23 сентября 2022 года, в ходе XV Business Information Security Summit 2022 (BIS Summit-2022), президент ГК InfoWatch, председатель правления ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Ивановна Касперская выступила модератором ключевой сессии «Новая старая модель угроз и предстоящие изменения».
В сессии «Новая старая модель угроз и предстоящие изменения» приняли участие: заместитель директора ФСТЭК России Виталий Сергеевич Лютиков; директор департамента обеспечения кибербезопасности Министерства цифрового развития РФ Владимир Николаевич Бенгин; директор департамента информационной безопасности Банка России Вадим Александрович Уваров; директор центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Иссович Массух и заместитель руководителя проектного офиса по реализации нацпрограммы «Цифровая экономика РФ» Михаил Владимирович Корягин.
Предлагаем вторую часть материала с пленарной сессии BIS Summit-2022.
Наталья Касперская: Виталий Сергеевич, теми модели угроз, которые ФСТЭК строила до наступления всем известных событий оправдали себя? Как повели себя объекты критической инфраструктуры в условиях резко изменившейся ситуации с киберугрозами?
Виталий Лютиков: Да, в целом оправдали. Но мы придерживались такой методологии, что модель угроз строится оператором, проходит определенные согласования, потом принимается. И такие угрозы, как использование НДВ (недекларированных возможностей программного обеспечения, которые сознательно закладываются разработчиками в целях тестирования, дальнейшего расширения функциональности, обеспечения совместимости или скрытого контроля за пользователями, возможности внезапного отключения и т.п.), куда мы относим, в том числе, и задействование механизма влияния на средства через обновления, мы, конечно, учитывали. Но мы их всегда относили к госструктурам, и многие операторы, по понятным причинам, пытались доказать, что эти угрозы неактуальны, нереализуемы и т.д. Далее февраль 2022 показал, что эти угрозы могут исходить не только от государства, но и от зарубежных разработчиков средств защиты (в общесистемное ПО сейчас даже не лезу). Иностранные средства защиты потеряли функциональность либо частично, либо полностью. Поэтому с точки зрения общих подходов, мы все это учитывали, об этом говорили. Но то, что нам всем надо было эти риски более взвешенно просчитывать, нам, ФСТЭК, сильнее настаивать на включении таких угроз; операторам надо было прорабатывать вопросы как эти риски нейтрализовывать, как бороться с ними. Этот момент я бы назвал наиболее ключевым с точки зрения модели угроз. Потому что все остальные действия – хакеров (атаки), еще что-то, не могу оценить детально. Но скажу, что по имеющейся у нас информации по тактике и технике взлома систем злоумышленниками и утечкам информации, они ничем таким уникальным не отличаются. Нам такие случаи неизвестны. Поэтому, отвечая на вопрос – да, в целом, имеющиеся у нас модели угроз себя оправдали, но про изменение поведения западных вендоров мы и подумать не могли… У них у всех тут были представительства, они к нам все приезжали, а потом, раз – и нет никого…
Наталья Касперская: Один из важных элементов критической инфраструктуры страны – наша банковская сфера. Беспрецедентный вал атак обрушился на эту сферу, особенно, в феврале. Вадим Александрович, как сфере удалось выстоять и как Вы оцениваете ситуацию с точки зрения модели угроз? Вы считаете, она была правильно выстроена? И корректирует ли ЦБ ее сейчас?
Вадим Уваров: Если в целом говорить об атаках и о деградации сервисов, как подчеркнул Владимир Николаевич Бенгин, то мы все стали свидетелями того, что в марте этого года большинство атак на банки, преследовало свои цели – приостановить сервисы, которые кредитно-финансовая сфера обеспечивает. У меня сразу произошла ассоциация с вопросами операционной надежности, которым мы уделяем много внимания. В 2020 году Банк России получил право устанавливать требования к операционной надежности. И у нас в октябре этого года вступает в силу ряд нормативных актов для кредитных и некредитных финансовых организаций. И те процессы, которые сейчас происходят – атаки, деградация сервисов, приостановка оказания услуг, сильно перекликаются с вопросами операционной надежности. И если в целом смотреть на инфраструктуру, то здесь нужно понимать ее значимость, т.к. с помощью этой инфраструктуры оказываются определенные услуги нашим гражданам. Второй момент – ИТ-составляющая, без нее – никуда. Третий момент – это вопросы, касающиеся информационной безопасности. И, четвертый момент, дополняющий эти факторы, это те условия, в которых мы пребываем. Это санкционные риски или, все-таки, технологический суверенитет России. И возможность использовать свои решения по всем фронтам. Если говорить про операционную надежность, то «Банк России» использует такую форму, как кибер-учения, не первый год. В этом году мы тоже планируем с нашими коллегами из банков провести ряд таких учений – чтобы и для себя понимать, и дать возможность коллегам из банков найти те слабые точки, на которых необходимо сосредоточить внимание в будущем. Это как раз и есть тот вектор по поддержанию операционной надежности в нынешних условиях.
Наталья Касперская: Владимир Николаевич, Минцифры РФ – ведомство, которое видит всю картину цифровизации. Как вы в министерстве видели картину изменения атак со своей стороны, пришлось ли вам работать в режиме антикризисного штаба? Как вы спасались? Какие-то рекомендации давали предприятиям?
Владимир Бенгин: Ситуация радикально поменялась. Если до 24 февраля мы больше занимались регуляторикой, контролем над исполнением поручений, нивелированием рисков, которые могут возникнуть, то после 24-го стало ясно, что одно дело – банковская сфера, в которой все очень строго, много требований, давно Центробанк их контролирует и уровень зрелости банков очень высок, а другое дело – вся оставшаяся страна, включая РОИВ-ы, местные порталы, у которых есть наши требования к инфобезопасности, к защите, но которые звонят и говорят, что у них все «лежит» и они не знают, что делать. И пришлось собирать антикризисные штабы. И большую часть работ проводить по координации – нужно объяснить, как и что сделать, помочь связаться. И конечно, когда мы с сотрудниками поняли, что проработали 35 дней без выходных, то… тяжело. И каждый день наши «заклятые зарубежные партнеры» придумывали что-то новое, «интересненькое» - то ломали все, что касается Open Source, то начинали ломать вдруг порталы через различные погружаемые компоненты. И нам приходилось собирать длиннющий перечень всех используемых зарубежных библиотек, модулей и писать в огромное количество мест о том, что нужно проверить чел-лист из 70 компонентов, если они у вас есть, бегите, ищите аналоги. Потому что риски, связанные с безопасностью, огромные. Работа перешла из регуляторики и надзора в помощь и координацию. И, конечно, было огромное количество атак на тех, кто к атакам был не готов. Виталий Сергеевич правильно говорил, старая модель угроз не предполагала, что какой-то там ресурс – в РОИВ-е, например, будет вдруг интересен с точки зрения нарушителя, который может вставлять закладки в ПО. К этому многие были не готовы. Пришлось реагировать на текущие обстоятельства и всем помогать.
Михаил Корягин: Было создано 85 штабов региональных (РОИВ) и 73 штаба федеральных органа государственной власти (ФОИВ). Работа была направлена на сбор информации по инцидентам, на реагирование и на управление критическими ситуациями. В рамках этой работы было выпущено поручение Д.Н. Чернышенко и оно, в основном, исполнено.
Вадим Уваров: Каждая сфера примерно понимала, что нужно делать. А когда наступили условия, весь этот большой механизм под руководством НКЦКИ, ФСТЭК, туда подключилась и финансовая сфера – заработал как единый. И я бы сказал, что этот механизм достаточно действенный. И в кредитно-финансовой сфере службы информационной безопасности сработали достаточно эффективно, для того, чтобы не было прерывания сервисов. Деятельность по организации штабов, быстрому принятию решений, позволила скоординировать все усилия разных отраслей и разных специалистов из этих отраслей. Это очень важный момент.
Наталья Касперская: Можем, когда захотим.
Вадим Уваров: Я бы сказал – умеем.
Наталья Касперская: Это приятный вывод. Илья, у Вас изменилось что-то с точки зрения модели угроз?
Илья Массух: Не сильно что-то поменялось после 24 февраля. Нам изначально ставили задачу перехода на отечественное программное обеспечение. Я отдаю должное ФСТЭК и ЦБ РФ в вопросах предотвращения деструктивного воздействия – очень быстро, 25 числа уже были первые рекомендации из ФСТЭК госорганам, госкомпаниям о том, как делать обновления ПО, что выключить, что включить. И тут мы молодцы, но мы молодцы тактически. В тактике сохранили инфраструктуру, а вот в стратегии надо что-то менять, потому что зачастую у нас проблема в ИТ-отрасли – недостаточный профессионализм с точки зрения направления развития. В информационной безопасности это не так, потому что у вас строго регламентированная сфера. И на какие-то руководящие должности поднимаются люди, которые имеют серьезный опыт. А вот в общей, ИТ-сфере надо менять, надо вводить техническое обсуждение процессов. И прежде чем переводить всю страну на новые инфраструктуры, надо посмотреть не просто презентации, а технические аспекты – как с точки зрения безопасности, так и с точки зрения непрерывности работы сервисов.
Наталья Касперская: Михаил Владимирович, какие ИБ-решения сегодня должны быть в приоритете?
Михаил Корягин: Централизация. Создание защищенных государственных ресурсов, где могли бы размещаться системы, обеспечивающие нашу жизнедеятельность и имеющие высокую важность. Это обеспечение доступности всех систем на территории России. И основным должно стать импортозамещение и внедрение отечественных решений. Огромный плюс в том, что российские разработчики будут более тщательно выполнять требования регуляторов, быстрее реагировать на угрозы, которые возникают и так далее.
Продолжение следует…
Количество показов: 229
Дата создания: 05.10.2022 13:34:30
Дата изменения: 05.10.2022 15:11:01
Автор: Наталья Касперская
Время на чтение: 30 минут