Проблемы в сфере кибербезопасности в Украине
В стране не проводится системная работа по подготовке организаций к кибератакам. Сети многих атакованных организаций все еще не вычищены от хакеров.
Ответственные госорганы слишком много внимания уделяют техническим аспектам в ущерб организационным. Для мониторинга и блокирования кибератак внедряются какие-то технические решения, осваиваются какие-то гранты.
Но, к сожалению, этого недостаточно.
Не делается то, что нужно делать в первую очередь:
1. Не распространяются индикаторы атак и образцы зловредного кода, чтобы другие организации могли проверить свои сети и определить, было ли у них вторжение. На наш взгляд, необходимо делать, например, так.
2. Не разрабатываются Advisories – руководство по противостоянию и реагированию на кибератаки.
Вот пример такого Advisory, выпущенного властями в США. В документе присутствуют правила для YARA – бесплатного средства, которое любая организация может скачать и проверить своих системы на предмет заражения. Также даны базовые рекомендации по усилению сетей, серверов, Active Directory и прочего.
3. Не предоставляется помощь по искоренению нарушителей из сетей организаций. А это очень сложный и длительный процесс, который может занять месяцы, и требующий методологической поддержки.
Насколько мне известно, многие госорганизации, которые были атакованы, остались без поддержки с точки зрения вычистки их сетей от хакеров. И хакеры все еще присутствуют в сетях этих организаций.
4. Госспецсвязь должна дать организациям инструменты, которые позволят им понять, скомпрометированы ли их сети, а также обучить организации реагировать на кибератаки.
Госспецсвязь должна анализировать образцы хакерских инструментов с недавних атак, и публиковать руководства по поиску признаков вторжения, противостояния и искоренения хакеров, как это делают за рубежом.
Государство должно помогать организациям готовиться к атакам, а также помогать проводить сдерживание и искоренение злоумышленников из компьютерных сетей организаций, которые подверглись атаке.
Поскольку государство этого не делает, помогают волонтеры и вендоры. Активисты Киевского отделения ISACA разработали и запустили программу тренингов для госорганов по подготовке и противодействию кибератакам.
Мы уже провели тренинг для нескольких организаций. Но подобными тренингами нужно охватить всю страну, всю критическую инфраструктуру. Тут нужен подход Train the Trainer: мы обучаем группу тренеров, проверяем их знания – а они уже обучают всех остальных.
* * *
Если сравнивать нашу ситуацию с международным опытом, у нас не хватает важнейших элементов управления кибербезопасностью, а созданный при РНБО координационный центр работает неэффективно.
В стране отсутствует централизованное управление силами реагирования на киберинциденты и уполномоченными госорганами. Имеет место лишь "координация", но и она неэффективна. Насколько мне известно, координационный центр сейчас лишь разрабатывает механизмы координации в случае этак, и этот процесс в зачаточном состоянии.
Государству необходима система управления, которая позволит централизованно оперативно руководить действиями уполномоченных силовых структур (Армия, Полиция, Госспецсвязь, СБУ) в случае кибератак, а также привлекать волонтеров и бизнес, если нужна поддержка.
На уровне министерств также необходимо определить ответственных за кибербезопасность в соответствующих отраслях.
Сейчас многие руководители отказываются признавать свою ответственность: мол, если есть комплексная система защиты информации, КСЗИ – отвечает Госспецсвязь. Это неправильно.
Кроме CERT-UA, необходимы отраслевые CERTы, и центры обмена информацией об атаках ISAC (Information Sharing and Analysis Centers).
В некоторых странах есть отдельные CERT-ы по безопасности АСУТП и SCADA-систем. Эти организации могут создаваться как профильными министерствами в отраслях, где есть критическая инфраструктуры, так и компаниями-участниками рынка.
У нас также не определена роль отраслевых регуляторов в части кибербезопасности.
За границей многие вопросы кибербезопасности регламентированы именно отраслевыми регуляторами, потому что никто кроме них не знает лучше особенности их отрасли. Пример отраслевого регулятора – NERC в США для энергетики, или Ofcom в UK для телеком и медиа сектора. Есть готовые отраслевые стандарты кибербезопасности для различных отраслей, которые можно использовать в Украине для той или иной критичной отрасли.
Необходимо внедрить международные стандарты вместо доказавшей свою неэффективность КСЗИ.
Система КСЗИ показала свою неэффективность. Необходим переход к международным, риск-ориентированным стандартам и лучшим практикам – ISO-27000 и NIST.
Соответствие стандартам должны подтверждать не аудиторы, аккредитованные государством – а компании, имеющие у себя специалистов, обладающих международной сертификацией по ИТ-аудиту и кибербезопасности. Международная аккредитация вместо государственной позволит предотвратить возможные злоупотребления со стороны чиновников и обеспечить высокое качество аудита.
Вузы должны готовить студентов по международным стандартам, а международные профессиональные сертификации должны быть признаны в Украине.
Важный вопрос – образование. В Украине должны быть признаны на государственном уровне международные сертификации по форензику, кибербезопасности, ИТ-аудиту, ИТ-управлению. А вузы, наконец, должны начать готовить специалистов по международным стандартам – а не по защите информации согласно КСЗИ.
Нужно выстроить диалог между властью, профессиональным сообществом и бизнесом по вопросам кибербезопасности.
Не хватает работающей программы государственно-частного партнерства. Государство очень слабо информирует бизнес и граждан о своих планах, о том, что происходит. Многие стратегически важные вопросы обсуждаются и решаются кулуарно.
Бизнес и волонтеров не вовлекают, если государству нужна помощь – для этого нет механизмов. Бизнес и граждане также не могут рассчитывать на получение квалифицированной помощи от государства по кибервопросам.
Необходимо наладить взаимодействие с международными организациями, центрами обмена информацией об атаках, CERTами. От представителей некоторых из этих организаций мы знаем, что сейчас взаимодействие не на высоте.
Внедрение кибербезопасности требует комплексного, трансформационного подхода, который должен управляться внешними экспертами, независимыми от интересов политических партий.
Почему нужен комплексный подход?
Проекты, которые нужно запустить, не должны ограничиваться четырьмя силовыми ведомствами. Они должны охватить также все органы государственной власти, министерства, где есть критическая инфраструктура, частные компании, академический сектор, граждан.
Проекты и инициативы должны быть взаимоувязаны и объединены в единую программу. Такая программа должна централизованно управляться, прогресс должен отслеживаться еженедельно, если не ежедневно.
Должен быть создан Трансформационный Офис по кибербезопасности, подобный Офису Реформ.
Насколько я понимаю, вопросы кибербезопасности у нас опять застопорились из-за раздела сферы контроля и соответствующих ресурсов между разными ведомствами и политическими партиями, которые их контролируют. Поэтому программу трансформации кибербезопасности должны возглавить иностранные консультанты, обладающие необходимым опытом и незаангажированным взглядом.
Другие страны должны быть заинтересованы помочь нам: ведь Украина используется международными хакерскими группировками для тестирования и отладки новых средств, которые мотом будут использованы против западных компаний и иностранных государств.
Фокус должен быть на создании эффективной системы управления, обучении, аудитах, переходе на западные стандарты. Закупка средств защиты не даст ничего, если неправильно спроектирована архитектура.
Если говорить о "тушении пожаров" – средства должны тратиться на обучение в сфере подготовки и реагирования на киберинциденты, а также на проведение серии аудитов кибербезопасности в органах государственной власти и критичных объектах. Аудиты должны проводиться по международным стандартам, независимыми от государства организациями, имеющими сертифицированных специалистов.
Необходимо строить отраслевые CERTы и ISACи. Совершенствовать систему образования.
Переход на западные стандарты информационной и кибербезопасности также должен быть тщательно спланирован, и это потребует ресурсов.
Из бесплатных средств нужно как можно скорее развернуть YARA и SNORT.
С технической точки зрения, необходимо внедрять лицензионные средства защиты, такие как mail antivirus, proxy antivirus, endpoint protection, SIEM, IDS/IPS, межсетевые экраны, process whitelisting и пр. Во многих организациях нет даже коммерческих межсетевых экранов, не говоря уже о других средствах.
Эти средства должны для госорганов закупаться централизованно по самым низким ценам. В системе PROZORRO мы часто видим, что государство покупает программное обеспечение и "железо" по цене в несколько раз выше той, что платят коммерческие организации.
Закупка средств защиты не даст ничего, если неправильно спроектирована архитектура. Нужна безопасная стандартная архитектура на уровне сети, домена, приложений. Наболее критичые системы, например, системы управления транспортом, производством на заводе, целесообразно вообще отключить от внутренних сетей предприятия.
Не нужно разрабатывать и закупать за деньги налогоплательщиков системы, которые распространяются бесплатно и успешно используются в других странах.
Что не нужно делать – это закупать системы, которые уже есть в открытом доступе.
Пример – в Украине создано ТЗ на систему для обмена информацией об атаках, которая будет развернута в РНБО и силовых ведомствах. На это будут выделены госсредства, и год, наверное, эта система будет разрабатываться.
Но такие системы уже есть, они доступны бесплатно, и используются многими организациями в мире. Зачем же нам разрабатывать?
Нужно ждать новых резонансных атак и готовиться к ним.
Скорее всего, это будут все те же органы государственной власти, объекты критической инфраструктуры, банки.
Атаки, целью которых является саботаж, наиболее вероятно, будут приурочены к каким-то датам или событиям для достижения максимального эффекта. Это могут быть, например, праздники, выборы, обострения на фронте, важные переговоры. Например, могут быть атаки, приуроченные к майским праздникам.
Каждая организация должна понять для себя, что в ее сеть уже проникли, злоумышленники изучают ее работу, и ждут удобного момента для атаки. Поэтому нужно готовиться – организационно и технически.
Более детальную информацию по вопросам противодействия кибератакам можно найти в Анализе текущей ситуации и рекомендациях ГО "Ісака Киев", которые были представлены на вокршопе TAIEX по кибербезопасности в Украине.
Алексей Янковский, президент Киевского отделения международной неприбыльной профессиональной ассоциации ISACA, специально для УП
УП 100. Поза межами можливого
"Украинская правда" представит свой второй в истории рейтинг лидеров - сотню украинцев, которые делают наибольший вклад в независимость и будущее Украины.