Об авторе — Сергей Куц, руководитель направления по развитию отраслевой кибербезопасности Positive Technologies.

В России существует множество отраслей экономики, у каждой из которых своя специфика — свои технологические процессы, средства автоматизации, требования, стандарты и многое другое. При этом можно выделить ключевые отрасли, от деятельности которых в первую очередь зависит успешное развитие страны: государственная сфера, финансы, транспорт, энергетика, а также телекоммуникации и связь. Эти отрасли в государстве можно сравнить с системами жизнеобеспечения в организме живого существа, без функционирования которых организм погибнет. Например, транспортная система позволяет снабжать промышленные предприятия сырьем и материалами, а электроэнергия поддерживает работу производственных цехов. Финансовая система обеспечивает возможности для оплаты энергии и транспортировки, а без стабильной связи и средств телекоммуникации были бы невозможны управление и автоматизация.

Чтобы все эти отрасли бесперебойно функционировали и работали как единый организм, все их элементы должны быть защищены. Меры защиты, достаточные для исключения негативных последствий для государства, должны быть определены и реализованы в зависимости от значимости и степени влияния участников на цепочки поставок в рамках отраслевого и межотраслевого взаимодействия.

Однако в текущих условиях общая защищённость организаций, а следовательно, и цифровая устойчивость отраслей, недостаточна. Атаки на поставщика, подрядчика или на ключевые организации конкретных отраслей приводят к серьёзным последствиям. Так, например, одна кибератака фактически парализовала почтовую службу страны, а в результате других атак пострадали сфера услуг крупного города и инфраструктура поставщика гидравлического оборудования для промышленности.

Злоумышленники постоянно развивают свою экспертизу и инструментарий, который автоматизирует типовые сценарии нападения и сокращает время на подготовку и на саму атаку. Это приводит к тому, что сложность, распределенность и масштабность целенаправленных кибератак постепенно растут. Чтобы быть готовыми к их отражению, нужны эффективные высокотехнологические структуры, которые способны противостоять кибернатиску и обеспечивать цифровую устойчивость ключевых систем.

Отдельные организации сами по себе не могут обеспечить непрерывное функционирование целых отраслей. Поэтому необходимо создавать центры киберустойчивости (ЦКУ), которые должны функционировать как на уровне государства в целом, так и на уровне крупных холдингов, корпораций и отраслевых ведомств.

Киберустойчивость — это способность информационной системы, организации, отрасли или государства непрерывно функционировать в условиях кибератак. В России органы государственной власти постепенно идут в направлении нормативно-правового регулирования отраслевых центров и формирования требований в этой области:

• участники заседания научного совета при Совете Безопасности РФ в январе рассмотрели вопросы деятельности ведомственных и отраслевых центров компетенций в области информационной безопасности и отметили, что создание таких центров позволит оптимизировать усилия для повышения защищенности информационных ресурсов с учетом отраслевой специфики;
• на «Инфофоруме-2023» заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов в феврале обозначил важность создания отраслевых центров кибербезопасности;
• заместитель председателя совета по развитию цифровой экономики при Совете Федерации Артем Шейкин в июне выступил с инициативой создания межотраслевого центра по обеспечению безопасности информационных систем;
• ФСТЭК России в июле подготовила проект указа президента РФ, направленный на расширение полномочий службы, в частности в области разработки и внедрения совместно с органами государственной власти и местного самоуправления процессов управления защитой информации и безопасностью значимых объектов критической информационной инфраструктуры, учитывая их отраслевую специфику;
• во исполнение п. 5 указа президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» ФСБ России готовит порядок аккредитации центров ГосСОПКА.

От центра противодействия киберугрозам — к центру киберустойчивости отрасли

В России для совершенствования подходов к обеспечению защиты применяется концепция результативной кибербезопасности. Предпосылкой для реализации такого подхода послужил выход упомянутого указа президента РФ № 250, а также методические материалы Минцифры. Подход к оценке уровня защищённости апробируется в федеральных органах исполнительной власти.

Концепция результативной кибербезопасности предусматривает создание центра противодействия киберугрозам (ЦПК), главная цель которого — исключить недопустимые для организации событий. Фактически это центр мониторинга и реагирования (SOC) нового поколения. Работа ЦПК происходит на уровне элементов IT-инфраструктуры, включая приложения, в том числе сайты, корпоративную или технологическую сеть.

Если совсем кратко, то в рамках создания ЦПК необходимо предпринять следующие шаги: определить недопустимые события, проверить возможность их реализации (с помощью тестов на проникновение), донастроить средства защиты и мониторинга и провести тюнинг IT-инфраструктуры (харденинг). Далее нужно повторно верифицировать недопустимые события для подтверждения корректности настройки, запустить программу bug bounty с критерием реализации таких событий для проверки защищённости, и в рамках совершенствования ЦПК отладить процессы на регулярной основе — проводить киберучения и периодически актуализировать угрозы и недопустимые события.

На уровне выше — для отраслевых ведомств, многоуровневых корпораций и холдингов, с учётом их сложной структуры и специфики – необходимо создавать ЦКУ. В таких центрах работа ведётся уже на уровне бизнес-функций (или государственных функций для органов власти), межорганизационного или межведомственного взаимодействия. Например, в сфере производства авиатоплива на конечный результат влияет множество зависимых друг от друга процессов — от добычи сырья и его транспортировки до переработки и доставки готовой продукции конечному потребителю. Если одно звено из цепочки производства и поставки выпадет, то и последствия могут быть крайне негативными — от финансовых потерь и репутационных издержек до полной остановки деятельности предприятий. Такие объекты необходимо защищать, учитывая при этом реальные угрозы, риски и потенциальные векторы атак при самых негативных сценариях. Целеполагание при формировании стратегии кибербезопасности здесь хотя и имеет более широкий охват, остается всё тем же — исключить недопустимое.

Таким образом, основное отличие ЦПК от отраслевых ЦКУ состоит в том, что первые закрывают задачи по кибербезопасности на уровне IT-инфраструктуры организации, а вторые работают на уровне отрасли в целом: фокусируются на глобальных угрозах, отслеживают возможные сценарии неприемлемых событий и имеют дело с полной картиной потенциальных векторов атак.

Критерии и функции ЦКУ

Эффективность центра киберустойчивости можно определить по следующим критериям:

• злоумышленники не могут реализовать недопустимые для отрасли события в результате спланированной цепочки кибератак;
• отрасль и её ключевые предприятия достигли высокого уровня киберустойчивости;
• гарантирована возможность измерять и контролировать этот уровень в отрасли в целом и в её основных организациях в каждый момент времени.

Для выполнения этих критериев отраслевой ЦКУ реализует следующие функции. Во-первых, определяет и приоритизирует недопустимые для всей отрасли события и обеспечивает их исключение, а также объективно оценивает уровень киберустойчивости отдельных предприятий и отрасли в целом, предоставляет организациям требования для повышения этого уровня и отслеживает их выполнение.

Во-вторых, ЦКУ занимается угрозами и инцидентами. Центр расследует инциденты и реагирует на них, обеспечивает автоматизированную обработку типовых запросов и предоставляет сервис совместного расследования для повышения экспертизы на предприятиях отрасли. Также ЦКУ выявляет, анализирует и классифицирует кибератаки; исследует релевантные для отрасли угрозы, проверяет связанные с ними гипотезы на инфраструктурах предприятий; оперативно информирует предприятия о наличии таких угроз и способах их нейтрализации.

В-третьих, для руководителей отрасли у центра есть инструменты визуализации, которые позволяют объективно оценивать устойчивость предприятий и отрасли в целом к атакам. ЦКУ предоставляет предприятиям удобный инструмент для обмена информацией и координации действий, а также ведет реестр ответственных лиц на предприятиях — для оперативного реагирования.

Наконец, в целях построения результативной кибербезопасности в организациях отрасли ЦКУ разрабатывает отраслевые нормативные и методические документы, контролирует их исполнение, при необходимости модернизирует их.

Как создать структуру ЦКУ

Центры киберустойчивости должны иметь набор программных и программно-аппаратных средств, персонал, утверждённые процессы и процедуры. Все вместе это позволяет не только своевременно выявлять киберинциденты и реагировать на них, но и ликвидировать последствия прежде, чем будет нанесён неприемлемый ущерб отдельным предприятиям или отрасли в целом.

Организационная структура ЦКУ может состоять из отраслевого регулятора, экспертного комитета, ситуационного центра, аналитического центра, внутренней службы ИБ (внутреннего ЦПК). Отраслевой регулятор и экспертный комитет совместно создают стандарты и методические документы, разрабатывают цепочки недопустимых событий и планы реагирования на уровне отрасли, а также помогают компаниям выстроить результативную кибербезопасность и контролируют выполнение требований.

Ситуационный центр контролирует текущий уровень киберустойчивости всей отрасли и статусы реагирования, отслеживает угрозы наступления недопустимых для отрасли событий и обеспечивает своевременное реагирование на отраслевом уровне, а также обеспечивает необходимый уровень киберустойчивости отрасли даже в отсутствие недопустимых событий.

Аналитический центр способствует превентивному повышению защищённости организаций отрасли на техническом уровне. Этот орган анализирует актуальные угрозы, обеспечивает экспертную поддержку предприятий, помогает в расследовании инцидентов ИБ и реагировании на них в IT-инфраструктуре, рассылает уведомления об угрозах и индикаторах компрометации, трендовых уязвимостях, проводит аналитические и практические исследования, организует киберучения.

Центр противодействия киберугрозам (внутренняя служба ИБ) обеспечивает защиту самого ЦКУ. Для этого в IT-инфраструктурах отраслевых предприятий применяются средства защиты, мониторинга, контроля, управления, в том числе организационные меры по обеспечению кибербезопасности. Требования могут быть сформированы через стандарты отраслевой кибербезопасности (например, как это сделано в нормативных документах Центрального банка РФ).

Как построить результативную кибербезопасность в отрасли

Реализация отраслевой кибербезопасности, нацеленной на результат, может проходить в несколько этапов на двух уровнях — организационном и общеотраслевом. На уровне отрасли необходимо сначала создать саму структуру центра киберустойчивости и сформировать соответствующие роли, определить недопустимые для всей отрасли события и их цепочки, а также проработать и утвердить для них планы реагирования. Далее следует внедрить и ввести в эксплуатацию средства автоматизации, подключить источники данных со стороны предприятий, источники межотраслевого уровня, а также разработать отраслевые нормативные и методические документы. Наконец, для подтверждения текущего уровня киберустойчивости нужно проводить отраслевые киберучения.

На уровне организаций сто́ит начать с определения неприемлемых для каждой из них событий, включая события, вошедшие в цепочки на уровне отрасли, «приземлить» такие события на IT-инфраструктуру с помощью определения возможных сценариев реализации, актуальных для них бизнес-процессов и инфосистем, а также критериев реализации, соответствующих привилегий пользователей и сетевых сегментов. Путём имитации целенаправленной кибератаки необходимо верифицировать недопустимые события, а затем провести кибертрансформацию, чтобы исключить возможность их реализации, — включая внедрение необходимых процессов, средств и мер защиты, создание и обучение команд экспертов по ИБ.

Для подтверждения эффективности принятых в организации мер нужно провести серию киберучений, а затем внедрять процессы, позволяющие поддерживать достигнутый высокий уровень киберустойчивости.

Порядок этапов может изменяться в зависимости от специфики и уровня готовности отрасли к выстраиванию результативной кибербезопасности. Реализация этапов может идти параллельно, если это возможно.

Такой подход применим не только для отраслевых ведомств, но и для холдингов и корпораций, в которых есть дочерние организации со своими системами и бизнес-процессами.

Выводы

Поддержание высокого уровня киберустойчивости отраслей будет залогом киберустойчивости всего государства. Для этого необходимо создание профильных отраслевых центров киберустойчивости на уровне ведомств и ключевых корпораций, а также центров противодействия киберугрозам в организациях. Для реализации концепции общенациональной результативной кибербезопасности необходимо выстраивать процессы и процедуры с единым целеполаганием на организационном, отраслевом и государственном уровнях на основе исключения недопустимых событий. Достижение этих целей потребует внедрения новых практик и технологий, которые позволят автоматизировать процессы, а также обеспечат оперативное реагирование на масштабные кибератаки.