Секция по информационной безопасности на форуме «ИТ-Диалог 2021» собрала большое количество спикеров разного уровня. Если в первой части дискуссии руководители министерств обсуждали стратегии ИБ, то на второй — практики делились опытом и рассказывали про конкретные проблемы безопасности в регионах.
Угрозы шифрования
По словам модератора секции Алексея Лукацкого, одна из глобальных угроз в США — шифровальщики. Шифруются целые города, госорганы иногда платят, иногда отказываются и пытаются восстанавливаться своими силами, потому что затраты превышают стоимость информации. Насколько сейчас для специалистов государственных ИБ-служб актуальны проблемы шифровальщиков? В России своя специфика, возможно, у нас инциденты информационной безопасности носят совершенно другой характер?
Валерий Комаров, руководитель отдела Управления ИБ ДИТ Москвы, считает, что информационные технологии границ не признают, поэтому для отечественных CISO данная тема весьма актуальна. «Атаки мы фиксируем постоянно, это распространенный инструмент хакеров», — подтверждает он.
Дмитрий Служеникин, начальник сектора защиты информации ГАУ НО «ЦИТ», советует использовать локальные облака и делать регулярные бэкапы, так как российские госорганы не в состоянии платить вымогателям.
Елена Лукашина, начальник управления ИБ профильного министерства Челябинской области, предполагает, что проблемы у всех госорганов примерно одинаковые и связаны они прежде всего с изменившей нашу жизнь пандемией. «Какие-то сервисы приходится внедрять очень быстро, при этом безопасность иногда отодвигается на второй план. Стараемся помогать коллегам, не ограничивая их в создании новых информационных систем, оперативно подключаемся к решению важных задач», — говорит она. Что касается профилактики шифровальщиков, в области была проведена планомерная работа, просканированы все узлы, которые находятся в единой телекоммуникационной сети, и обновлены операционные системы для устранения уязвимостей.
Михаил Шляпников, начальник управления ИБ Министерства цифрового развития и связи Оренбургской области, считает, что шифровальщики — это следствие. «С ними бороться не нужно, это как пневмония: либо умрешь, либо выздоровеешь, — шутит он. — Но простые меры, такие как эшелонирование, дробление сетей, хорошо работают в защите. Они помогут не столько в предотвращении, сколько в локализации угрозы».
Намеренно или случайно?
Почему госорганы подвергаются целевым атакам шифровальщиков? Ведь шифруют тех, у кого есть деньги, а в регионах их просто нет. «Вы думаете, что вас могут атаковать намеренно? Или просто случайно зацепит осколками?» — такой вопрос задает участникам дискуссии сомодератор секции Рустэм Хайретдинов.
Рустэм Хайретдинов
Сергей Разживин, советник губернатора Ивановской области, предполагает, что возможны как случайные атаки, так и намеренные действия, поскольку подрядчики различных систем меняются, бывают сложные переходы от одного другому и считающие себя обиженными вполне способны преподнести какой-нибудь неприятный сюрприз. Поэтому в первую очередь необходимо внедрять и поддерживать именно культуру безопасности.
Елена Лукашина, говорит, что в Челябинской области постоянно фиксируются целенаправленные атаки на государственные информационные системы. Валерий Комаров добавляет, что уже есть немало судебных приговоров, вынесенных за попытки атак на органы региональной власти, а НКЦКИ и ГосСопка постоянно пресекают подобные вторжения и доводят до суда.
Владимир Бенгин, директор Департамента обеспечения кибербезопасности Минцифры подтверждает: его министерство испытывает большую нагрузку, связанную с атаками. При этом он признается, что не понимает, зачем взламывать госсайты: «С одной стороны, я вижу, что государственные органы в целом по стране более интересны злоумышленникам, чем коммерческие структуры. С другой — с них же нечего взять?». По словам Владимира Бенгина, основные бюджеты идут на большие государственные проекты, федеральные программы и проекты по кибербезопасности, связанные, например, с персональными данными. Это то, чем можно торговать, то, что представляет интерес. На внутреннюю же безопасность тратятся совсем небольшие средства.
Однако случившийся несколько лет назад взлом сайта правительства Оренбургской области повлек за собой объявление о продаже в даркнете почтовой переписки высокопоставленных чиновников. Сергей Булович, региональный представитель «Лаборатории Касперского», уверен, что атаки часто совершают для получения компромата и потом его использовать в своих целях, поскольку информация — очень действенный инструмент, который позволяет зарабатывать деньги.
Опасные фейки
Вице-президент «ИнфоТеКС» Сергей Дурягин подчеркивает, что очень важны целостность и доступность информации. Поэтому необходимо активно защищаться от угроз по подмене сведений. Фейки, размещенные на сайтах госвласти, могут вызвать большой резонанс. Рустэм Хайретдинов согласен с коллегой: «В государственных органах целостность имеет большое значение». Он напомнил о недавнем взломе ФБР США и рассылках от его имени фейковых писем. Кроме того, Рустэм уверен, что особую опасность фейки представляют в условиях чрезвычайной ситуации. Тогда они реально могут привести к человеческим жертвам.
Алексей Хоменок, Сергей Дурягин
Многие региональные безопасники борются с дезинформацией в тесном взаимодействии с пресс-службами, но финансирования, как всегда, не хватает. «В фейках самое сложное — оценить потенциальный ущерб, — считает Михаил Шляпников. — Любая безопасность — это деньги. На средства защиты, на людей. Как обосновать затраты на борьбу с фейками? Сложно просчитать критичность». Однако столкнувшись с проблемами, ИБ-специалисты ищут пути их решения. Так, в Челябинской области все государственные сайты переходят на единую доменную структуру, при этом сохраняя старые адреса: с них идет переадресация на новые ресурсы. Это делается в том числе, чтобы предотвратить создание фейковых сайтов, похожих на настоящие.
Облачная безопасность
На информационную безопасность госорганов повлияли и многие инициативы Минцифры, связанные с Гостехом, с Гособлаком, с управлением данными. Насколько сегодня безопасность готова к защите облачных сред, которые ей не принадлежат?
«К сожалению, часто даже руководители не понимают, какие данные можно размещать в облаке, а какие нет», — говорит Михаил Шляпников. Однако по его словам, безопасники готовы передавать данные в облака, но при условии, что Минцифра и другие регуляторы распределят ответственность между владельцами данных и теми, кто их хранит.
В Санкт-Петербурге для хранения данных госорганов есть собственный облачный ЦОД. При этом Алексей Хоменок, представляющий Комитет по информатизации и связи города, поддерживает системный подход и четкое распределение ролей.
По словам Дмитрия Служеникина, Нижегородская область разделила контроль за локальным облаком с оператором связи, снизив нагрузку на персонал. Профессиональный SOC оператора помогает защитить чувствительную информацию.
Поскольку все государственные информационные системы связаны между собой, а также имеют общую модель угроз и рисков, Минцифра в сотрудничестве с другими регуляторами планирует играть роль координатора: она будет предъявлять дополнительные требования к Гособлаку по аудиту и техническим мероприятиям для увеличения безопасности. «Один из важных вопросов — как в одном облаке хранить разные ГИСы с разным уровнем безопасности — тоже предстоит решить. Это требует средств и определенных нормативных актов», — комментирует Владимир Бенгин.
Фокус на непрерывность
Не секрет, что раньше многие госорганы жили от аттестации до аттестации. Сейчас все регуляторы говорят, что безопасность должна быть непрерывной. Насколько это актуально для органов власти?
При решении таких вопросов всегда основную роль играют деньги и кадры. Если в Оренбургской области собственный SOC, построенный в 2020 году, позволяет проводить регулярный анализ уязвимостей, то в Ивановской области достаточно проблемно найти финансирование на дополнительных специалистов. Тем не менее государственная безопасность старается справиться собственными силами. «Когда мы у себя размещаем новое оборудование или информационные системы, то обязательно проводим тестирование, обучение и проверки для предотвращения инцидентов», — говорит Сергей Разживин.
Алексей Лукацкий предлагает Минцифре предоставлять дотационным регионам какой-либо единый сервис для анализа защищенности. Таким образом можно предоставить тем, у кого не хватает средств на внутреннюю ИБ, внешний сервис безопасности.
Алексей Лукацкий
«Мы этим занимаемся, — отвечает Владимир Бенгин, — в том числе организуем мероприятия по защищенности. Также планируем проводить независимый анализ всех ГИСов в нашей стране». Но работа, по его словам, будет вестись совместно с ИТ-департаментом, так как цифровая трансформация связанных между собой систем безусловно касается ИТ. Причем есть задачи, которые в силу специфики должны быть поставлены отраслевым центрам.
Импортонезависимость
Одни считают, что 100%-ную защиту можно реализовать на базе российских решений, другие уверены, что это сегодня принципиально невозможно.
Михаил Шляпников, Елена Лукашина, Владимир Бенгин
В Челябинской области для обеспечения безопасности используется российское сертифицированное ПО, так как производителей софта достаточно. Но существует проблема с программно-аппаратными средствами, не хватает «железа». «Очень сложно перевести инфраструктуру ЦОДа с импортного на отечественное, — говорит Елена Лукашина. — Но мы стараемся поддерживать баланс». Схожая ситуация и в Санкт-Петербурге, который закупает сейчас только российское ПО, при этом, конечно, не может полностью отказаться от зарубежного оборудования. Для решения этих проблем отечественные компании-производители при поддержке государства сейчас активно инвестируют в разработку новых продуктов и доработку существующих. Так, компания «ИнфоТеКС» заложила на систему квантового распределения ключей более миллиарда рублей, включая 150 миллионов, полученные от фонда развития промышленности.
«Если Интернет такая важная часть государственного управления, почему бы государству не взять на себя расходы по построению инфраструктуры, по аналогии со строительством федеральных трасс?» — интересуется Рустэм Хайретдинов. По его мнению, в централизации есть смысл. Ярким примером сейчас служит медицина, где все ЛПУ уходят в МИАЦы, в централизованные облака.
Владимир Бенгин считает, что в такой модели есть как и плюсы, так и минусы. Один из существенных — потеря конкуренции. «Мы хотим развивать отрасль, которая должна развиваться в том числе и благодаря конкуренции», — отмечает он.
Его поддерживает Дмитрий Служеникин, добавляя, что если Минцифра разработает определенные стандарты, их вполне можно использовать на рынке. «Мы получим наилучшие решения в рамках одних правил», — уверен Дмитрий.
Как сделать российские операционные системы не только безопасными, но и удобными? Тем, кто привык к западным стандартам, бывает трудно переучиваться. Компания «Астра Линукс» работает во всех федеральных округах. «Мы повсюду собираем отзывы о восприятии нашего продукта конкретными пользователями, и наши разработчики учитывают эти отзывы, чтобы сделать продукт удобнее», — комментирует Андрей Солдатов, представитель компании.
По мнению Рустэма Хайретдинова, в данном вопросе нужно искать разумный компромисс. К сожалению, у российских разработчиков пока не хватает специалистов по usability-безопасности: «Мы делаем танки, и нам неважно какая механика, главное — это броня!»
Как повысить безопасность пользователей?
Прежде всего, за счет формирования культуры ИБ, повышения киберграмотности. Валерий Комаров считает, что эту задачу не следует возлагать на ИБ-подразделение, потому что в профильных вузах не готовят к работе с людьми. «У нас выпускают технических специалистов и тех, кто умеет писать документы под нормативку», — добавляет он. Дело осложняется еще и большим количеством разных категорий пользователей, у всех свой язык и свои примеры. Люди старше 50 лет сильно отличаются от школьников. Кстати, и в школе с разными возрастами тоже нужно говорить по-разному. «Когда я общаюсь со школьниками, то у меня две задачи: первая — вовлечь в профессию, вторая — не допустить их переход на темную сторону, убрать романтику хакерства», — говорит Валерий.
В Оренбургской области создается лобби по инфобезу, задача которого — нести безопасность в массы. Михаил Шляпников уверен, что это дает свои результаты. В приоритете — популяризация безопасности среди людей, которые принимают решения.
«Людям нужно предоставлять безопасные инструменты, — добавляет Дмитрий Служеникин, — вместо того, чтобы заставлять их подписывать сотни бумажек. Это должно быть удобно и понятно».
В Челябинской области регулярно проводят диктанты по ИБ, цель которых — повышение грамотности специалистов госвласти и местного самоуправления. В прошлом году такой диктант написали около двух тысяч человек из 47 регионов. В процессе прохождения участники сразу могли увидеть правильные ответы и таким образом повысить свою осведомленность. Елена Лукашина считает, что в такие мероприятия нужно вовлекать как можно больше людей, чтобы с детства прививать культуру безопасности.
Те, кто обеспечивает защиту государственных органов, согласны в одном: нужно переходить от технологий, систем и их функциональных возможностей к задачам и угрозам, к решению конкретных проблем. И тогда ИБ будет понятной для всех, вне зависимости от места работы и уровня подготовки.