Статистика компьютерных инцидентов за 2022 год показывает неуклонный рост количества как массовых, так и целенаправленных компьютерных атак. По оценкам участников рынка, в отдельных отраслях наблюдается рост в несколько раз в сравнении с аналогичным периодом прошлого года. Заметное влияние на это в том числе оказывает геополитическая ситуация.
Авторы:
Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
Екатерина Степанова, ведущий консультант отдела аудита и консалтинга АМТ-ГРУП, к.т.н.
К "классическим" атакам, целью которых является получение материальной выгоды, добавились атаки, реализуемые из идеологических соображений хактивистами, стремящимися вызвать общественный резонанс, привлечь внимание к социальным и политическим вопросам. В этой связи мишенью становятся не только популярные ранее объекты, такие как финансовые организации, государственные учреждения, ИТ, телекоммуникационные компании и т.д., но и сферы, которые прежде злоумышленников практически не интересовали, – СМИ, промышленность, агропромышленный комплекс и транспорт.
Наиболее распространенными являются DDoS-атаки, атаки на веб-ресурсы, утечки конфиденциальной информации и персональных данных. Растет и количество атак, направленных на нарушение работы и перехват управления системами и сетями. Такие атаки могут приводить к нарушению деятельности или экономическому ущербу организаций различных масштабов, а также выходящим за пределы самих организаций негативным последствиям, в частности социальным, политическим и экологическим.
С учетом актуальности задач обеспечения киберустойчивости в отдельных отраслях вводится соответствующее нормативное регулирование.
С 1 октября 2022 г. кредитные и некредитные финансовые организации (далее – ФО) при осуществлении деятельности в сфере финансовых рынков должны обеспечивать операционную надежность в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники и телекоммуникационного оборудования. Указанные требования устанавливаются положениями Банка России № 787-П и № 779-П, которые не являются чем-то совершенно новым: детальный анализ показывает, что они лишь расширяют и дополняют требования ранее действовавшей нормативной базы. Рассмотрим отдельные вопросы, регулируемые указанными положениями, подробнее.
В соответствии с положениями № 787-П и № 779-П ФО должны провести работы по идентификации и учету критичной архитектуры. При этом состав элементов критичной архитектуры схож с элементами критической информационной инфраструктуры, определяемыми в соответствии с нормативными документами в области безопасности КИИ (программно-аппаратные средства, общесистемное и прикладное ПО, каналы связи и др.). Дополнительно необходимо идентифицировать:
В положениях No 787-П и No 779-П определен типовой перечень технологических процессов, обязательных для учета и контроля. В рамках инвентаризации целесообразно расширить данный перечень и рассматривать отдельные критические процессы, идентифицированные в рамках работ по категорированию объектов КИИ организации.
Банк России развивает подход, согласно которому деятельность не может быть управляема, если она не может быть измерена, определив в положениях № 787-П и № 779-П необходимость оценки и обеспечения контроля показателей операционной надежности, в том числе:
ФО должны определить допустимые уровни показателей и обеспечить оценку по каждому событию операционного риска, связанного с нарушением операционной надежности, фактических значений показателей, а также обеспечить контроль соблюдения значений целевых показателей.
Для реализации указанных в положениях № 787-П и № 779-П требований необходимо разработать (актуализировать) комплект нормативно-методических документов. В документах должны быть регламентированы процедуры:
Кроме рассмотренных выше процедур, финансовые организации должны обеспечить выполнение следующих процессов и процедур:
Как правило, при реализации требований к обеспечению защиты информации в соответствии с положениями Банка России № 683-П и № 757-П в ФО указанные процессы и процедуры уже должны быть реализованы. Следует удостовериться, что ранее внедренные процессы защиты информации в том числе охватывают все компоненты критичной архитектуры.
Практические мероприятия по повышению киберустойчивости Банк России сформировал отдельные отраслевые требования. Казалось бы, организациям остальных отраслей не на что опереться. Однако проблема обеспечения киберустойчивости в мировом масштабе актуальна достаточно давно, сформированы и применяются лучшие практики, международные стандарты обеспечения непрерывности процессов и систем. И в отечественных нормативно-правовых актах по отдельным направлениям (например, по безопасности КИИ РФ) уделяется большое внимание вопросам управления инцидентами информационной безопасности, обеспечению доступности, планированию действий в нештатных ситуациях.
Приведем основные шаги, позволяющие повысить киберустойчивость инфраструктуры предприятия вне зависимости от его отраслевой принадлежности:
Нельзя не отметить, что одним из важнейших вопросов в рамках обеспечения киберустойчивости в текущих условиях является выбор ИТ- и ИБ-решений. Многие зарубежные производители покинули российский рынок, основная часть зарубежных решений перестала полноценно функционировать, продлить подписки нет возможности, с обновлениями также возникают проблемы. Кроме того, усиливается законодательное регулирование в части ограничения применения иностранного ПО и средств защиты информации.
Замена неподдерживаемого оборудования и ПО является одной из задач в рамках обеспечения киберустойчивости. При этом заменить все и сразу, как правило, не представляется возможным, в том числе ввиду ограниченности финансовых и временных ресурсов. При планировании замены также целесообразно учитывать критичность отдельных систем и оборудования: в первую очередь внимания требуют те, которые обеспечивают критические процессы, где потенциальное влияние инцидентов и сбоев может привести к критичным последствиям.