ГосСОПКА наращивает подключения
В своем выступлении на конференции CyberCamp сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексей Ицков обратил внимание, что, согласно указу президента РФ №250, количество предприятий и учреждений, которых обязали подключаться к ГосСОПКА, многократно увеличилось. Их перечень существенно шире, чем тех, кто подпадает под действие законодательства по защите критической информационной инфраструктуры (КИИ).
Существенно выросло и количество подключений к ГосСОПКА. Алексей Ицков привел статистику по количеству протоколов по подключению к данной системе. Если по состоянию на 1 января текущего года их насчитывалось 199, то на 1 сентября - уже 670.
При этом количество организаций, которые работают с ГосСОПКА, многократно больше, поскольку структура системы многоуровневая. В результате в декабре 2021 г. к ГосСОПКА было подключено более 2300 организаций. При этом, по мнению руководителя отдела аналитики "СёрчИнформ" Алексея Парфентьева, те, кто подключаются к ГосСОПКА напрямую, многое теряют в экспертизе: "Ведомственные и корпоративные центры работают как сервис-провайдеры, и ввиду того, что все время занимаются мониторингом и отчетом об инцидентах, у них есть наработанная практика. Если же в компании есть столь же профессиональный специалист, то компания ничего не теряет".
"Количество субъектов, подключенных к ГосСОПКА, увеличится на порядок, но не из-за требований указа №250 (под него подпадает большое количество субъектов КИИ, которые уже должны были обмениваться данными об инцидентах с НКЦКИ). Больше на количество новых подключений влияют поправки в законодательство о защите персональных данных, - считает Алексей Парфентьев. - По новым требованиям операторы персональных данных (ПДн) должны будут отчитываться об инцидентах информационной безопасности и фактах утечек ПДн. Потенциально это все российские операторы персональных данных. Отмечу, что в реестре Роскомнадзора зарегистрировано в разы меньше операторов, чем тех, кто реально обрабатывает персональную информацию. Но требование закона распространяется на всех".
По мнению участников дискуссии "Что такое Threat Intelligence", ГосСОПКА стала в России одним из главных источников потоков данных об угрозах, пусть и не всегда оперативным.
Количество информационных бюллетеней, выпущенных НКЦКИ, за восемь месяцев текущего года составило 832 против 632 за весь 2021 г., разослано 9105 уведомлений об атаках против 6958 по итогам 2021 г., и 910 уведомлений об инцидентах при 335 за 2021 г. При этом, как подчеркнул Алексей Ицков, данная статистика относится только к объектам КИИ.
НКЦКИ также занимался противодействиям DDoS-атакам и фишингу. Количество фишинговых ресурсов, которые обнаруживали и блокировали сотрудники Центра, в среднем составляло 17 в день. При этом, как отметил Алексей Ицков, продолжалось взаимодействие с аналогичными зарубежными центрами по взаимному информированию об атаках и инцидентах.
Подключение к системе номинально бесплатно. Но для этого необходимо выполнить определенные требования, соответствие которым требует усилий и приобретения дополнительного оборудования. "Затраты на подключение складываются из двух составляющих. Первое - это интеграция ПО, из которого нужно передавать информацию об инцидентах. Второе - покупка криптошлюза, который для этих задач должен быть обязательно сертифицирован. Вендоры, и мы в том числе, часто предвосхищают запрос клиентов и сами реализуют интеграцию. Если ее нет, заказчик может написать скрипт своими силами, но, понятно, это требует знаний, - напоминает Алексей Парфентьев. - Можно обойтись и без интеграций и просто передавать информацию об инциденте вручную, тогда затрат, по сути, нет. Но ИБ-специалист должен предоставлять отчет по определенному шаблону".
"Мы подключены к выделенному личному кабинету ГосСОПКА напрямую с использованием криптошлюза. Технически данное подключение не представляет большой сложности, а операционные затраты небольшие. Лицензий никаких не требуется. Для информационного взаимодействия НКЦКИ допускает любой канал (телефон, сайт, электронная почта). Техническое подключение - выбор субъекта. Для нас это возможность сохранить конфиденциальность чувствительной информации и возможность интеграции с нашими системами", - сообщили ComNews в пресс-службе ПАО "МегаФон".
Однако, как отметил директор Центра информационной безопасности "Инфосистемы Джет" Андрей Янкин, часто даже заполнение карточки инцидента для передачи в ГосСОПКА вызывает сложности. Но, по мнению руководителя отдела систем мониторинга информационной безопасности и защиты приложений "Инфосистемы Джет" Рината Сагирова, именно заполнение карточек инцидентов является той операцией, которая лучше всего поддается автоматизации среди тех, которые относятся к управлению инцидентами. Другие операции при автоматизации требуют как минимум серьезной осторожности и могут привести к существенным издержкам издержкам.
