Минцифры в ближайшее время планирует запустить реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ). В него могут попасть, например, взлом официальной страницы или рассылка ложных данных от имени организации. Реестр призван «повысить осведомленность» руководителей организаций, на которых ложится персональная ответственность за устранение таких инцидентов. Но более эффективным механизмом, по мнению экспертов, был бы обмен информацией о предотвращении подобных рисков — данные о самих угрозах быстро устаревают.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
Минцифры планирует создать реестр недопустимых событий в области кибербезопасности, который будет открыт для всех организаций. Об этом “Ъ” сообщили три источника в отрасли и подтвердили в министерстве. В первую очередь речь идет о госорганах, госучреждениях и объектах КИИ — именно на них распространяется действие указа президента от 1 мая о дополнительных мерах по обеспечению информационной безопасности (cм. “Ъ” от 1 мая). Согласно указу, на заместителей глав организаций ложится персональная ответственность за обнаружение и ликвидацию последствий атак.
В список должны быть внесены опасные для IT-инфраструктуры компаний сценарии, которые «нельзя допускать ни при каких условиях», объясняет собеседник “Ъ”.
Подобные угрозы, по его словам, должны выявить привлеченные ведомством аудиторы совместно с руководителями оцениваемых организаций. Реестром, по задумке Минцифры, смогут пользоваться все желающие организации.
В министерстве “Ъ” пояснили, что в рамках указа президента ряду организаций и органов было необходимо провести анализ защищенности и представить отчет в правительство: «Представленные отчеты показали необходимость в систематизации и категоризации перечня неприемлемых событий». Реестр планируется создать до конца года, уточнили в Минцифры. Сначала будет определен перечень, рассказывает собеседник “Ъ”, близкий к разработке инициативы, затем компании определят для себя, какие события могут быть характерны для них и зафиксируют это докладом в правительство, затем проведут мониторинг отсутствия наступления таких событий.
Сейчас проблема в том, что компании направляют в Минцифры абстрактные формулировки о рисках безопасности, за которыми не стоит понимание проблемы, рассказывает независимый эксперт по кибербезопасности Алексей Лукацкий:
«Здесь же есть возможность показать наглядно, от чего каждая компания должна защититься. Но важен не просто список, а верификация каждого события, его демонстрация».
Например, реальная остановка профессионалами оборудования предприятия, после которой глава компании будет понимать, что это возможно, какой убыток он понесет и что ему нужно сделать, чтобы этого не произошло, поясняет эксперт: «Тогда реестр станет точкой отсчета при оценке уязвимости компаний из всех сфер».
Для каждой сферы экономики недопустимые события свои: государственная организация не может позволить себе взлом официальной страницы или рассылку несанкционированных данных от своего имени, онлайн-магазин — остановку сервиса продаж, объясняет руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев. Реестр не преследует цель защититься от угроз напрямую, но поможет консолидировать базу рисков, чтобы ее «воспринимали однозначно», полагает он.
После начала военных действий на Украине 24 февраля масштабным хакерским атакам подверглись почти все государственные информсистемы, а также крупные корпорации. Собеседник “Ъ” на рынке кибербезопасности сообщал, что по итогам проверки компаний из всех отраслей экономики, от финансового сектора до промышленности, выяснилось, что у 79% в системах были уязвимости и 86% из них удалось успешно взломать (см. “Ъ” от 10 июня).
Важным аспектом выглядит поддержание актуальности данных в реестре, говорит специалист Group-IB по информационной безопасности Сергей Золотухин:
«Без регулярного обновления реестр рискует превратиться в своеобразное кладбище недопустимых событий, которые уже давно не происходят».
Куда больший интерес представляет собой реальный опыт борьбы с последствиями уже реализованных рисков и механизмов их предотвращения, считает партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов: «Обмен таким опытом выглядит более актуальным, это может быть следующим шагом».