ГосСОПКА: что такое, зачем нужна и как устроена (защита КИИ и соответствие ФЗ-187)

ГосСОПКА: что такое, зачем нужна и как устроена

ГосСОПКА: что такое, зачем нужна и как устроена

Больше года назад вступил в силу ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации», в рамках которого создается ГосСОПКА. К концу 2018 года НКЦКИ ФСБ России заключила более десятка соглашений с организациями об их участии в системе в качестве центров ГосСОПКА. Как и почему появилась ГосСОПКА, какой подход заложен в ее функционирование и как именно субъекты КИИ должны взаимодействовать с ней? Объясняет независимый эксперт.

 

 

  1. Введение
  2. Почему появилась ГосСОПКА
  3. История создания ГосСОПКА
  4. ГосСОПКА в контексте ФЗ «О безопасности критической информационной инфраструктуры РФ»
  5. Функции центров ГосСОПКА
  6. Взаимодействие субъекта КИИ с ГосСОПКА
  7. Выводы

 

Введение

1 января 2018 года вступил в силу федеральный закон №187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации» (далее ФЗ-187). Хотя с момента вступления закона в силу прошло уже больше года, он по-прежнему вызывает большое количество вопросов в стиле «а что именно имелось в виду в абзаце X статьи Y?» И если по вопросам, касающимся категорирования объектов критической информационной инфраструктуры и выполнения требований ФСТЭК России по ее защите, уже наработана определенная практика, то все, что касается государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), для многих субъектов, подпавших под действие закона, остается загадкой.

 

Почему появилась ГосСОПКА

Как хакерам удается взламывать информационные системы? Наглядный ответ на этот вопрос дает хронология эпидемии WannaCry. 14 марта 2017 года Microsoft опубликовало обновление MS17-010, устраняющее удаленно эксплуатируемую уязвимость SMB, 14 апреля 2017 в публичный доступ был выложен эксплойт EternalBlue, использующий эту уязвимость, а 12 мая 2017 начал свое победоносное шествие сетевой червь, использующий этот эксплойт. Точно такую же картину мы увидим и в других известных эпидемиях: Conficker, MSBlast и т. п.  Предотвратить эпидемию можно было простой установкой обновления, и это — элементарная мера защиты, которая понятна любому ИТ-специалисту. И тем не менее во многих корпоративных сетях установка обновлений не проводится.

Этот пример демонстрирует общую тенденцию: каждый опубликованный разбор инцидента и почти каждое тестирование на проникновение демонстрируют наличие в ИТ-инфраструктуре атакованной организации целый комплекс очевидных недостатков: типовые уязвимости веб-приложений, словарные пароли, отсутствие элементарной защиты от перехвата трафика в локальных сетях и т. п. Эти недостатки обнаруживаются практически в каждой организации, независимо от формы собственности, государственной или отраслевой принадлежности. Такие недостатки в равной степени присутствуют и в коммерческой компании, которая имеет полное право игнорировать проблемы собственной безопасности, и в органе власти, который теоретически должен добросовестно выполнять строгие требования ФСТЭК России в области безопасности информации.

Таким образом, если государство ставит перед собой задачу защитить от хакерских атак критически важные информационные системы, то при решении этих задач приходится учитывать несколько аксиом. Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему. На сегодняшний день нет эффективных способов избежать появления таких ошибок. Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия им. То есть всегда есть риск того, что в момент проведения атаки защищающаяся сторона окажется неспособна ей противодействовать из-за отсутствия необходимых знаний, опыта или технических средств. В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются крайне редко. В то же время для эффективного реагирования на такие атаки требуются люди с крайне редкими специальностями: реверсеры, вирусные аналитики, компьютерные криминалисты и т. п. Ни одна организация не может позволить себе держать в штате таких специалистов, если они востребованы только один-два раза в год.

Такая особенность предметной области диктует свой подход к решению проблемы. Если применяемые меры защиты не могут гарантированно предотвратить атаку, значит, одновременно с принятием превентивных мер необходимо готовиться к реагированию на такую атаку. Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.

 

История создания ГосСОПКА

Одним из первых примеров такого противодействия стала программа EINSTEIN Агентства национальной безопасности США. По замыслу авторов программы, для эффективного противодействия хакерским атакам достаточно разместить на каналах связи систему сенсоров, сочетающих в себе сигнатурные методы выявления атак с выявлением аномалий сетевого трафика. Атаки, выявляемые с помощью сигнатур, должны блокироваться оборудованием интернет-провайдеров, а анализ аномалий сетевого трафика должен позволить специалистам US-CERT выявлять новые атаки и разрабатывать сигнатуры для них.

Идея казалась очень перспективной: все компьютерные атаки включают в себя или удаленную эксплуатацию уязвимостей, или передачу по каналам связи эксплойтов, используемых при локальной эксплуатации уязвимостей, а значит, анализ сетевого трафика способен их обнаруживать. При этом все манипуляции проводятся только на внешних каналах связи, никак не зависят от архитектуры и специфики защищаемых информационных систем и не требуют вмешательства в их функционирование. В результате в 2008-2010 годах в ряде российских ведомств были начаты работы по созданию ведомственных систем обнаружения и предупреждения компьютерных атак (СОПКА), основанных на централизованном использовании IDS/IPS.

К моменту, когда задача стала актуальной для РФ, стала очевидной неэффективность такого решения. Рост протестных движений по всему миру привел к резкому всплеску политически мотивированных атак на органы государственной власти, в том числе — на информационные ресурсы правительства США. Результаты этих атак показали, что возможности хакеров и последствия этих атак сильно недооцениваются (достаточно вспомнить 5,6 млн отпечатков пальцев в личных делах государственных служащих, компрометация которых в U.S. Office of Personnel Management была обнаружена в марте 2014 г.), а методы противодействия им сильно переоценены. И действительно, аудит системы EINSTEIN, который провел в 2015 году U.S. Government Accountability Office, выявил в ней целый ряд проблем: система неспособна выявлять атаки на веб-приложения из-за того, что в них не применяются известные эксплойты, а также из-за шифрования трафика она неспособна обнаруживать передачу вредоносных файлов в протоколах HTTPS и SMTPS. Таким образом, система практически непригодна для обнаружения самых распространенных и эффективных способов проведения атак: атак на интернет-порталы и атак на сотрудников организаций с применением методов социальной инженерии.

В результате создание ведомственных СОПКА было признано недостаточным для решения задачи, и при разработке концепции ГосСОПКА был принят принципиально иной подход. Государство не берет на себя обязанность защитить кого-либо от атак, такая защита по-прежнему остается проблемой владельца защищаемой информационной системы. Вместо этого создается система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится:

  • выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей;
  • анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы;
  • координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту — по ликвидации последствий такого инцидента;
  • расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
  • информирование персонала обслуживаемых информационных систем, проведение киберучений.

Чтобы уметь выполнять такую работу, подобные центры тесно интегрируются с защищаемыми информационными системами: они получают полные инвентаризационные данные информационных систем (вплоть до проверки установленных обновлений и отдельных параметров настройки операционных систем и приложений), контролируют их защищенность и анализируют события, регистрируемые их программным и аппаратным обеспечением. При этом они не заменяют собой собственные системы защиты информационных систем: в нормальных условиях все то же самое владельцы объектов КИИ должны делать самостоятельно, а центр ГосСОПКА своей деятельностью лишь компенсирует возможные ошибки.

Такая концепция ГосСОПКА была утверждена Указом Президента РФ №К 1274 от 12.12.2014 «О Концепции ГосСОПКА», а первые технические решения были опробованы в рамках пилотного проекта в Министерстве экономического развития в 2016 г. В 2017-2018 годах в ФСБ было создано ядро системы, а в 2018 сформировано подразделение, отвечающее за взаимодействие с субъектами критической инфраструктуры (Национальный координационный центр по компьютерным инцидентам — НКЦКИ) и началось подключение субъектов.

 

ГосСОПКА в контексте ФЗ «О безопасности критической информационной инфраструктуры РФ»

Описанная выше компенсационная роль ГосСОПКА отражена в нормативных документах о безопасности КИИ. С одной стороны, владельцы значимых объектов КИИ обязаны выполнять требования ФСТЭК России по обеспечению безопасности этих объектов (ч. 3 статьи 9 ФЗ-187) и создавать системы защиты этих объектов (статья 10 ФЗ). В соответствии с требованиями ФСТЭК (Приказ ФСТЭК России от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации») в системе защиты должны быть реализованы базовые меры, многие из которых непосредственно направлены на противодействие компьютерным атакам:

  • инвентаризация компонентов информационных систем и анализ их уязвимостей (меры защиты АУД.1 и АЦД.2);
  • контроль и анализ сетевого трафика (АУД.5);
  • мониторинг безопасности (АУД.7);
  • антивирусная защита (комплекс мер АВЗ);
  • предотвращение вторжений (комплекс мер СОВ);
  • реагирование на инциденты (комплекс мер ИНЦ) и т. п.

При этом владелец имеет право самостоятельно решать, как именно будут реализованы эти меры защиты (ч. 1 статьи 9 ФЗ-187). Более того, эти меры защиты являются всего лишь базовыми, то есть необходимыми, но не достаточными для обеспечения безопасности объекта КИИ. В соответствии с процедурой, описанной в приказе №239, владелец такого объекта должен самостоятельно провести анализ угроз, актуальных для объекта, самостоятельно определить, как должны быть реализованы базовые меры защиты, а если их окажется недостаточно для защиты от угроз — самостоятельно усилить базовые меры защиты или разработать дополнительные.

В нормативной базе КИИ отсутствует привычное по государственным информационным системам требование об обязательной сертификации средств защиты — такое требование установлено только для государственных информационных систем, являющихся объектами КИИ. Остальные организации вправе использовать любые средства защиты при условии, что их соответствие требованиям безопасности проверено в результате испытаний или приемки, которые субъект КИИ может провести самостоятельно. Исчезло также понятие аттестации информационной системы на соответствие требованиям безопасности информации — подобная аттестация часто воспринимается владельцами информационных как индульгенция на случай инцидента. Вместо этого, в соответствии все с тем же приказом №239, перед вводом информационной системы в эксплуатацию ее владелец должен провести анализ уязвимостей (в том числе тестирование на проникновение) и убедиться, что все уязвимости устранены или не могут быть использованы нарушителем для реализации угроз.

Таким образом, государственные регуляторы тщательно подчеркивают, что защита объекта КИИ от компьютерных атак — обязанность и ответственность самого субъекта КИИ: государство не намерено разделять с ним эту ответственность, каким-либо образом подтверждая достаточность принятых субъектом мер защиты. Это предполагает возможность (а в первые годы действия закона — и неизбежность) ошибок, допускаемых субъектами КИИ при защите своих информационных систем. Поэтому ФЗ-187 допускает, что несмотря на реализованные меры защиты в значимых объектах КИИ возможны инциденты, и в этом случае обязывает владельца объекта информировать об инциденте ФСБ (ч. 2 статьи 9 ФЗ) и реагировать в этом случае на инцидент так, как установлено нормативными документами ФСБ (ч.3 статьи 9 ФЗ).

При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом, владелец значимого объекта КИИ свободен самостоятельно решать, как именно он будет защищать систему от компьютерных атак, т. е. предотвращать возможность проведения атак, обнаруживать атаки и локализовывать их, не давая перерасти в инцидент. Но эта свобода длится ровно до того момента, пока не произойдет инцидент, т. е. пока субъект не окажется неспособен справиться с атакой. В этом случае он обязан уведомить об инциденте ФСБ и должен выполнять предписания ведомства по реагированию на атаку. С этого момента помощь субъекту в реагировании на атаку становится задачей ГосСОПКА.

Участниками (в терминологии нормативных документов ФСБ — центрами) ГосСОПКА являются органы власти, юридические лица и (теоретически) индивидуальные предприниматели, которые в рамках этой системы занимаются противодействием компьютерным атакам. Обнаруживать атаки и реагировать на них можно по-разному, но в рамках ГосСОПКА противодействие атакам означает выполнение участником системы определенного набора функций, о которых скажем чуть позже. Для выполнения этих функций каждый субъект создает в своем составе центр ГосСОПКА — одно или несколько структурных подразделений, которые и обеспечивают выполнение этих функций.

При чтении ФЗ-187 люди, незнакомые со структурой ГосСОПКА, часто путают понятия «субъект ГосСОПКА» и «субъект КИИ». Организация, в том числе являющаяся субъектом КИИ, может принять решение о создании в своем составе центра ГосСОПКА и с согласия ФСБ стать участником системы в качестве субъекта ГосСОПКА. В законе это сформулировано как право субъекта КИИ за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, причем воспользоваться этим правом субъект КИИ может только с согласия ФСБ. На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных в нормативных документах, в том числе — обязанность выполнять функции центра ГосСОПКА. Эти обязанности закрепляются соглашением, которое организация заключает с НКЦКИ, и с момента заключения такого соглашения организация становится субъектом ГосСОПКА, а именно центром ГосСОПКА, имеющим право оказывать услуги по противодействию компьютерным атакам субъектам КИИ.

Но это не является его обязанностью: в нормативных документах подобного требования нет. К обязанностям, установленным законом, относятся необходимость информировать НКЦКИ об инцидентах (в том числе телефонным звонком и официальным письмом) и оказывать содействие сотрудникам этого ведомства. Все это субъекты КИИ могут делать и не становясь субъектами ГосСОПКА. Субъектов ГосСОПКА можно разделить на несколько видов, у каждого из которых свои мотивы принимать участие в ГосСОПКА:

  • Органы власти участвуют в ГосСОПКА по распоряжению Правительства, т. е. их участие в системе обязательно.
  • Государственные корпорации создают центры ГосСОПКА по решению своего основного акционера — государства.
  • Прочие корпорации, относящиеся к критической информационной инфраструктуре, имеют право с согласия ФСБ создавать центры ГосСОПКА и становиться участниками системы. Это решение принимается добровольно: централизация мер защиты целесообразна экономически и позволяет использовать ограниченное количество специалистов для обеспечения защиты большого количества информационных систем.
  • Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право с согласия создавать центры ГосСОПКА, подключаться к ГосСОПКА и оказывать услуги по противодействию компьютерным атакам в рамках этой системы. Это позволяет распространить деятельность ГосСОПКА на субъектов КИИ, неспособных самостоятельно обеспечить противодействие компьютерным атакам в объеме предусмотренном нормативными документами ФСБ.

Таким образом, в контексте ФЗ-187 ГосСОПКА охватывает три категории организаций:

  • субъекты ГосСОПКА, т. е. организации, которые самостоятельно обеспечивают противодействие компьютерным атакам в объеме, предусмотренном нормативными документами ФСБ, создали собственные центры ГосСОПКА и, при желании, способны оказывать услуги по противодействую атакам другим организациям (дочерним, подведомственным, коммерческим заказчикам и т. п.);
  • субъекты КИИ, которые не могут самостоятельно обеспечить требуемый уровень противодействия компьютерным атакам, но могут привлекать для решения этой задачи субъектов ГосСОПКА;
  • ФСБ России в лице НКЦКИ, который является головным центром ГосСОПКА и «единым окном» для взаимодействия субъектов КИИ с ГосСОПКА при возникновении инцидентов.

 

Функции центров ГосСОПКА

Центр ГосСОПКА создается как структурное подразделение организации, ориентированное на решение определенного набора задач по противодействию компьютерным атакам. К таким задачам относятся:

  • инвентаризация;
  • выявление уязвимостей;
  • анализ угроз;
  • регистрация инцидентов;
  • реагирование на инциденты;
  • расследование инцидентов;
  • анализ результатов реагирования на инцидент.

Выявление уязвимостей является, наверное, ключевым элементом противодействия атакам, и речь идет не только об устранении предпосылки для проведения атаки, использующей такую уязвимость. Не всякую уязвимость можно устранить в короткие сроки: иногда для этого требуется заменить уязвимые устройства, и таких устройств в инфраструктуре могут быть десятки тысяч. Знание уязвимости позволяет определить возможные способы ее использования нарушителем, следы, которые он при этом оставит, а главное — заранее спланировать действия по реагированию.

Выявление уязвимостей требует хорошего знания защищаемой инфраструктуры, и для этого требуется инвентаризация. Инвентаризация предусматривает сбор подробной технической информации о каждом сервере, каждом персональном компьютере и каждом телекоммуникационном устройстве в защищаемой инфраструктуре, включая определение моделей аппаратного обеспечения, состава установленных программных средств и установленных обновлений безопасности. Такая информация позволяет быстро реагировать на некоторые виды атак: например, при появлении публикаций о новом сетевом черве можно сразу же определить все узлы сети, потенциально подверженные такой атаке, и принять необходимые меры.

Анализ угроз также является необходимой составляющей подготовки к реагированию. Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой формальности, и многие актуальные угрозы при создании системы защиты не рассматриваются. Центр ГосСОПКА оценивает архитектуру и состав защищаемых информационных систем с позиций нападающей стороны и определяет, какие атаки могут быть проводиться на них при их текущем состоянии. Для этого используются как результаты выявления уязвимостей, так и опыт, накопленный в реагировании на атаки, проводившиеся ранее на другие информационные системы.

При реагировании на атаки центр ГосСОПКА сочетает в себе роли координатора и экспертной группы. Для атак, с которыми центру уже приходилось сталкиваться, разрабатываются сценарии реагирования (плейбуки), определяющие необходимые действия персонала по локализации атаки и ликвидации ее последствий. Если с атакой раньше сталкиваться не приходилось, центр формирует рабочую группу из представителей персонала защищаемой системы и своих экспертов, и решения вырабатываются непосредственно в процессе реагирования.

Не на каждую атаку удается отреагировать адекватно. Решения, принятые в спешке в случае неизвестной атаки, не всегда оказываются удачными, даже в случае известных атак готовые плейбуки не всегда оказываются адекватными. Поэтому после каждого реагирования проводится разбор полетов, по итогам которого принимаются решения о совершенствовании защиты информационных систем и работы собственно центра ГосСОПКА.

Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании на отдельный инцидент, но каждая такая неудача должна приводить к совершенствованию защиты.

 

Взаимодействие субъекта КИИ с ГосСОПКА

Путаница в понятии «субъект» («субъект КИИ» или «субъект ГосСОПКА») порождает путаницу в вопросах взаимодействия субъектов КИИ с ГосСОПКА.

Субъект КИИ обязан незамедлительно проинформировать об инциденте ФСБ, а точнее — НКЦКИ. Если субъект КИИ поднадзорен Банку России, то он обязан также проинформировать ФинЦЕРТ Банка России. На практике это означает следующее:

  • Субъект КИИ может сообщить об инциденте в НКЦКИ любым из доступных способов: через интернет-портал НКЦКИ, письмом по электронной почте, телефонным звонком или официальным письмом.
  • Субъект КИИ, являющийся субъектом ГосСОПКА (т. е. заключивший с ФСБ соглашение о подключении к инфраструктуре НКЦКИ), сообщает об инциденте с помощью специальных средств взаимодействия, напрямую подключающихся к инфраструктуре НКЦКИ.
  • Субъект КИИ, поднадзорный Банку России, может сообщить об инциденте в ФинЦЕРТ, и оно будет передано в НКЦКИ.
  • Субъект КИИ, обслуживаемый центром ГосСОПКА, может сообщить об инциденте в этот центр ГосСОПКА, и оно будет передано в НКЦКИ.

Таким образом, центры ГосСОПКА, обслуживая своих клиентов, выступают в роли посредников между субъектами КИИ и НКЦКИ.

 

Выводы

Структура ГосСОПКА порождает своеобразное частно-государственное партнерство в вопросах противодействия компьютерным атакам. Угроза хакерских атак актуальна и для органов власти, и для бизнеса, но в сферах, определенных законом, они представляют особую опасность для общества. Самостоятельно защищаться от таких атак способны далеко не все. В рамках ГосСОПКА обеспечивается концентрация компетенций, необходимых для предотвращения атак и реагирования на них, и воспользоваться такими компетенциями могут как представители крупного бизнеса, так и небольшие компании и даже индивидуальные предприниматели. При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования к их деятельности, осуществляя надзор этой деятельностью и даже непосредственно участвуя в реагировании на некоторые атаки.

Подход, в рамках которого создается ГосСОПКА, нов не только для России, но и для западных стран, на опыт которых часто ссылаются в вопросах информационной безопасности: подобный уровень государственно-частного партнерства пока нигде не практиковался. Поэтому сейчас трудно судить об эффективности и перспективах ГосСОПКА, учитывая, что первые центры еще только начинают свою работу и пока охватывают своей деятельностью лишь незначительную часть критической информационной инфраструктуры. Радует, что в теме противодействия компьютерным атакам регуляторы не стали зацикливаться на формальной стороне вопроса: нет такого набора требований, выполнение которых могло бы считаться достаточным для субъекта КИИ. Вместо этого и в требования ФСТЭК России к процедурам создания системы защиты, и в требования ФСБ к деятельности центов ГосСОПКА заложен принцип адаптивности. Ошибаться могут все, и инциденты, в том числе связанные с неэффективностью принятых мер защиты, будут случаться всегда, и это нормально. Оба регулятора требуют лишь, чтобы субъекты анализировали собственные ошибки и использовали их для совершенствования своих систем защиты. Но это — тема для отдельной публикации.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru