Киберпреступность – теневая область. При этом то, что реально обнаружено и зафиксировано – это лишь верхушка айсберга: о большинстве цепочек преступлений (а они часто тянутся одно за другим) мы даже не узнаем до поры до времени.
Вот пример серьезного случая: в 2020 году атаковали SolarWinds, компанию-производитель промышленного программного обеспечения. А дальше как по накатанной: преступники получили доступ к ПО Orion (продукт SolarWinds), и внедрили туда бэкдор SUPERNOVA. Что это им дало? Они подключились к удаленному серверу управления и контроля, а так можно и данные украсть, и систему уничтожить. Зараженный пакет пошел по всей клиентской цепочке, в общем, история была очень неприятная. Ключевой момент – несколько лет о факте утечки никто не знал.
Последствия этой истории – кибератаки на Федеральную систему и Министерство финансов США, а также Управления телекоммуникаций и информации, Microsoft, да и других объектов.
Конечно, на фоне таких историй утечка данных ВИЧ-инфицированных из поликлиники – игра в бирюльки.
А это дело серьезное – проблема на уровне национальной безопасности.
Вот именно в связи с растущей популярностью таких случаев еще в 2017 году Совет безопасности ООН принял резолюцию о защите критически важных объектов инфраструктуры и призвал государства разработать всяческие превентивные меры по защите таких объектов.
Следом за этим и в России в 2018 году вступил в силу закон «О безопасности критической информационной инфраструктуры», регулирующий безопасность именно в этой сфере.
Структуры разрастаются, связываются автоматизированными системами управления, и превращаются в критические важные объекты инфраструктуры. Помните, например, проект «ГосТех»? Вот один из примеров.
Что такое в целом критическая информационная инфраструктура (КИИ)?
Согласно закону, владельцы объектов критической информационной инфраструктуры – банки, органы госуправления, телекоммуникационные компании, предприятия теплоэнергетического комплекса, предприятия оборонно-промышленного комплекса, машиностроения. В общем, крупные компании, корпорации, обладающие внушительной информационной сетью, масштабными автоматизированными системами управления, управляющие технологически сложными процессами, – становятся субъектами КИИ. Но КИИ – это не сами предприятия, разумеется, а их информационные системы.
Так вот, по вступившему в 2018 году закону, стратегия безопасности государства в России по этому направлению такая: все подобные объекты подлежат категорированию (всего 3 категории), в зависимости от размеров ожидаемого ущерба для государства при нарушении информационной безопасности объекта. Какие угрозы рассматриваются? В основном компьютерные атаки, но не только. Получив соответствующую категорию, КИИ подключаются к системе обнаружения атак ФСБ, которые, в свою очередь, могут предотвратить атаку либо ликвидировать ее последствия.
В принципе, алгоритм прост:
- подаем данные об объектах, подлежащих категорированию, в Федеральную службу по техническому и экспортному контролю (ФСТЭК)
- подключаем к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданной ФСБ по поручению президента.
- ну и они уже составляют перечень объектов КИИ и соотносят их с категорией значимости угрозы по ущербу (его размеру) при хакерской атаке. Получился реестр значимых объектов.
Ну а для него уже составляют алгоритм предотвращения угроз и ликвидации последствий. Ответственный за безопасность орган – ФСБ.
Но весь этот процесс задерживается из-за сложности категорирования. То есть, задерживается первый этап.