Текущая ситуация и информационная безопасность

Ситуация последних дней поднимает извечные русские вопросы: «Кто виноват?» и «Что делать?». Ответить на первый из них сможет только история, а вот о втором в призме вопросов обеспечения информационной безопасности стоит порассуждать.

«Импортовымещение»

Текущий момент показывает нам, что доселе невиданные сценарии становятся реальностью. Кто мог предположить, что западные вендоры начнут так или иначе покидать отечественный рынок? Речь идет об очень серьезных игроках: Microsoft, Cisco, Fortinet, Eset, Dell, HP и др.

В то же самое время количество компьютерных атак особенно на организации с государственным участием только возрастет. Создается ситуация, при которой западные средства защиты и программное обеспечение фактически превращается в тыкву с точки зрения функций обеспечения безопасности.

Возникает резонный вопрос: чем заменить ставшее практически в одночасье грудой железа оборудование.

Касательно средств защиты информации ответ, например, можно отыскать в Государственном реестре сертифицированных средств защиты информации, который ведет ФСТЭК. 

Среди содержащихся там решений есть как отечественные, так и импортные (например, Huawei и Check Point).

В общем и целом, альтернатива ушедшим вендорам есть, НО она скорее на бумаге. Возросший спрос и неопределенность с порядком поставки и ценообразования не позволит осуществить замену оборудования «здесь и сейчас» даже при наличии внушительного бюджета.

Эта ситуация касается и отечественных вендоров.

Элементная база

«Уж сколько раз твердили миру» о необходимости развития отечественной элементной базы и производства собственных процессоров.

Средства защиты информации зачастую являются программно-аппаратными комплексами, для функционирования которых помимо софта необходимо и аппаратная составляющая.

С ней тоже не все хорошо. Сейчас трудно прогнозировать ситуацию на рынке. Масла в огонь подливает уход AMD и Intel с нашего рынка.

Остается только уповать на то, что Эльбрус и Байкал смогут совершить рывок в производительности. Однако, даже при его наличии вряд ли удастся оперативно обеспечить удовлетворение спроса.

Скорее всего вопрос элементной базы на данный момент стоит наиболее остро как в контексте информационной безопасности, так и в IT-сфере в целом.

«Суверенный Интернет»

В этих условиях вполне реальным выглядит перспектива отключения России от глобальной паутины и организация по своей сути Intranet внутри страны. Перспектива не из лучших, но сбрасывать ее со счетов как-то не получается. 

С одной стороны, отключение от глобального Интернета позволит избежать негативных последствий от того вала атак, которым сейчас подвергаются «информационные ресурсы Российской Федерации», с другой – мы будем отрезаны от мирового сообщества в информационном пространстве. И речь сейчас не о социальных сетях или западных СМИ. Прежде всего речь о той компетенции, которую можно почерпнуть с зарубежных площадок. А также о контенте, который активно используется в процессах обеспечения информационной безопасности. Представим, например, на секунду Threat Intelligence, основанный исключительно на отечественных источниках об угрозах.

Перспектива не из лучших. Из того, что лежит на поверхности –атрибуция. На данный момент стандартом де-факто стала MITRE ATT&CK. Зарубежные средства защиты активно ее используют для описания действий злоумышленника, по этому же пути пошли и отечественные вендоры. Конечно же есть альтернатива – БДУ ФСТЭК, но ее интеграция и возможность использования на порядок скуднее.

Другим важным аспектом является по сути экстенсивность развития отечественного рынка, следующего за мировым. Современные концепции обеспечения информационной безопасности вначале презентуются зарубежными экспертами, а только потому, по прошествии внушительного времени, появляются на нашем рынке. Теперь уже «появлялись».

Кроме того, мотив отключения Интернета для прекращения компьютерных атак не выглядит убедительным. Устремления APT-группировок никуда не денутся. А в текущих условиях только усилится. Не секрет, что за маской хакеров не редко скрываются представители специальных служб, чьи компетенция, арсенал и целеустремленность не оставят в покое наши ресурсы даже в изолированном сегменте Интернета. В прошлом году Eset выпустила исследование о преодолении «воздушного зазора». Выводы из которого плачевные – взломать изолированную сеть можно, при чем несколькими способами.

Наличие дополнительных преград только раззадорит хакерское сообщество, а успешный взлом принесет не только достижение поставленных целей, но и моральное удовлетворение от демонстрации своего класса, преодолевающего любые препоны. Таким образом, атак станет меньше в количественном выражении, а сложность возрастет. Вместе со сложностью атак, вероятно, возрастет и ущерб от них. Данная ситуация (очень надеемся, что гипотетическая) приведет только к одному – к увеличению требований к системе информационной безопасности.

«Кадровый вопрос»

Для организации сколько-нибудь способной противостоять компьютерным атакам системы информационной безопасности в первую очередь нужны квалифицированные кадры, у которых есть доступ к актуальному контенту информационной безопасности. Кадровый вопрос и без того стоял очень остро: специалистов по информационной безопасности не хватало физически. Сейчас независимо от ситуации с глобальной паутиной количество доступных специалистов не увеличилось, а потребность только возросла. Ситуация осложняется возросшей трудовой миграцией, а также массовой релокацией офисов иностранных компаний.

Не будем забывать также и о процессах информационной безопасности, без которых невозможно обеспечение информационной безопасности. Здесь тоже не все хорошо. Например, ISACA уже объявила о прекращении сотрудничества со специалистами из России. К сожалению, образовательные платформы также приостановили оказание услуг.

Таким образом, ситуация с обеспечением информационной безопасности радужной не выглядит.

Попробуем ответить на вопрос «Что делать?» в текущей ситуации.

На данный момент приходится действовать «по обстановке». Для того, чтобы оперативно реагировать на угрозы целесообразно прислушиваться к регуляторам. НКЦКИ ведет активную работу по информированию о мерах, которые необходимо принять в текущих условиях. Найти их можно здесь. Работу в кредитно-финансовом секторе активно ведет Финцерт, который также делится с участниками информационного обмена сведениями о текущей ситуации.

Но слепое следование рекомендациям, к сожалению, не является панацеей. Безусловно они полезны, но не могут обеспечить безопасность каждой организации.

Для уверенности в способности своей системы информационной безопасности противостоять потугам злоумышленников прежде всего необходимо знать свою информационную инфраструктуру.

Как это ни парадоксально, но текущий момент должен послужить хорошую службу делу обеспечения информационной безопасности, потому что уже не получится отложить вопросы безопасности на полку. Цена слишком высока.

Необходимо в первую очередь обеспечить управляемость всеми активами. Для этого о них нужно знать, поэтому без инвентаризации не обойтись. Если обнаружены активы, характер происхождения которых неизвестен, необходимо их изолировать.

Для построения надежной системы защиты следует помнить о двух основополагающих принципах: минимизации прав и контроля доступа.

В связи с этим необходимо провести работу по анализу информационных потоков с целью обеспечения минимальности предоставления прав пользователям тех или иных информационных ресурсов. Особенно это актуально при организации каналов взаимодействия с информационными системами иных организаций. Как показывает практика, атака «на цепочку поставок» является одним из активно используемых злоумышленника векторов проникновения в целевую инфраструктуру. Также целесообразно обеспечить усиление аутентификации.

Необходимо исключить бесконтрольный доступ к тем или иным информационным ресурсам, в том числе и со стороны представителей вендоров (в особенности зарубежных). Особенно внимательно стоит отнестись к ресурсам, доступным из Интернета. Если тот или иной порт доступен из вне и при этом никак не используется, то доступ к нему необходимо заблокировать. Целесообразно реализовать у себя рекомендации НКЦКИ.

Критичную значимость приобретает мониторинг. Если процесс мониторинга не организован, необходимо как можно быстрее задуматься об этом вопросе.