Как справляются с киберугрозами в России и мире

Россия занимает второе место в мире по числу кибертеррористических актов и хакерских атак. Но вот что интересно: если в США происходит 41% всех хакерских атак, то в России – не более 10%. Это значит, что у нас есть шанс работать в относительно спокойных условиях и сосредоточиться на улучшении защиты от возможных угроз.

Что такое информационная безопасность в наше время

Информационная безопасность – это набор организационных и технических мер для защиты данных, обеспечения их целостности, доступности и управляемости. В рамках общей концепции безопасности государства, информационная безопасность помогает всем элементам системы работать вместе.

Основные элементы информационной безопасности на международном и национальном уровнях:

• Защита информации, содержащей государственные или коммерческие тайны.
• Защита серверов госучреждений и систем жизненно важного обеспечения.
• Защита данных с помощью аппаратных и программных средств от несанкционированного доступа, утраты, разрушения или перепрограммирования.
• Информационно-психологический блок, который включает меры по защите от целенаправленного информационного воздействия на человека или его имидж на международной арене.

Для того, чтобы все эти аспекты были учтены, нужна разработка методик и создание собственной инфраструктуры. Проблема в том, что информационное пространство не имеет границ. Интернет и беспроводные сети позволяют передавать огромные объемы данных без контроля и без препятствий через границы государств. Эти данные часто содержат информацию, оборот которой в разных странах ограничен или запрещен.

Технологии атак развиваются быстрее, чем методы защиты

Технологии атак развиваются быстрее, чем методы защиты, поэтому даже государственные базы данных под угрозой.

Для охраны государственной тайны используют самые современные технологии. Но как только эти данные выходят за пределы строго защищенных зон и начинают взаимодействовать с коммерческими организациями или общественными институтами, защита становится гораздо слабее.

Кроме того, даже государственные системы защиты не идеальны. Это видно по частым взломам правительственных серверов по всему миру. Например, в 2012 году, во время президентских выборов в России, система веб-трансляций, предназначенная для мониторинга нарушений, подверглась до 1,2 млн атак за один день. В этом же году злоумышленники совершили 44 млн атак на государственные сети Израиля, 28 млн на Иран и 12 млн на США. Для сравнения, в 2016 году в России на государственные и частные ресурсы было совершено уже 70 млн атак, что демонстрирует серьезность угрозы.

Ситуация осложняется тем, что взломщики часто находятся за пределами юрисдикции страны, которую они атакуют. Эти преступники могут быть иностранцами или без гражданства. Поэтому еще важнее становится необходимость международного сотрудничества в борьбе с киберугрозами и создания общей системы информационной безопасности.

Кибератаки и международное законодательство

Ведутся обсуждения о возможности признания кибератак преступлениями, эквивалентными вооруженным нападениям, если они нацелены на государственные структуры.

Пять лет назад министр обороны США Леон Панетта предложил приравнять кибератаки к вооруженным нападениям, сравнив последствия взлома систем критической инфраструктуры с последствиями ядерного взрыва. Идею поддержал американский конгресс, но пока она не была воплощена в жизнь.

Одним из примеров попытки систематизировать защиту информационной безопасности является соглашение между Россией и США 2013 года о сотрудничестве в научных исследованиях и разработках в области ядерной и энергетической безопасности. В этом документе также упоминались меры по противодействию кибератакам и создание общей системы безопасности. Однако в 2016 году соглашение было приостановлено.

Необходимость создать международные правовые нормы для борьбы с киберугрозами подтверждается риском ущерба репутации государств. Использование информационных технологий в политической борьбе стало нормой, и ущерб от кибератак выливается не только в репутационные, но и финансовые потери. Поэтому защита информационной безопасности и репутации государства должна стать важным инструментом в геополитике.

Информационная безопасность в России

В России вопросы информационной безопасности на национальном уровне регулируются Доктриной информационной безопасности. Эта доктрина служит основой для создания нормативных актов и охватывает ключевые моменты, такие как необходимость присутствия России в международном информационном сообществе и выбор надежных источников данных, чтобы уменьшить ущерб от дезинформационных атак.

Когда речь идет о качестве управления в государственном или корпоративном секторе, уровень информационной безопасности определяется тем, насколько хорошо:

• обеспечивается работа информационных ресурсов, необходимых для нормальной деятельности и развития;
• защищаются коммерческая или государственная тайна от незаконного доступа;
• противостоят техническим и психологическим угрозам, защищая систему и пользователей от негативного воздействия с помощью информационных технологий;
• поддерживается эффективность работы, возможность адаптации к новым вызовам и развитие системы;
• используются методы защиты, которые не нарушают права и свободы других государств и граждан.

Информационная безопасность государства складывается из множества факторов. Информация – это основной ресурс, поддерживающий жизнеспособность страны в политической, социальной, экономической и военной сферах. Поэтому государственная политика фокусируется на усилении роли информационной безопасности как важного элемента управления.

За информационную безопасность России в настоящее время отвечают различные государственные органы

За информационную безопасность России в настоящее время отвечают различные государственные органы:

• Федеральная служба по техническому и экспортному контролю (ФСТЭК).
• Роскомнадзор.
• Специализированные подразделения министерств и ведомств.
• Межведомственная комиссия при Совете Безопасности.

Однако специалисты считают, что для эффективной борьбы с кибератаками нужно объединить функции и создать отдельный федеральный орган с независимыми ресурсами и полномочиями.

На данный момент российская система информационной безопасности находится в стадии развития

На данный момент российская система информационной безопасности находится в стадии развития и не полностью отвечает всем требованиям для обеспечения защиты на высшем уровне. Причин этому несколько.

1. Независимость

Чтобы обеспечить независимость и надежность жизненно важных систем для государства, в России делают акцент на:

• разработке собственного ПО, включая операционные системы, системы защиты информации и SIEM-системы от российских разработчиков;
• создании собственных каналов связи, чтобы важные ресурсы могли работать независимо от глобального Интернета;
• подготовке квалифицированных специалистов.

Ключевым моментом для независимости является создание эффективной системы взаимодействия между ведомствами и управление рисками на основе законодательной базы, которая обеспечит необходимые полномочия и возможности. Проблемой остается отсутствие собственной аппаратной части, из-за чего российская система информационной безопасности зависит от иностранных поставщиков.

2. Слабая защищенность финансовой системы

С июня 2015 по май 2016 года Центр мониторинга и реагирования на компьютерные атаки в финансовом секторе (FinCERT) зафиксировал как минимум 20 крупных кибератак на платежные системы. Злоумышленники пытались украсть у российских банков 2,87 млрд рублей. Благодаря совместной работе с ИБ-подразделениями банков и правоохранительными органами удалось предотвратить кражу более 1,5 млрд рублей.

Основные проблемы в информационной безопасности российского финансового сектора – нехватка квалифицированных кадров, проблемы с программным обеспечением и недостаточная координация с правоохранительными органами. Нарушение целостности системы взаимодействия банков может привести к платежному кризису и экономическому коллапсу в некоторых регионах.

Также стоит отметить, что для международных расчетов России требуется система SWIFT. Безопасность этих информационных потоков необходима для выполнения финансовых обязательств корпоративными субъектами, что напрямую влияет на кредитный рейтинг страны.

3. Проблемы информационной безопасности в социальной сфере

Обеспечение безопасности информации в социальной и образовательной сферах входит в список первостепенных задач. Одним из ярких примеров недостаточной защиты является вовлечение подростков в опасные онлайн-сообщества с террористической или суицидальной направленностью. Это происходит из-за того, что популярные интернет-ресурсы плохо локализованы, и Россия не может полностью контролировать глобальные соцсети.

Например, давление на крупные ресурсы с требованием предоставить данные пользователей не всегда работает. Кроме того, проблема требует координации множества служб – справиться с ней только силами МВД и Роскомнадзора невозможно. В 2016 году Роскомнадзор заблокировал 17 тысяч доменов и аккаунтов, но они снова появляются под другими названиями и с теми же последователями.

Международные угрозы информационной безопасности

Угрозы в сфере информационной безопасности в России и мире в основном имеют экономическую природу. Кибертерроризм, нацеленный на подрыв политической стабильности, встречается реже и чаще всего раздувается средствами массовой информации. Громкие взломы, как правило, являются рекламой услуг определенных хакерских группировок, которые хотят продемонстрировать свои навыки и привлечь клиентов.

Атаки вроде вируса WannaCry также выполняют разведывательную функцию: хакеры таким образом проверяют, насколько защищены мировые информационные ресурсы, и готовятся к более сложным и масштабным операциям.

Корпорациям, банкам и правительственным организациям угрожает не только работа хакеров. Вот с чем еще нужно быть настороже:

• Системные сбои могут происходить по разным причинам, включая случайные ошибки или ошибки в коде программного обеспечения.
• Технические неполадки – это может быть связано с проблемами электроснабжения, конструктивными дефектами или действиями пользователей, включая преднамеренные диверсии.
• Вирусы постоянно обновляются и изменяются. Например, в начале 2017 года вирусы-шифровальщики NotPetya и WannaCry затронули крупные международные компании и госучреждения, а WannaCry заразил более 200 тысяч компьютеров в 150 странах.
• Саботаж – деятельность сотрудников, направленная на разрушение систем безопасности.
• Неавторизованный доступ: лица, которые проникают в сеть, могут перепрограммировать компьютеры или украсть важные данные.
• Кража данных включает как цифровое, так и физическое похищение носителей информации.

На уровне государства разрабатываются не только стратегии защиты, но и активные кибероперации, такие как кибершпионаж или атаки на сети других стран для кражи или уничтожения критической информации. Например, к 2014 году в США практически весь рынок spyware (программ для кражи данных) и adware (программ для распространения рекламы) оказался под контролем властей.

Вот еще несколько инструментов для кибератак:

• Программы-вымогатели (Ransomware) блокируют работу компьютера или мобильного устройства, и чтобы вернуть доступ, нужно заплатить хакерам. Часто требуют выкуп в криптовалюте, что затрудняет отслеживание.
• Лжеантивирусы маскируются под антивирусные решения. Пользователи сами устанавливают такие программы, которые затем блокируют работу компьютера или позволяют другим вирусам проникнуть в систему.
• Madware – вредоносное ПО, нацеленное на мобильные устройства.
• Кибербуллинг – использование информационных атак для психологического давления на жертву.

Компьютеры частных пользователей и тщательно охраняемые базы данных крупных компаний постоянно под угрозой. Многое зависит от того, как тщательно пользователи защищают свои данные. В США и Евросоюзе компании готовы платить от 3 до 12 миллионов долларов за данные, украденные у конкурентов. Если атака направлена на военные или промышленные объекты, сумма выкупа может вырасти в пять раз.

В России киберпреступлений частного характера пока меньше, но это тоже указывает на недостаточную подготовленность систем безопасности у многих компаний, что отмечают в МВД.

Международные стандарты в области информационной безопасности

В то время как в политике еще нет четких международных норм по борьбе с угрозами информационной безопасности, в области стандартов уже есть четкие правила. Основные стандарты разработаны и применяются в рамках ISO/IEC 27000.

Аббревиатура ISO/IEC показывает, что эти стандарты – результат сотрудничества Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC). ISO/IEC 27000 включает рекомендации и советы по внедрению системы менеджмента информационной безопасности (СМИБ). В России на основе ISO/IEC 27000 и местных разработок принято около 22 тысяч внутренних стандартов, некоторые из которых утверждены как ГОСТы, например, ГОСТ Р ИСО/МЭК 27000–2012.

Кроме стандартов ISO/IEC 27000, европейские страны разрабатывают свои собственные правила для обеспечения информационной безопасности. Иногда национальные стандарты, созданные для внутреннего использования, также применяются другими странами. Например, Великобритания разработала Практические правила управления информационной безопасностью BS 7799, которые вышли за рамки национального уровня.

Создание системы менеджмента информационной безопасности (СМИБ) по стандартам

Если ваша компания хочет надежно защитить свои конфиденциальные данные и уже сертифицирует свои товары и услуги по ISO 9001, то следующим шагом стоит разработка системы менеджмента информационной безопасности (СМИБ) по стандартам ISO/IEC 27000–2016 или предыдущих версий, если внедрение СМИБ началось до выхода новой редакции.

Процесс создания и внедрения системы основывается на модели ISO 9001 и включает четыре ключевых этапа, обозначаемых аббревиатурой PDCA:

• PLAN (Планируй). На этом этапе разрабатывается внутренняя документация, проводится аудит систем и инвентаризация активов, которые могут быть под угрозой. Также разрабатываются технические меры.
• DO (Делай). Здесь происходит внедрение разработанной системы и средств для оценки ее эффективности.
• CHECK (Изучай). На этом этапе оценивается, насколько хорошо работает система. Оценка должна быть регулярной и целенаправленной.
• ACT (Действуй). На последнем этапе вносятся коррективы и устраняются выявленные проблемы.

Следуя этим этапам, ваша система будет соответствовать международным стандартам сертификации.

Как пример, можно использовать систему безопасности «Серчинформ КИБ»

А также система позволяет отслеживать различные поисковые запросы.