Кибератаки на критически важные для РФ объекты участились в десятки раз
Кибератаки на объекты критической информационной инфраструктуры (КИИ) выше в 10–15 раз, чем в других сегментах, рассказал вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов на BIS Summit Ekaterinburg. Тренд появился в 2018 году и держится в 2019 году. Объекты КИИ — это совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ — в сферах оборонной промышленности, медицины, металлургии и др.
Не деньги, а контроль
Увеличилась не только плотность атак на КИИ, но и их качество. Вирусы становятся более сложными и дорогостоящими.
«У атак на объекты КИИ нет цели монетизации, их задача — получить контроль над инфраструктурой. Для этого нужны более изощренные способы атак, более дорогое, сложное ПО — бесфайловые вирусы, черви, которые практически не оставляют следов на файловой системе. Мы видим изменение профиля атак», — пояснил Ляпунов.
В «Ростелекоме» считают, что за прошлый год изменился и профиль кибератак. Раньше это были широковещательные атаки — эпидемии, а в 2018 году, например, распространились атаки с использованием оборудования Cisco. По словам Ляпунова, тенденцию подтвердили ФСБ и Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). По данным InfoWatch, средний ущерб от одной атаки для компаний малого и среднего бизнеса составляет 6 млн руб., а почти половина (43%) случаев DDos-атак являются лишь прикрытием для других вредоносных операций.
«Анализируя коды ПО, которое атакует КИИ, мы пришли к выводу, что их делают не один-два самоучки. Это качественные разработки, в которые вложено много денег. В вирусы вшита защита, которая сигнализирует о том, что атакующая программа попала под изучение. Это принципиально иной вызов, чем было 5-6 лет назад, когда атаки вообще были не частыми и не имели прицела на КИИ», — рассказал Игорь Ляпунов.
Без коммерческой помощи
Большинство предприятий, попадающих под закон о КИИ, находятся на стадии категорирования. От того, какая категория им будет присвоена, будет зависеть объем обязательств и необходимых инвестиций для поддержания безопасности. Компании сами определяют категорию.
К объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети госорганов и автоматизированные системы управления технологическими процессами, которые связаны либо с госорганами, либо с предприятиями определенной отрасли. Объекты КИИ относятся к предприятиям, функционирующим в области оборонной промышленности, здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-топливной, горнодобывающей, металлургической или химической промышленности.
Как рассказал вице-президент по информационным технологиям Группы «Русская медная компания» Сергей Шувалов, РМК создала спецкомиссию, которая и займется категорированием. Работу осложняет запрет на участие в комиссии специалистов по информационной безопасности из сторонних коммерческих компаний, разрешено участие только ведомственных экспертов. Для обеспечения и построения системы безопасности можно привлекать на договорной основе внешние лицензированные компании.
Группа «Синара» уже столкнулась с проблемами категорирования. Предприятие холдинга — «Уральский дизель-моторный завод» — связано с машиностроением, которое не входит в перечень по КИИ. Но завод выполняет гособоронзаказ, рассказал заместитель начальника отдела охраны и режима Группы «Синара» Олег Китаев. Поэтому непонятно, распространяется ли действие федерального закона о КИИ на предприятие или нет. В уральском управлении Федеральной службы по техническому и экспортному контролю (ФСТЭК), по словам Китаева, ситуацию не прояснили. ФСТЭК имеет специальные и контрольные функции в области госбезопасности, в том числе структура консультирует по вопросам, связанным с КИИ.
Купить, украсть, обучить специалиста
С 2018 года действует федеральный закон о безопасности критической информационной инфраструктуры. В случае взлома, ответственному специалисту и главе предприятия грозит уголовная ответственность. Специалист должен заниматься только безопасностью КИИ, участники рынка заявляют об остром дефиците таких кадров.
Предприятия решают проблему по-разному — «РМК» планирует нанимать специалистов по КИИ на аутсерсе и «переманивать у соседей», «Ростелеком» берет на стажировку студентов старших курсов в регионах и отбирает из них команды для работы с КИИ. У Группы «Синара» есть собственный корпоративный университет, где в том числе руководство холдинга планирует проводить допподготовку по направлению.
Представитель управления ФСТЭК России по УрФО Елена Привалова добавила, что в 2018 году утверждена примерная программа по повышению квалификации специалистов по защите КИИ. Учебные заведения Урала сегодня уточняют и дорабатывают эту программу.
Сергей Шувалов уточнил, что уголовная ответственность за несохранение безопасности КИИ не наступает в том случае, если был использован новый способ — «неизвестный вектор атаки».