергруппировки, преследующие интересы иностранных государств. В числе наиболее частых целей – объекты критической информационной инфраструктуры России.

Аналитический отчет «Ростелекома» основан на данных по более чем 140 крупным организациям – клиентам Solar JSOC в самых разных отраслях экономики (банки, энергетика и нефтегазовый сектор, органы государственной власти и др.), а также по компаниям-заказчикам центра расследования киберинцидентов JSOC CERT. Помимо этого, сводная статистика учитывает информацию об атаках и вредоносном ПО, собираемую так называемыми ловушками (honeypot) на сетях связи и центрах обработки данных на территории РФ и данные от других российских и международных CERT.

Как отмечают эксперты Solar JSOC, целью наиболее профессиональных хакерских группировок обычно являются деструктивные воздействия и кибершпионаж. Ущерб от атак такого класса измеряется не только финансовыми потерями, но и влиянием на экономику страны в целом, безопасность жизнедеятельности граждан и политическую ситуацию. Только сопутствующий ущерб от компрометации инфраструктуры, такой как кража персональных данных сотрудников и клиентов, регуляторные и репутационные риски, возможности развития новых атак, в случае успеха киберпреступников мог бы достичь десятков миллионов рублей. Совокупный же ущерб от полномасштабной реализации такого рода атаки составил бы несколько миллиардов рублей.

Слабый уровень защищенности веб-приложений на объектах критической информационной инфраструктуры (КИИ) и в органах государственной власти способствовал тому, что этот вектор атак стал наиболее популярным у злоумышленников в 2020 году. В 45% случаев хакеры атаковали именно веб-приложения, еще в 35% – использовали известные и незакрытые уязвимости периметра организаций.

После проникновения в инфраструктуру киберпреступники пытались получить доступ к конфиденциальной информации организации за счет доступа к почтовым серверам (85% случаев) и рабочим компьютерам первых лиц, их заместителей и секретарей (70% случаев). Параллельно киберпреступники стремились захватить максимальный контроль над инфраструктурой, атакуя рабочие станции ИТ-администраторов с высоким уровнем привилегий (80% случаев) и системы ИТ-управления инфраструктурой (75% случаев). При этом чаще всего использовалось ПО, направленное на сокрытие атаки от стандартных средств защиты, в 20% атак хакеры также применяли легитимные корпоративные или свободно распространяемые утилиты, маскируясь под действия администраторов и пользователей.

«
Следует отметить, что сейчас набирает силу тренд так называемых supple chain атак на органы госвласти и ключевые предприятия России. То есть злоумышленники все чаще атакуют не саму организацию напрямую, а действуют через ее подрядчика, который меньше заботится об информационной безопасности и при этом имеет доступ к инфраструктуре конечной цели атаки. Поэтому очень важно обращать внимание на уровень защищенности подрядных организаций и выстраивать безопасный способ их доступа в инфраструктуру, – рассказал Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».
»

Атаки организованных группировок среднего уровня квалификации – киберкриминала – были направлены на прямую монетизацию: вывод финансовых средств или получение выкупа за расшифрование данных компании. Фокусом их внимания в 2020 году оставалась кредитно-финансовая сфера. В 85% случаев хакеры пытались вывести деньги с корреспондентских счетов и атаковали различные финансовые системы компаний. При этом в целом по рынку, отмечают аналитики Solar JSOC, наблюдается существенное снижение результативности и сокращение ущерба от проводимых атак, достигающее не более нескольких десятков миллионов рублей.

Основным оружием киберкриминала остается фишинг, реализуемый благодаря низкому уровню грамотности сотрудников компаний в области информационной безопасности. В 74% злоумышленники пользовались этим, применяя для проникновения в инфраструктуру социальную инженерию. Для заражения рабочих станций и дальнейшего развития атаки кибергруппировки использовали массово доступное в даркнете вредоносное ПО (40% случаев), а также ПО для ИТ-администрирования и проведения анализа защищенности (40% случаев).

Кемеровчанин осужден за кибератаки на КИИ РФ

Кемеровчанин осужден за кибератаки на КИИ РФ. Об этом стало известно 27 ноября 2020 года. Подробнее здесь.

Обнаружена подготовка к шпионской атаке китайской APT-группы на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь.

ФСТЭК выпустила приказ об использовании отечественного ПО для защиты КИИ

Федеральная служба по техническому и экспортному контролю (ФСТЭК) обнародовала приказ об использовании отечественного программного обеспечения для защиты критической информационной инфраструктуры (КИИ). Документ опубликован на официальном интернет-портале правовой информации.

Изменения направлены на использование в КИИ преимущественно российского оборудования и софта для повышения технологической независимости и безопасности, а также с целью продвижения отечественной продукции.

Документ регламентирует уточнение условий выбора оборудования и софта для объектов КИИ, порядка его применения и эксплуатации, а также испытаний. При этом отдельно указано, что положение, регламентирующее испытания, вступает в силу с 1 января 2023 года, как и еще одно, о признании одной из устаревших норм утратившей силу.

Федеральная служба по техническому и экспортному контролю выпустила приказ об использовании отечественного ПО для защиты КИИ

В приказе ФСТЭК России нюансы, которыми недовольны эксперты. В частности, Алексей Лукацкий отметил:

«
Ситуация выглядит так, будто регулятору «наплевать на то, как будут выполняться требования. Эксперт обратил на требование по расширению запрета на использование элементов значимого объекта КИИ второй категории.
»

«
Прощай Zoom, облака и сервера обновлений, расположенные за пределами Российской Федерации, — пояснил Лукацкий.
»

Приказ Федеральной службы по техническому и экспортному контролю о внесении изменений в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ разработан во исполнение поручений президента по итогам специальной программы «Прямая линия с Владимиром Путиным» 20 июня 2019 года.

Как напоминает издание D-Russia, во время «прямой линии» президент сказал, что власти должны обеспечить рынок для российских программистов в чувствительных отраслях для безопасности и суверенитета, а также заявил, что в целях импортозамещения российские корпорации нужно «заставить» закупать именно отечественные [программные] продукты.[27]

Минкомсвязи отменило регионам субсидии на безопасность объектов критической информационной инфраструктуры

В конце июля 2020 года стало известно о том, что Минкомсвязи отменило регионам субсидии на безопасность объектов критической информационной инфраструктуры (КИИ). В ведомстве объяснили это «перераспределением бюджетных средств».

«
В связи с оптимизацией (уменьшением) базовых бюджетных ассигнований при формировании проекта федерального закона о федеральном бюджете на 2021 год и на плановый период 2022 и 2023 годов конкурсный отбор проектов на 2021 год, направленных на цели предоставления субсидии бюджетам субъектов РФ на доведение уровня безопасности объектов критической информационной инфраструктуры до установленных законодательством РФ требований в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации», отменён, — сообщили изданию D-Russia.ru в Минкомсвязи.
»

Сообщение о субсидиях регионам на повышение уровня безопасности объектов КИИ отозвано

Уточняется, что в 2019 году конкурс на получение аналогичных субсидий в течение 2020 года состоялся. В нем приняли участие 36 регионов, было отобрано 12 победителей. В 2020-2021 годах планировалось потратить на такие субсидии 250 млн рублей, из них 150 млн рублей — в 2020 году для объектов КИИ 1 и 2 категории значимости, 100 млн рублей — в 2021 году для объектов КИИ 3 категории значимости.

В конце июля 2020 года Минкомсвязи начало сбор заявок от регионов на получение в 2021 году субсидий, направленных на повышение безопасности значимых объектов критической информационной инфраструктуры. Предполагалось, что субсидии будут предоставляться из федерального бюджета бюджетам регионов для софинансирования мероприятий по обеспечению устойчивой работы КИИ в случае компьютерных атак.

Однако министерство отменило сбор заявок, а бращение к адресу сообщения на сайте министерства выдаёт ошибку «Страница не существует или была удалена» (код 404).[28]

Минкомсвязи РФ утвердило порядок установки и эксплуатации средств поиска кибератак в сетях КИИ

Минкомсвязи РФ утвердило в июне порядок установки и эксплуатации средств поиска кибератак в сетях КИИ.

Приказ ведомства «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» 25 июня 2020 года опубликован[29] на официальном интернет-портале правовой информации.

В частности, в документе указано - из каких этапов состоит установка и эксплуатация средств поиска атак:

  • определение необходимости и мест установки средств поиска атак;
  • установку средств поиска атак, их подключение к сетям электросвязи и к каналам связи, необходимым для управления средствами поиска атак;
  • настройку и проверку работоспособности установленных средств поиска атак;
  • приём в эксплуатацию установленных средств поиска атак;
  • обеспечение непрерывной работы средств поиска атак;
  • проведение технического обслуживания, замену и демонтаж установленных средств поиска атак;
  • обеспечение сохранности установленных средств поиска атак; осуществление мониторинга за функционированием средств поиска атак.

Согласно приказу, ФСБ направляет оператору связи по почте заказным письмом с уведомлением о вручении следующей информации и документов:

  • сведения о необходимости установки средств поиска атак с указанием мест установки на сети электросвязи оператора связи;
  • эксплуатационные характеристики устанавливаемых средств поиска атак;
  • наименование организации (в случае привлечения);
  • фамилия, имя, отчество (при наличии), должность должностного лица уполномоченного органа ГосСОПКА или наименование структурного подразделения уполномоченного органа ГосСОПКА, ответственного за организацию работ;
  • инструкция по эксплуатации средства поиска атак, установка которого планируется на сети электросвязи.

Оператор связи не позднее 10 календарных дней с даты получения сведений определяет должностных лиц оператора связи, допущенных к данной информации.

Как поддержать работоспособность ЦОДа, если ключевые сотрудники заразились COVID-19 или сидят на карантине

В марте 2020 года Uptime Institute подготовил рекомендации о том, как реагировать на пандемию коронавируса COVID-19 индустрии ЦОД. Отчет был выпущен с целью помочь операторам объектов критической инфраструктуры подготовиться и ответить на влияние нового коронавируса. TAdviser ознакомился с документом. Подробнее здесь.

Минкомсвязи предлагает унифицировать порядок установки средств поиска кибератак на объекты КИИ

27 февраля 2020 года TAdviser стало известно, что Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило проект приказа[30], регламентирующего установку и эксплуатацию средств для поиска признаков кибератак на объекты критической информационной инфраструктуры страны.

Минкомсвязи

Приказ описывает как порядок установки и эксплуатации таких средств, так и технические условия их использования.

Сами по себе средства поиска атак идентифицируются как «оборудование автоматизированных систем управления и мониторинга сетей электросвязи». Такие разработки подлежат обязательной государственной сертификации в соответствии с действующим законодательством.

Документ предусматривает трехстороннее взаимодействие между уполномоченным органом государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), уполномоченного органа в области связи, и операторов связи.

Сами по себе средства поиска атак будут принадлежать Уполномоченному органу ГосСОПКА и устанавливаться на объекте критической информационной инфраструктуры за счет того же органа. Непрерывность функционирования средств поиска атак, с другой стороны, должен обеспечивать оператор связи за свой счет, в соответствии с техническими условиями, описанными в проекте приказа.

Согласно этим условиям, средства поиска атак должны устанавливаться в помещениях, где обеспечены все условия для их непрерывного функционирования, в том числе стабильное и бесперебойное электропитание (оговаривается, что выделяемая для подключения мощность элекросети «должна превышать не менее чем на 20 процентов мощность, требуемую в соответствии с инструкцией по эксплуатации средств поиска атак»), контроль физического доступа, контроль температуры и влажности, средства пожаротушения и, естественно, интернет-соединение и подключение к сети объекта КИИ.

«
Ключевым положением в данном документе является то, что сами средства поиска кибератак должны поставляться и находиться на балансе органов ГосСОПКА. То есть, государство на самом практическом уровне берет на себя защиту объектов КИИ, используя сертифицированное для этих целей оборудование, чтобы избежать неожиданностей,
говорит Олег Галушкин, генеральный директор компании SEQ (ранее SEC Consult Services)
»

2019

Взломавшим ИТ-системы РЖД и S7 хакерам дали 10-13 лет тюрьмы

В конце декабря 2019 года Басманный районный суд Москвы вынес приговоры трём хакерам, обвиняемым во взломе билетных систем РЖД и S7. Всего по делу проходило 29 человек. Подробнее здесь.

Хакеры годами готовят атаки на ТЭК

Хакеры годами готовят атаки на предприятия топливно-энергетического сектора. Об этом 14 ноября 2019 года сообщили в компании Positive Technologies.

По словам экспертов, профессиональные кибергруппировки, проводящие целевые атаки, деструктивно нападают не сразу после проникновения. Они могут несколько лет контролировать все системы предприятия, не предпринимая никаких разрушительных действий, а лишь похищая важные сведения и ожидая подходящего момента, чтобы приступить к нападению.

Хакеры годами готовят атаки на предприятия топливно-энергетического сектора, параллельно похищая у них данные

В ходе расследования одного из инцидентов специалисты обнаружили, что группировка TaskMasters, занимавшаяся хищением конфиденциальных документов и шпионажем, находилась в инфраструктуре компании-жертвы не менее 8 лет.

В основном хакеры нападают на ТЭК, чтобы нарушить ее производственный процесс или ради похищения корпоративной информации и нанесения ущерба репутации. Лишь каждая третья атака преследует цель похищения финансовых средств, а чаще всего компании сталкиваются с утечками информации или подменой и уничтожением данных.

На кибератаки ТЭК с утечкой информации приходится 30% от общего количества инцидентов. В 26% случаев данные уничтожают или подменивают. 25% опрошенных предприятий заявили о том, что после атак инфраструктура компании простаивает.

По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, обнаружить целенаправленную атаку в момент проникновения злоумышленников в систему очень сложно. Проще и эффективнее раскрыть активность хакера уже после проникновения в инфраструктуру, например, при его перемещении между серверами уже во внутренней сети.

«
Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию, — отметил Новиков.[31]
»

Минэкономразвития намерено запретить использование иностранного ПО и оборудования на объектах КИИ России

1 ноября 2019 года стало известно, что Минэкономразвития готовит поправки в закон «О безопасности критической информационной инфраструктуры (КИИ)», которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские. Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым, в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.

Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.

Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.

Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России, которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи. В Минкомсвязи ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО, а доля отечественных разработчиков на рынке госзакупок при этом вырастет[32].

Зафиксировано порядка 17 тыс. кибератак на КИИ в России

В августе 2019 года представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России. Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно-финансовые организации[33].

АДЭ опубликовала методические рекомендации по категорированию объектов КИИ в соответствии с №187-ФЗ

9 июля 2019 года стало известно, что Ассоциация документальной электросвязи (АДЭ) опубликовала методические рекомендации по категорированию объектов критической информационной инфраструктуры (КИИ). Документ разработан на базе материалов от операторов связи и других организаций - членов АДЭ. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ, которая предусмотрена ФЗ "О безопасности критической информационной инфраструктуры РФ" от 26 июля 2017 г. №187-ФЗ.

Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии.

Пожелавший остаться неизвестным федеральный чиновник сказал, что ассоциация, по сути - общественная организация, её рекомендации не имеют юридической силы.

«
При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии - определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами,
сказал представитель пресс-службы Tele2
»

Представитель пресс-службы ПАО "МегаФон" сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи.

«
Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика - это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов "большой четверки", безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов,
прокомментировал представитель пресс-службы "МегаФона"
»

Представитель пресс-службы ПАО "МТС" сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов.

«
Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ,
ответил представитель пресс-службы МТС
»

Представитель пресс-службы "Акадо Телеком" сказал, что инициатива разработать рекомендации правильная и своевременная.

«
Но, вероятнее всего, документ нужно будет корректировать в соответствии с изменениями нормативно-правовых актов в части КИИ. Кроме того, на наш взгляд, рекомендации ориентированы больше на операторов мобильных, чем фиксированных сетей связи. Поэтому в их разработке мы не участвовали. При категорировании объектов КИИ наша компания руководствуется постановлением правительства №127 и приказами ФСТЭК,
уточнил представитель пресс-службы "Акадо Телеком"
»

В Министерстве цифрового развития, связи и массовых коммуникаций про эту инициативу Ассоциации документальной электросвязи знают, но не согласовывали документ.

С 2020 г. ФСТЭК планирует ввести административную ответственность за несоблюдение требований к безопасности объектов КИИ[34].

Данные о кибератаках на критические объекты в РФ утекают за рубеж. Компании нарушают закон

Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК» со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ

ФСБ: владельцы критической инфраструктуры передают данные о кибератаках за рубеж без ведома спецслужб РФ

Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры», компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.

Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.

В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.

Как пишет РБК, возможно, таким образом компании пытаются избежать имиджевых и финансовых потерь. Но практика отправки данных за рубеж ставит под угрозу прежде всего сами компании. Поскольку Национальный координационный центр по компьютерным инцидентам НКЦКИ, подконтрольный ФСБ, не обладает полной информацией об инцидентах, он не может адекватно реагировать на них и строить точные прогнозы по развитию ситуации, отмечают в ФСТЭК.

Закон «О безопасности критической информационной инфраструктуры» действует в России с 2018 года. Его основной целью является защита важнейших предприятий страны от кибератак.

По мнению ФСТЭК закон не работает в полную силу по нескольким причинам. Во-первых, в прошлом году ведомство уже отмечало отсутствие сведений о «критичности» своих объектов от банков и операторов связи. Во-вторых, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках данного закона, все еще не принята.[35] 

ФСБ сформулировала требования к средствам ГосСОПКА для защиты КИИ РФ

6 мая 2019 года Федеральная служба безопасности выпустила приказ "Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Подробнее здесь.

ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России

На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)».

Пока это только уведомление о начале работы над соответствующим документом. Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.

В частности, существует статья УК 274.1, предусматривающая уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Однако отсутствует закон, определяющий случаи, когда имело место несоблюдение указанных требований, но оно не повлекло неправомерного воздействия на КИИ.

«
В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, — говорится в описании проекта.
»

«
Критическая информационная инфраструктура нуждается в законодательстве, которое отвечало бы постоянно меняющимся реалиям информационной безопасности, — отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — Процесс формирования этого законодательства еще далек от завершения, остаются некоторые пробелы, которые необходимо устранять как можно скорее. Разработка мер административной ответственности в данном случае — не столько обещание новых кар ради самих кар, сколько заполнение пробелов и адекватное разграничение ответственности в соответствии с вероятной угрозой. В конечном счете, в сфере КИИ даже малозначительная халатность может обходиться непредсказуемо дорого.
»

Основным разработчиком проекта должен выступить ФСТЭК, однако в качестве соисполнителей указана Федеральная служба безопасности РФ.

Планируемый срок принятия законопроекта — январь 2020 года. Ознакомиться с документом можно здесь.

ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России

Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) 6 марта 2019 года опубликовала на Федеральном портале проектов нормативных правовых актов проект изменений в приказ №239 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Проект содержит целый ряд разнообразных уточнений, среди которых особо выделяются требования, связанные с оборудованием, программным обеспечением и процедурами обработки информации объектов критической инфраструктуры.

В частности, предлагается дополнить пункт 31 приказа[36] следующим абзацем:

«
Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).
»

Предыдущая версия приказа таких ограничений не накладывала.

«
Фактически это означает запрет на осуществление за пределами территории России обработку данных, относящихся к объектам критической инфраструктуры первой категории важности, за вычетом оговариваемых исключений, — отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — В целом этот документ носит уточняющий характер. Выработка нормативов и правил, по которым должна функционировать критическая инфраструктура России — это процесс, который еще очень далек от завершения: количество заинтересованных сторон велико, а риски — слишком высоки, поэтому регламентация должна быть максимально подробной. Соответственно, новые поправки, дополнения и уточнения будут вноситься и впредь, и довольно долго.
»

Кроме этого, документ предполагает обязать наиболее значимые предприятия критической инфраструктуры применять только маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации. Речь, правда, идет только о вновь создаваемых или модернизируемых объектах КИИ и только первой (максимальной) категории значимости.

Оговаривается, что в случае отсутствия технической возможности применять только сертифицированные устройства в качестве граничных маршрутизаторов (то есть, тех, через которые осуществляется доступ из локальной сети в интернет), защищенность реально используемых устройств должна будет оцениваться в рамках приемки или испытаний значимых объектов.

Полный текст проекта приказа доступен по этой ссылке.

2018

За 2018 год на РФ было совершено около 4,3 млрд кибератак

По данным Национального координационного центра по компьютерным инцидентам, за 2018 год на критические инфраструктуры РФ было совершено более 4,3 млрд кибератак. Об этом в августе 2019 года сообщил заместитель секретаря Совета безопасности РФ Олег Храмов в интервью "Российской газете".

По словам Храмова, количество кибератак за последние шесть лет выросло на 57%. Если за период с 2014 по 2015 год случаи скоординированных целенаправленных атак составляли около 1,5 тыс. в год, то в 2018 году их количество превысило 17 тыс. Особую опасность представляют атаки, направленные на выведение из строя оборудования объектов критической инфраструктуры.

С начала 2019 года было предотвращено внедрение вредоносного программного обеспечения на более чем 7 тыс. объектов критических инфраструктур. Целями атак злоумышленников становились объекты кредитно-финансовой сферы (38% от всех атак), органов государственной власти (35%), оборонной промышленности (7%), сферы науки и образования (7%) и сферы здравоохранения (3%).

По данным американской компании Webroot, в 2018 году на долю США пришлось 63% интернет-ресурсов, распространяющих вредоносное ПО, тогда как доля Китая и России составляет всего 5% и 3% соответственно.

ФСБ подготовила порядок информирования о кибератаках на объекты КИИ

Федеральная служба безопасности Российской Федерации подготовила проект приказа об утверждении порядка информирования о кибератаках на значимые объекты критической информационной инфраструктуры (КИИ). Текст проекта доступен[37] на федеральном портале проектов нормативных правовых актов[38].

«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.

Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.

Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.

Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.

Информацию о защищенности КИИ от кибератак отнесли к гостайне

Президент РФ Владимир Путин подписал в марте 2018 года указ, согласно которому информация о состоянии защищенности критической информационной инфраструктуры (КИИ) от кибератак теперь относится к государственной тайне. Соответствующий документ опубликован на портале правовой информации[39].

Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.

Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю[40].

2017

Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

С 1 января 2018 года в России вступает в силу 187-ФЗ - закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны.

Изменения вносятся Федеральным законом № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». В частности, глава 28 УК РФ дополняется статьей 2741, описывающей кары за «неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». [41]

Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые, транспортные, энергетические, телекоммуникационные компании, а также организации в сфере здравоохранения, науки, ТЭК, атомной энергетики и промышленности.

До 20 февраля 2019 года компании, которые попадают в сферу действия закона, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их со ФСТЭК.

При этом данный этап включает в себя создание комиссии по категорированию, определение процессов в рамках основных видов деятельности компании и выявление наиболее критичных из их числа. Следующий шаг – формирование перечня объектов КИИ и его согласование с отраслевым регулятором (например, для сферы здравоохранения таковым выступает Минздрав). После этого перечень объектов подается в виде уведомления во ФСТЭК России, а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.

К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.

Установлены суровые наказания за преступления, направленные на нарушение безопасности критической информационной инфраструктуры РФ

Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.

Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.

За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.

За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.

Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.

«
Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода, генеральный директор компании SEC Consult Services. - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне.
»

«
Закон, как и поправки к УК, сами по себе необходимы, - отметил Дмитрий Гвоздев, генеральный директор ООО «Технологии будущего», - Вопрос, однако, заключается в реальной правоприменительной практике. От нее зависит, будут ли эти законы работать в принципе.
»

Госдума одобрила пакет законопроектов с санкциями за атаки на критическую инфраструктуру

Госдума одобрила в январе 2017 в первом чтении пакет законопроектов, который предусматривает до 10 лет лишения свободы для хакеров, мишенью которых является критическая информационная инфраструктура (КИИ) РФ. В случае утверждения законопроекта, соответствующие поправки будут внесены в Уголовный кодекс РФ, сообщает информационное агентство ТАСС Информационное агентство России[42].

Под КИИ подразумеваются информационные и телекоммуникационные системы государственных органов. Сюда же относятся автоматизированные системы управления технологическими процессами в оборонной, топливной, ракетно-космической, атомной, химической, металлургической и горнодобывающей промышленности, а также в сферах здравоохранения, связи, транспорта, энергетики и финансов.

Наказания для хакеров

Например, за создание или распространение ПО, предназначенного для нанесения вреда КИИ, хакеры будут на 5 лет отправляться на принудительные работы или лишаться свободы на такой же срок. Как вариант, возможна выплата штрафа в размере от p500 тыс. до p1 млн. Штраф также может быть рассчитан исходя из дохода преступника – в размере зарплаты за период от 1 года до 3 лет.

Если же хакер не просто создал/распространил вредоносную для КИИ программу, но и нанес реальный ущерб инфраструктуре, он может провести в заключении от 5 до 10 лет. Кроме того, преступник на 5 лет потеряет возможность заниматься некоторыми видами деятельности и работать на соответствующих должностях.

Предусмотрено также наказание за неправомерный доступ к информации, которая содержится в КИИ, если этот доступ осуществлен с помощью вредоносной программы и создает угрозу для инфраструктуры. Штраф за это составляет от p1 млн до p2 млн, или равняется доходу преступника за период от 3 до 5 лет. Как вариант, возможно лишение свободы сроком до 6 лет и штраф на сумму от p500 тыс. до p1 млн, или в размере зарплаты за 1-3 года.

Другие наказания

Законопроект предлагает наказания не только за причинение умышленного вреда КИИ, но и за нарушение правил обращения с информацией, которая там содержится. Сюда относится неправильное обращение с оборудованием, на котором эта информация хранится, обрабатывается и передается. В этот же пункт входит нарушение правил доступа к данным и системам КИИ, если это создает угрозу для инфраструктуры.

За такие действия нарушители будут лишаться свободы на 6 лет. Другой вариант наказания: 5 лет принудительных работ и запрет заниматься некоторыми видами деятельности на 3 года. Если же действует не один человек, а группа лиц, которые сговорились заранее или используют служебное положение, то им грозит тюремное заключение на срок от 3 до 8 лет или 5 лет принудительных работ.

Обеспечение безопасности

Рассмотренный сегодня Госдумой законопроект также описывает принципы обеспечения безопасности КИИ, налагает на госорганы соответствующие полномочия и устанавливает обязанности и ответственность владельцев и операторов инфраструктуры. За безопасность КИИ должен отвечать специальный уполномоченный федеральный орган.

Все объекты КИИ должны быть разделены на категории, каждая категория получит свои нормы безопасности. Разделение будет проводиться на основании реестра значимых объектов, создание которого оговаривает законопроект. Кроме того, для КИИ будут созданы системы безопасности, которые будут кооперироваться с системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. Эта система была создана указом президента от 15 января 2013 года.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Эксперт назвал основные причины успешных кибератак на предприятия и госорганы
  2. ПНСТ 905-2023
  3. Данные рассчитывают на защиту денег
  4. ФСТЭК выявил сотни нарушений в защите информационной инфраструктуры России
  5. ФСТЭК предъявит требования по кибербезопасности к господрядчикам
  6. ФСБ России пресечена противоправная деятельность гражданина России, совершившего государственную измену в Кемеровской области
  7. Телеканалы и операторов связи обяжут создать ИБ-подразделения
  8. Информсистемы оценят критически
  9. Серверы распределяют по стране
  10. Дума приняла закон о защите от кибератак регистрационных данных в сфере недвижимости
  11. Приказ Федеральной службы безопасности Российской Федерации от 11.05.2023 № 213
  12. Почта на замке
  13. Почти половина российских ведомств подверглись кибератакам
  14. Для госсектора открывается невозможное
  15. Киберспецназу присвоили квалификацию
  16. Кабмин запустил эксперимент по повышению защищенности информсистем органов власти
  17. Указ Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
  18. Positive Technologies: госорганы хуже всех защищены от кибератак
  19. Число кибератак на критическую инфраструктуру РФ увеличилось на 150%
  20. Россия и США в киберпространстве: держи друзей близко
  21. В России каждая десятая организация – субъект КИИ заражена вредоносным ПО
  22. Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры
  23. Видео без ограничений. В России обнаружились камеры наблюдения с общедоступными данными
  24. Эксперты нашли уязвимость в тысячах камер наблюдения в России
  25. Патрушев: На ИТ-системы госорганов, банков и ТЭК России за год совершено 120 тыс. кибератак
  26. Хакеры стали чаще атаковать органы власти, заявили в Центре киберугроз
  27. Приказ Федеральной службы по техническому и экспортному контролю от 20.02.2020 № 35 "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239"
  28. Сообщение о субсидиях регионам на повышение уровня безопасности объектов КИИ отозвано
  29. Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17.03.2020 № 114
  30. Проект приказа, регламентирующего установку и эксплуатацию средств для поиска признаков кибератак на объекты КИИ
  31. Хакеры готовят атаки на ТЭК по нескольку лет
  32. Власти хотят запретить заграничные ПО и «железо» в банках, медицине, транспорте, промышленности и науке
  33. Власти хотят запретить заграничные ПО и «железо» в банках, медицине, транспорте, промышленности и науке
  34. [https://www.comnews.ru/content/120693/2019-07-09/u-kii-poyavilis-pravila У КИИ появились правила]
  35. ФСБ заявила об утечке данных о кибератаках на российские объекты за рубеж
  36. Приказ от 25 декабря 2017 г. N 239 об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
  37. Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
  38. ФСБ подготовила порядок информирования о кибератаках на объекты КИИ
  39. Указ Президента Российской Федерации от 02.03.2018 № 98 "О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203"
  40. Информацию о защищенности КИИ от кибератак отнесли к гостайне
  41. Федеральный закон от 26.07.2017 № 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" 
  42. CNews: Хакеров в России будут сажать на 10 лет