Group-IB предложила начать с центра
Group-IB, одна из крупнейших российских компаний, работающих в сфере информационной безопасности, предложила создать Национальный центр мониторинга и реагирования на инциденты в киберсфере. Это следует из презентации Group-IB, опубликованной в Telegram-канале BlackMirror. Ее подлинность РБК подтвердили два источника на рынке информационной безопасности. В начале августа Group-IB представила презентацию в Минкомсвязи, рассказал один из них. Заместитель министра цифрового развития, связи и массовых коммуникаций Олег Иванов подтвердил, что министерство изучило презентацию Group-IB. Представители Group-IB не ответили на вопросы РБК.
Без «единого надежного ресурса со всей необходимой информацией об актуальных угрозах» число случаев, когда граждане становятся жертвами мошенников, продолжит расти — приводится в презентации аргумент в пользу создания такого центра. В 2019 году в России были скомпрометированы 170 млн записей персональных данных. Поскольку не существует единого центра доступа к информации об утечках, граждане, госслужащие и бизнес либо узнают об утечках из СМИ, либо не узнают вообще, говорится в документе.
РБК разбирался, нужен ли в России подобный центр.
Что предложила Group-IB
Согласно презентации центр:
- будет наблюдать и выявлять утечки персональных данных в интернете — как для госорганов, так и для бизнеса;
- будет противодействовать онлайн-мошенничеству на порталах госорганов;
- создаст единый обучающий онлайн-портал для граждан, включающий подборки статей, интерактивных тестов, видеоуроков, игровых заданий и других материалов по цифровой гигиене;
- проведет комплексный анализ защищенности ИТ-инфраструктуры госорганов;
- создаст комплексную систему защиты для проекта цифрового профиля гражданина на базе Единой системы идентификации и аутентификации (ЕСИА) и портала госуслуг.
Необходимый размер инвестиций и источники финансирования в презентации не приводятся, но даны цены отдельных мероприятий:
- 120 млн руб. в год за централизованный мониторинг утечек персональных данных населения, государственных органов и служащих, а также бизнеса в режиме 24/7/365; автоматическую блокировку ресурсов, использующих скомпрометированные персональные данные; расследование инцидентов (кто должен выступать заказчиком услуги, из презентации не ясно);
- 7 млн руб. за комплексный анализ интернет-пространства для 50 брендов госорганов, создание базы нелегально использующих их ресурсов;
- 165,6 млн руб. в год за регулярный мониторинг интернета на предмет мошенничеств и неправомерного использования бренда, оперативное реагирование по выявленным нарушениям и мошенническим e-mail-рассылкам;
- 3,2 млн руб. за проверку одной организации на предмет компрометации;
- 4,65 млн руб. за тестирование инфраструктуры для выявления уязвимостей в организации примерно с 1 тыс. автоматизированных рабочих мест и 50 серверами.
Насколько эти значения выше или ниже средних по рынку, эксперты затруднились сказать. По словам аналитика компании SearchInform Алексея Парфентьева, среднюю стоимость услуг, которые предлагает центр, дать невозможно, так как на рынке нет их устоявшегося определения — по факту объем работ может быть любым. Исходя из информации о тендерах, находящейся в открытом доступе, стоимость подписки только на мониторинг и выявление утечек персональных данных в интернете колеблется от 500 тыс. до 25 млн руб.
Как в России борются с киберугрозами
В России существует несколько центров по борьбе с киберугрозами.
- В 1998 году Российский научно-исследовательский институт развития общественных сетей создал RU-CERT — центр реагирования на инциденты в области информационной безопасности, имеющие отношение к пользователям сети для нужд науки и высшей школы RBNet.
- В 2012 году Федеральная служба безопасности (ФСБ) создала центр реагирования на компьютерные инциденты в информационных системах госорганов GOV-CERT.
- С 2015 года действует созданный Центробанком FinCERT (ФинЦЕРТ) для противодействия подобным угрозам в банковской сфере.
- В 2018-м создан подведомственный ФСБ Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Согласно закону «О безопасности критической информационной инфраструктуры», к которой относятся сети связи госорганов, финансовых, телекоммуникационных, энергетических и ряда других компаний, владельцы подобных объектов обязаны предоставлять сведения о кибератаках в НКЦКИ или в Центробанк, если речь идет о финансовой организации. Взаимодействовать с ФСБ владельцы критической информационной инфраструктуры должны через Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Тем не менее количество преступлений, связанных с киберпреступностью, растет. За последние пять лет число таких преступлений возросло в 25 раз, заявлял недавно генпрокурор России Игорь Краснов. В первом полугодии этого года показатель возрос на 92% по сравнению с тем же периодом прошлого года.
Group-IB не первая компания, предложившая создать национальный центр. Еще в 2017 году Сбербанк выступил с идеей создать подобную структуру. По задумке банка, новый центр должен был «курировать» существующие институты в сфере информационной безопасности: RU-CERT, GOV-CERT, ГосСОПКА, а также отраслевые CERT, но предложение так и не было реализовано.
По словам одного из источников РБК, часть приведенных в презентации Group-IB идей исходила от участников рабочих групп при АНО «Цифровая экономика» (отвечает за исполнение одноименной программы) и обсуждалась на их заседаниях. Например, Сбербанк предлагал внести в «Цифровую экономику» меры по борьбе с социальной инженерией, на которую сейчас приходится 90% кибермошенничеств. Из обсуждений следовало, что банк разработал проект плана мероприятий по снижению киберпреступности и кибератак. Он направлен на борьбу с мошенничествами в отношении граждан и бизнеса с использованием социальной инженерии, фишинга и вредоносного программного обеспечения, а также с преступлениями, совершаемыми в интернете (включая Darknet), а также на предотвращение утечек конфиденциальной информации, персональных данных, в том числе биометрических. Текст документа не публиковался. Кроме того, звучало предложение включить в Уголовный кодекс технические составы таких преступлений, как фишинг, социальная инженерия, кража сим-карт и др., но идею не поддержало Министерство внутренних дел.
Предложений назначить Group-IB единственным исполнителем по предложенному компанией проекту на заседаниях рабочих групп не звучало, подчеркивает собеседник РБК. Представитель АНО не ответил на вопросы.
Нужен ли новый центр
По словам Олега Иванова, Минкомсвязь «обязательно учтет предложения Group-IB при реализации мероприятий по созданию ГосСОПКА в рамках федерального проекта «Информационная безопасность» (входит в нацпрограмму «Цифровая экономика»). Но «во избежание дублирования создание дополнительного центра реагирования на инциденты информационной безопасности» замминистра считает излишним.
Описанные в презентации Group-IB задачи уже решаются на уровне НКЦКИ, говорит директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком» Владимир Дрюков. «Создание одного центра представляется гораздо менее эффективным, чем та модель, которая существует сейчас, — иерархическая структура центров, которые занимаются мониторингом киберугроз и направляют информацию о них в главный центр, — рассуждает Дрюков. — Методы кибератак и принципы защиты от них имеют заметную отраслевую специфику, без учета которой эффективное обеспечение защищенности невозможно». Хорошим примером такого отраслевого центра он назвал FinCERT.
Технический директор Qrator Labs Артем Гавриченков сомневается, что полномочия и зона ответственности НКЦКИ будут как-то размыты в ближайшие годы. «Реального эффекта конкретно от данного проекта Group-IB, по крайней мере в ближайшее время, ожидать не стоит», — уверен он.
По словам эксперта по кибербезопасности Алексея Лукацкого, к существующим центрам могут быть вопросы к качеству работы, но он считает, что сейчас лучше сконцентрироваться на работе ГосСОПКА и FinCERT и инвестировать в их развитие. По мнению Лукацкого, центр от Group-IB не решит проблему утечек данных, потому что борьба с ними подразумевает контроль на стороне организаций, а также введение более жесткой ответственности как за утечки, так и за использование и распространение данных. «Но центр Group-IB не сможет повлиять на контроль сотрудников со стороны организаций или изменить законодательство, поэтому его задачи в борьбе с методами мошенничества с помощью социальной инженерии не очень ясны», — указал Лукацкий.