Из-за активной цифровизации отраслей экономики возрастает угроза кибератак. Злоумышленники усложняют методы взлома и автоматизируют применяемые инструменты для реализации атак. Количество инцидентов неуклонно растет — последствия становятся все более драматичными как для обычных граждан, так и для бизнеса.
В табл. 1 приведены существующие проблемы обеспечения кибербезопасности в ключевых отраслях экономики и их последствия.
Таблица 1. Проблемы обеспечения кибербезопасности и их последствия
| Проблема | Последствия |
|---|
| Разная защищенность организаций в одной отрасли | Уровень защищенности организаций сильно зависит от мер, принимаемых на местах, и не всегда находится на приемлемом уровне.
Интеграционные взаимодействия между предприятиями (цепочки поставок и оказание услуг подрядчиками) с разным уровнем защищенности могут снижать уровень киберустойчивости даже хорошо защищенных организаций, а совокупно — всей отрасли |
| Слабая координация в части обеспечения кибербезопасности на уровне отрасли | Отсутствуют эффективные механизмы управления кибербезопасностью на уровне отраслей. Отсутствует объективная система оценки как уровня защищенности, так и уровня зрелости организаций в отраслях по показателям готовности к отражению кибератак.
Отсутствует практика оценки влияния организаций на отраслевые цепочки поставок и определения точек отказа.
Отсутствуют оперативные механизмы межведомственного и межотраслевого взаимодействия при реагировании и подготовке к отражению кибератак |
| Отсутствие общих подходов к обеспечению кибербезопасности | Возникают проблемы с корректностью и объективностью (достоверностью) категорирования объектов защиты (под ними следует понимать объекты КИИ, ГИС, ИСПДн и иные ИС, защита которых регламентируется действующим законодательством).
Модели угроз безопасности информации формируются без реальной оценки негативных последствий. Отсутствует практическая проверка возможности реализации угроз, которые могут привести к неприемлемому ущербу |
| Отсутствие отраслевой специфики в обучении специалистов по кибербезопасности и в формировании экспертизы | Отсутствует практика подготовки специалистов по кибербезопасности с уклоном в отраслевую специфику.
В организациях и отраслевых ведомствах отсутствует понимание, от чего необходимо защищаться в первую очередь и какими способами.
Отсутствует практика формирования экспертизы в области кибербезопасности с учетом отраслевой специфики (оборудование, способы взлома, уязвимости и т. п.) |
При кооперации организаций на уровне отрасли возникает синергетический эффект, который открывает следующие возможности:
- Обмен информацией и опытом. Организации могут делиться информацией об угрозах и методах защиты, что позволит им улучшать системы защиты и быть лучше подготовленными к атакам.
- Совместное создание и тестирование решений по кибербезопасности. Можно разрабатывать универсальные инструменты, которые будут эффективны против разных типов угроз и позволят защитить большее количество систем.
- Создание отраслевых стандартов и рекомендаций в области кибербезопасности и киберустойчивости. Благодаря профильным стандартам и отраслевым практикам станет проще внедрять новые технологии и методы защиты.
- Объединение усилий и учет интересов всех сторон. Кооперация позволяет привлечь максимальное количество разных участников, объединить их усилия, чтобы, во-первых, найти взаимовыгодные решения, а во-вторых, сформировать предложения об улучшении подходов к обеспечению киберустойчивости для государственных органов, международных организаций и других заинтересованных сторон.
Чтобы открыть эти и прочие возможности, необходимо также объединиться для создания общей инфраструктуры обеспечения киберустойчивости. В этом случае организации получат:
- Общую платформу для обмена информацией об угрозах и уязвимостях и результатами разбора атак. Это упростит анализ и принятие решений.
- Общую инфраструктуру для проведения тестов и испытаний, позволяющую быстрее проверять эффективность систем защиты и внедрять новые технологии.
- Общую инфраструктуру для обучения и повышения квалификации специалистов по кибербезопасности, чтобы обмениваться опытом, знаниями и улучшить качество обеспечения защиты.
- Общую инфраструктуру для управления отраслевыми рисками, позволяющую эффективнее реагировать на атаки и угрозы, которые могут привести к неприемлемому ущербу на уровне отраслей и государства, ликвидировать последствия инцидентов, а также прогнозировать потенциальные векторы атак и исключать их реализацию.
Самым же эффективным прежде всего нужно считать построение центров обеспечения киберустойчивости отрасли. Специалисты такого центра собирают информацию об атаках, происходящих в отрасли на территории страны, и угрозах, анализируют полученные данные, выявляют тренды и закономерности, а также дают рекомендации по укреплению системы информационной безопасности и по обеспечению устойчивости к злонамеренным воздействиям. В табл. 2 перечислены направления работы и функции отраслевых центров киберустойчивости.
Таблица 2. Направления работы и функции отраслевых центров киберустойчивости
| Направление | Функции |
|---|
| Оценка недопустимых для отрасли событий, предоставление рекомендаций по повышению уровня киберустойчивости | Формулирование и приоритизация недопустимых событий и угроз, которые могут привести к неприемлемому для отрасли ущербу.
Разработка требований и рекомендаций для повышения уровня киберустойчивости отрасли, отслеживание их соблюдения в организациях
|
| Нейтрализация угроз и исключение недопустимых событий отраслевого уровня | Проверка гипотез, связанных с угрозами в инфраструктурах отраслевых предприятий.
Исключение недопустимых событий отраслевого уровня и угроз, которые могут привести к неприемлемому ущербу.
Прогнозирование возможных последствий атак на отрасль, в том числе за счет анализа больших данных, использования машинного обучения и других современных технологий |
| Разработка нормативных и методических документов | Разработка отраслевых нормативных и методических документов, способствующих построению системы результативной кибербезопасности в организациях.
Контроль эффективности применения отраслевых нормативных и методических документов.
Модернизация нормативных и методических документов при неэффективности их требований |
| Анализ, мониторинг и информирование | Помощь в реагировании на критически опасные инциденты (выявление признаков компьютерных атак, проводимых для нанесения неприемлемого для отрасли ущерба, и оповещение о них) и их расследовании по запросу отраслевых предприятий.
Координация организаций при кибератаках, которые могут привести к неприемлемому для отрасли ущербу.
Объективная оценка уровня киберустойчивости отдельных предприятий и отрасли в целом.
Оперативное информирование об актуальных угрозах и способах их устранения.
Выявление, анализ и классификация кибератак, исследование деятельности хакерских группировок.
Исследование угроз, релевантных для отрасли.
Контроль за соблюдением рекомендаций |
| Профилирование и управление | Профилирование организаций по значимости и влиянию на отраслевые производственные цепочки.
Предоставление услуги совместного расследования, чтобы повысить экспертизу на предприятиях.
Формирование реестра ответственных лиц на предприятиях для оперативного взаимодействия.
Предоставление удобного инструмента для обмена информацией и координации действий при реагировании и расследовании |
| Создание полигона, на котором тестируются решения для обеспечения киберустойчивости, и управление им | Создание и тестирование решений для обеспечения киберустойчивости.
Создание испытательных и учебных стендов оборудования, используемого в отрасли, для обучения специалистов и проведения испытаний |
| Организация работы учебного центра | Обучение практическим аспектам ИБ на базе используемого оборудования (харденинг компонентов) с учетом отраслевой специфики |
| Визуализация и отчетность | Предоставление отчетности высокопоставленным лицам и руководителям центра для объективной оценки киберустойчивости предприятий и отрасли в целом, а также поиска возможностей для улучшения текущего состояния кибербезопасности |
Создание общей инфраструктуры позволит участникам кооперации в области кибербезопасности эффективнее защищать информационные системы от кибератак и угроз, которые могут привести к неприемлемому ущербу на уровне отраслей и государства.
Кооперация организаций на уровне отраслей экономики позволит:
- Внедрить системы поэтапного планирования мероприятий в сфере кибербезопасности, чтобы постепенно повышать уровень как зрелости кибербезопасности, так и готовности к отражению кибератак.
- Разработать нормативные правовые основания для создания отраслевых центров киберустойчивости.
- Получить полномочия и финансирование на создание структур и систем для обеспечения результативной отраслевой кибербезопасности.
- Создать полноценные отраслевые центры киберустойчивости, чтобы формировать практику отраслевого реагирования на кибератаки, исследовать угрозы безопасности и средства защиты для имеющихся и перспективных технологий (большие данные, искусственный интеллект, системы машинного обучения и прочее).
- Внедрить отраслевые программы независимой проверки защищенности (отраслевые bug bounty).
Таким образом, кооперация усилий в области кибербезопасности позволяет обеспечить эффективную защиту информационных систем и повысить киберустойчивость организаций, а также стимулирует развитие отрасли и повышает ее конкурентоспособность.
Сергей Куц
Артемий Пономарёв