Структуры ЦБ и «Сбера» исключили из сообщества по борьбе с киберугрозами
Международное сообщество FIRST (Forum of Incident Response and Security Teams — Форум команд по обеспечению безопасности и реагирования на инциденты), которое занимается обобщением накопленных знаний о кибератаках из разных стран и позволяет своим участникам обмениваться опытом, приостановило сотрудничество с восемью российскими центрами реагирования на компьютерные инциденты. Это следует из информации на сайте FIRST. Среди них Центр мониторинга и реагирования на компьютерные атаки Банка России (ФинЦЕРТ), Российский центр реагирования на компьютерные инциденты (RU-CERT), центры при «Лаборатории Касперского», BI.ZONE («дочка» Сбербанка), «Инфосистемы Джет», «Ростелеком-Солар», «Лаборатории информационной безопасности», «Инфосекьюрити» (входит в Softline).
Как сообщалось в Telegram-канале «Инфосекьюрити», FIRST также приостановило сотрудничество с двумя белорусскими центрами. Решение было аргументировано новыми американскими правилами экспортного контроля. Мера не затронула те российские компании, которые перенесли свой головной офис за рубеж, в частности Group-IB.
Что дает сотрудничество с FIRST
FIRST было создано в 1990 году в ответ на распространение компьютерных угроз: когда в ноябре 1988 года в мире начал распространяться один из первых интернет-червей, реакция на него в начале была не скоординированной, создание организации должно было помочь преодолеть языковые барьеры, разницу в стандартах и т.п.
До сих пор в сообщество входили 612 команд, в том числе Apple, IBM, BMW и др. Например, «Ростелеком-Солар», став участником FIRST в июне 2021 года, указывала, что новый статус даст компании доступ к международной базе актуальных инцидентов. Это должно было усилить проактивную защиту заказчиков от международных киберугроз, а также помочь оперативно обмениваться с участниками FIRST собственными данными об атаках.
Команды реагирования на инциденты работают в разных странах с разными организациями, и их опыт сильно различается, объяснил РБК источник на рынке информационной безопасности. «Если один из участников рынка зафиксировал атаку, но не сообщил о ней, это не позволит другим игрокам подготовиться и предотвратить ее. FIRST позволяло консолидировать силы», — рассказал собеседник. Он отметил, что российские центры продолжат обмениваться данными друг с другом.
Еще один источник на рынке в беседе с РБК назвал ситуацию «неприятной, но не критичной»: «FIRST хоть и полезный, но далеко не единственный источник данных о киберугрозах. Текущее положение должно привести к беспрецедентному сплочению ключевых отечественных игроков рынка информационной безопасности, в том числе к обмену имеющейся у них информацией об угрозах».
Эксперт по кибербезопасности Алексей Лукацкий отметил, что также не видит проблемы: российские центры продолжают работать, их знания и опыт никуда не исчезают. Однако решение FIRST, по его словам, может быть «тревожным звонком» и свидетельствовать о том, что другие международные организации в сфере кибербезопасности могут последовать этому примеру. «Недавно международная ассоциация специалистов в области управления IT ISACA прекратила прием экзаменов российских специалистов. А американская компания SANS уже 1,5 года не позволяет российским специалистам в области кибербезопасности проходить обучение. Это может осложнить прямой доступ к знаниям. Возможно, придется получать их через Казахстан, где у многих российских центров есть филиалы», — рассуждает Лукацкий.
Представитель пресс-службы Банка России сообщил, что исключение из FIRST никоим образом не повлияет на задачи и цели ФинЦЕРТа, поскольку он «обладает достаточным количеством источников информации о компьютерных атаках, а также взаимодействует со всеми CERT, расположенными на территории России и иных дружественных стран».
Представитель «Лаборатории Касперского» сказал, что их «разочаровало» решение FIRST и что «оно бьет по всему интернациональному сообществу экспертов и по всей индустрии информационной безопасности, поскольку ставит под сомнение основополагающий принцип доверия». «Принципы беспристрастности и объективности, открытого сотрудничества экспертов и организаций разных стран, заложенные десятилетия назад, стали краеугольным камнем современных подходов, технологий, продуктов и услуг информационной безопасности. Они должны оставаться незыблемыми, чтобы слово «безопасность» имело шанс сохраниться в названии отрасли. Мы категорически не согласны с решением FIRST и надеемся на конструктивное обсуждение этого вопроса», — говорит представитель «Лаборатории Касперского». По его словам, компания «полностью разделяет заявленные идеи и принципы FIRST и считает своим долгом помочь их отстоять и сохранить».
Представители BI.ZONE, «Ростелеком-Солар», «Инфосистемы Джет», «Инфосекьюрити» воздержались от комментариев.
РБК направил запросы в RU-CERT и OOO «Лаборатория информационной безопасности».