Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ - Ключевые вызовы для мирового сообщества

Наконец, обострение отношений России с рядом стран Запада, а также приостановка ряда механизмов обмена информацией и сотрудничества в сфере безопасности, включая вопросы ИКТ, едва ли будет способствовать конструктивной выработке механизмов международного взаимодействия в области безопасности КИИ.

Позитивной возможностью даже в отсутствие условий для выработки норм, укрепляющих международное сотрудничество, видится развитие взаимодействия и обмена информацией между Центрами реагирования на компьютерные инциденты (CERT/CSIRT). В России существует уже несколько таких центров – как государственных (RU-CERT, GOV–CERT), так и частных. Одним из примеров частных центров реагирования на компьютерные инциденты является GIB-CERT, созданный компанией Group-IB и до последнего времени остававшийся единственным российским CERT, обеспечивающим круглосуточное и полнофункциональное взаимодействие по реагированию на киберинциденты как российских, так и международных клиентов. В 2015 г. GIB-CERT оказался единственным российским Центром реагирования на киберинциденты, который получил аккредитацию как член FIRST – крупнейшего международного сообщества центров реагирования на инциденты кибербезопасности. Кроме того, GIB-CERT является участником альянса ИМПАКТ-МСЭ, а также аккредитованным членом сообщества Trusted Introducer, объединяющего европейские центры реагирования на киберинциденты. Глубокая интеграция в структуры международного взаимодействия и обмена данными по киберинцидентам, в том числе и в отношении КВО и объектов КИИ, существенно расширяет возможности GIB-CERT. Кроме того, пример центра GIB подчеркивает огромную роль частного сектора в защите объектов КИИ и реализации государственной политики в этой сфере. Даже при том, что Россия далека от США по показателю доли частного сектора среди владельцев и операторов объектов КВО (в США – более 80 %), компетенции бизнеса, частного сектора незаменимы и необходимы для построения эффективного механизма защиты критической инфраструктуры от ИКТ-угроз.

Также стоит отметить, что в последнее время в России наметилась еще одна тенденция, уже получившая глубокое развитие в США, ряде стран Европы и Юго-Восточной Азии: создание специализированных «отраслевых» центров реагирования на киберинциденты. Такие структуры уже есть не только в США, где существуют собственные центры реагирования на компьютерные инциденты крупных банков (например, CIRT Bank of America) и специализированные отраслевые структуры (Financial Services Information Sharing and Analysis Center, FS-ISAC), но и во многих других странах. Лишь в списке участников FIRST (международный Форум команд обеспечения безопасности и реагирования на киберинциденты), к примеру, присутствуют CIRT 17 банков, в том числе Canadian Imperial Bank of Commerce, Commerzbank (ФРГ), Европейского Центрального банка, First National Bank (ЮАР), Deutsche Bank, Handelsbanken (Швеция), Национального банка Австралии.

Естественно, специализированный подход важен прежде всего в контексте защиты КИИ, поскольку позволяет регуляторам, государственным и частным структурам сфокусировать свои усилия на предотвращении и реагировании на компьютерные инциденты в том или ином конкретном секторе критической инфраструктуры. С 1 июля 2015 г. при Центральном Банке РФ начал работу Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FINCERT). Одна из главных задач Центра состоит в накоплении информации об инцидентах в банковском секторе и потенциальных угрозах и ее распространении среди организаций российского банковского сектора. Ключевые объекты финансовой и банковской инфраструктуры в большинстве стран мира, безусловно, относятся к числу КВО, и угрозы кибербезопасности в этой нише носят постоянный и системный характер. Важно, чтобы методика работы и круг задач FINCERT по мере развития и накопления его компетенций включали в себя приоритет международного взаимодействия с другими центрами, занимающимися реагированием и предупреждением инцидентов в финансово-кредитном секторе. Теоретически мало что мешает организовать схему обмена данными об инцидентах и даже аномалиях трафика в банковских сетях в международном масштабе – технические вопросы сводятся к стандартизации формата и выбору каналов обмена данными (например, таких как используемый FS-ISAC Traffic Light Protocol (TLP)).

Наконец, запуск FINCERT представляет собой позитивный пример, запрос на воспроизведение которого может быть и в других секторах и отраслях национальной экономики и управления, опирающихся на КВО и объекты КИИ: транспортно-логистическом секторе, авиаперевозках, электроэнергетике, медицине и проч.