С весны российские компании сферы информационной безопасности (ИБ) неоднократно отмечали увеличение числа атак, например, директор по развитию бизнеса Positive Technologies Максим Филиппов говорил ICT.Moscow об их росте в разы, «до пиковых значений». Одновременно с российского рынка ушли зарубежные вендоры и в мире во многом изменилось отношение к ИБ-компаниям из России.

Начали замораживаться профессиональные контакты, например, в марте международное сообщество для реагирования на киберугрозы FIRST (Forum of Incident Response and Security Teams) приостановило работу с российскими центрами реагирования на компьютерные инциденты (CERT). Тогда один из собеседников РБК на российском рынке ИБ предположил, что это «должно привести к беспрецедентному сплочению ключевых отечественных игроков рынка информационной безопасности, в том числе к обмену имеющейся у них информацией об угрозах».

Тема объединения участников отечественного ИБ-рынка в той или иной форме поднимается регулярно. К примеру, весной на конференции AM Live представитель «РТК-Солар» подтверждал, что идея создания российского альянса для обмена данными «витает перед глазами»; летом в интервью TAdviser президент группы компаний InfoWatch Наталья Касперская говорила, что «разумные руководители компаний по ИБ понимают, что надо объединяться»; а в начале осени газета «Коммерсант» написала об инициативе создания открытой платформы для обмена информацией между ИБ-специалистами.

ICT.Moscow поговорил с представителями ИБ-компаний «Лаборатория Касперского», «РТК-Солар», Positive Technologies, «СёрчИнформ», Group-IB, «Код Безопасности», R-Vision, «Киберпротект» и «Доктор Веб», а также ИБ-подразделения Департамента информационных технологий Москвы (ДИТ Москвы), чтобы разобраться, какой видят идеальную модель взаимодействия, почему существующих механизмов кооперации может быть недостаточно и что мешает подобному инструменту заработать в полной мере.

Зачем отрасли объединение

Объединить экспертизу российских ИБ-компаний — «хорошая история», считает Павел Коростелев из «Кода Безопасности». По его мнению, совместные «усилия разных организаций помогают повышать эффективность продуктов». С ним согласны и другие собеседники ICT.Moscow, в частности, Алексей Парфентьев, начальник отдела аналитики «СёрчИнформ», и Игорь Сметанев, директор по стратегическому развитию R-Vision. По словам последнего, консолидация усилий игроков российского рынка ИБ — «очень важный и стратегически правильный аспект для успешного противостояния возросшему количеству хакерских атак».

Взаимный обмен информацией об инцидентах, сведениях о присущих им индикаторах компрометации (объектах или активности в сети или на устройстве, указывающих на вероятность несанкционированного доступа — прим.) и другими ценными для ИБ-специалистов данными позволит организациям повысить осведомленность о тактиках и техниках, используемых злоумышленниками. Это, в свою очередь, даст компаниям время для организации дополнительных мер защиты, а в случае, если инфраструктура уже была скомпрометирована, позволит сократить время реагирования на инцидент и минимизирует размер ущерба.

Игорь Сметанев

директор по стратегическому развитию R-Vision

Елена Бочерова, исполнительный директор компании «Киберпротект», называет «естественным процессом» объединение усилий участников российского ИБ-рынка «на основе частных, корпоративных и общественных интересов», катализатором которого выступают «современные вызовы». В «Лаборатории Касперского» напоминают, что «у каждого вендора свои источники данных (телеметрия, идущая от его продуктов, расследование инцидентов на стороне клиентов и т.д.)».

Почти всегда невозможно утверждать, что ты видишь полную картину атаки — восстановить ее бывает возможно только совместными усилиями. События последних месяцев закрывают многих отечественных поставщиков продуктов и услуг ИБ внутри одних и тех же рынков, усиливая конкуренцию. Это может негативно сказаться на кооперации.

Евгений Гончаров

руководитель центра исследования безопасности промышленных систем «Лаборатории Касперского» 

В «РТК-Солар» считают, что на рынке ИБ спрос превышает предложение и призывают коллег объединять усилия. Компания сама подает пример: в марте она заключила соглашение о совместном противодействии компьютерным атакам с российским разработчиком антивирусного ПО «Доктор Веб». Летом «РТК-Солар» договорился о совместной работе с «Лабораторией Касперского»: согласно заявлению двух компаний, планируется создание экосистемы, внутри которой разные решения для защиты от кибератак смогут обмениваться детализированной информацией об инструментарии и тактиках злоумышленников, включая телеметрию.

Но есть и противоположное мнение: Борис Шаров, гендиректор компании «Доктор Веб», не считает идею объединения в ИБ-отрасли перспективной, причем «ни в нынешней, ни в какой другой ситуации».

Участники рынка ИБ — самостоятельные коммерческие компании, многие из которых существуют не первый десяток лет. Потребности какого-либо объединения не наблюдалось и не наблюдается. Тем более что на уровне государства уже давно есть органы, которые организуют обмен соответствующей информацией и в связи с этим выполняют определенную объединяющую функцию.

Борис Шаров

генеральный директор «Доктор Веб»

Какие механизмы уже существуют

С 2018 года все компании, имеющие объекты критической информационной инфраструктуры (КИИ), обмениваются информацией в рамках государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Она состоит из связанных ведомственных и корпоративных центров. Первый отраслевой центр ФинЦЕРТ был создан при Центробанке.

По состоянию на 1 сентября система насчитывала 670 подключений, а количество работающих с ней организаций превышало 2,3 тыс. А недавно стало известно о планах Минцифры и Минтранса создать свои отраслевые центры. Деятельность субъектов КИИ координирует созданный ФСБ России Национальный координационный центр по компьютерным инцидентам (НКЦКИ), выступающий в роли российского CERT и оказывающий содействие в реагировании на компьютерные атаки и инциденты.

КИИ включает в себя информационные системы и ИКТ-сети компаний, работающих в таких областях как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности. В сентябре Михаил Мишустин заявлял о планах расширить перечень объектов критической информационной инфраструктуры. Также с 1 сентября 2022 года все операторы персональных данных обязаны передавать в ГосСОПКА сведения о компьютерных инцидентах, в результате которых произошли утечки.

Некоторые собеседники ICT.Moscow убеждены, что сотрудничество в отрасли надо развивать именно на базе платформы ГосСОПКА. Например, Игорь Сметанев из компании R-Vision убежден, что «дальнейшее его развитие и подключение к ГосСОПКА большего числа организаций может существенно повысить общий уровень киберустойчивости российского рынка». Похожей позиции придерживаются в «РТК-Солар»:

Коммерческие организации не готовы делиться данными о своих инцидентах в силу внутренних ограничений (NDA и проч.), а коммерческих провайдеров ИБ-услуг с серьезной экспертизой в России крайне мало. Поэтому мы делаем ставку на повышение эффективности через уже существующие структуры, включая ГосСОПКА, и консолидацию опыта ключевых игроков.

Владимир Дрюков

директор центра противодействия кибератакам Solar JSOC «РТК-Солар»

Однако ранее в СМИ звучали критические мнения относительно эффективности системы в ее текущем виде. Например, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин заявлял, что ГосСОПКА «не стала полноценной площадкой обмена информацией и опытом», а другой собеседник «Коммерсанта» объяснял это тем, что система «не открыта для бизнес-сообщества». Ранее о проблемах в работе с системой рассказывал и представитель «РТК-Солар», указывая на отсутствие доверия к ней со стороны участников рынка.

Представители ИБ-отрасли, с которыми пообщался ICT.Moscow, говорят и о других механиках взаимодействия и сотрудничества участников рынка. Например, Алексей Парфентьев из «СёрчИнформ» напоминает, что в каждой отраслевой ИТ-ассоциации есть комитеты по информационной безопасности. «Мы участвуем в двух: АПКИТ и «Руссофт», — уточняет он. — Эта деятельность не связана с нынешней ситуацией, это привычный и важный формат работы, который помогает обмениваться позициями, продвигать инициативы, готовить совместные проекты».

Есть и более узкие истории — Ассоциация больших данных, Ассоциация банков России. Где-то прорабатываем вопросы нормативного регулирования, где-то формируем пакетные предложения с другими участниками, перечень вопросов широкий. Из нового в 2022 году — тема индустриальных центров компетенций, направленных на импортозамещение. Хотя в рамках этой инициативы пока удивляет отсутствие высокого интереса к ИБ.

Алексей Парфентьев

начальник отдела аналитики «СёрчИнформ»

Евгений Гончаров из «Лаборатории Касперского» полагает, что для обеспечения кибербезопасности помимо оперативной и точной информации об уязвимостях, угрозах и инцидентах, а также передачи метаинформации для построения цепочек доверия важен еще один тип коммуникаций — обмен опытом исследователей.

Такое взаимодействие практикуется и на уровне городов, рассказывает Валерий Комаров, руководитель направления обеспечения осведомленности управления информационной безопасности ДИТ Москвы: «Департамент регулярно делится своим опытом на профильных конференциях, по приглашению администраций регионов принимает участие в форумах и конференциях по вопросам обеспечения безопасности КИИ». По его словам, подобные контакты позволяют перенять лучшие практики и опыт, чтобы гарантировать информационную безопасность городской среды.

Чего хочет отрасль от единой платформы

Идея создания платформы для обмена данными и экспертизой о киберинцидентах между всеми игроками российского ИБ-рынка возникла довольно давно, еще лет 10-12 назад, вспоминает Валерий Баулин, региональный директор Group-IB в России и СНГ. Но до недавнего момента в России «не было опыта создания таких практических и ориентированных на результат альянсов», сетует ИБ-специалист Алексей Лукацкий.

Обычно дело ограничивалось ассоциациями, которые в лучшем случае проводили собственные конференции и писали письма в адрес регуляторов. Сейчас же необходимо вырабатывать общие правила игры и в части обмена данными об инцидентах (как через ГосСОПКА, так и через отраслевые центры) и рекомендаций по реагированию на них, разработки API для обмена данными и командами между продуктами и сервисами разных компаний, подготовки специалистов по ИБ в соответствие с лучшими практиками и т.п.

Алексей Лукацкий

бизнес-консультант по информационной безопасности Positive Technologies

Валерий Баулин из Group-IB считает, что «единой точкой для обмена экспертизой должна стать именно платформа класса Threat Intelligence (TI, киберразведка — прим.)». Он предполагает, что такой инструмент позволит ИБ-вендорам и профильным подразделениям компаний банковского, телеком- и промышленного секторов обмениваться данными о киберинцидентах, скомпрометированных банковских картах, учетных записях, зараженных смартфонах, новых вредоносных программах, используемых преступниками серверах управления и пр. Обмен информацией об инцидентах будет полезен, но это должен быть «не какой-то абстрактный Threat Intelligence, а тот, который можно применить предметно в средствах защиты и желательно в автоматизированном режиме», подчеркивает Павел Коростелев из «Кода Безопасности». Его коллега из компании «СёрчИнформ» напоминает о важности сотрудничества для защиты и от внутренних угроз:

Нужно обмениваться не только информацией о хакерах и уязвимостях, но и о внутренних угрозах, методиках предотвращения утечек, фильтрации трафика или разграничения доступа. Часто эту тему забывают, а в 2022 году риски инсайдерства возросли кратно. И если защищаться от новых атак хакеров за прошедшие месяцы мы более или менее научились, то вычислить инсайдера до сих пор могут не все и не всегда.

Алексей Парфентьев

начальник отдела аналитики «СёрчИнформ»

Данные киберразведки помогают ИБ-специалистам подготовиться к возможным действиям, но эффективно использовать Threat Intelligence могут в основном организации со зрелым уровнем информационной безопасности, а для компаний, где «функция ИБ еще только начинает свой рост и развитие, подобные данные могут быть избыточны», предупреждает Игорь Сметанев, директор по стратегическому развитию R-Vision. По его словам, мало просто получать информацию об угрозах — эти данные необходимо нормализовать, т.е консолидировать сведения из различных источников, обогащать их контекстом.

С ним согласен Валерий Комаров из ДИТ Москвы:

Наибольшую ценность для каждой конкретной организации представляют те сведения, из которых она может извлечь пользу. Следовательно, для разных организаций в соответствии с их уровнем ИБ будут представлять наибольшую ценность разные типы информации. В организациях с высоким уровнем обеспечения ИБ, в которых имеется достаточно средств защиты информации, квалифицированный персонал, выстроенные процессы мониторинга, реагирования и расследования инцидентов, процессы анализа защищенности и управления уязвимостями и т.д., так же выстроен и процесс получения и работы с индикаторами компрометации — для них наибольшую пользу принесет информация о тактиках и техниках злоумышленников, полученная в результате расследования инцидентов в других организациях из их отрасли. 

Валерий Комаров

руководитель направления обеспечения осведомленности управления информационной безопасности ДИТ Москвы

С другой стороны, компаниям с низким уровнем обеспечения ИБ и без выстроенных процессов «такие данные просто невозможно применить», продолжает эксперт. Для них «максимальную пользу принесут индикаторы компрометации, которые несложно использовать. Например, заблокировать адреса электронной почты или добавить IP-адреса в блок-лист на межсетевом экране».

«Государственные бюджетные организации больше заинтересованы в появлении альянса участников рынка информационной безопасности, — продолжает Валерий Комаров из ДИТ Москвы. — При недостаточном бюджете на ИБ возможность получить дополнительную экспертизу, несомненно, будет востребована. Но далеко не во всех организациях есть штатные специалисты, способные применить ее на практике. Для извлечения практической пользы в организациях должны уже быть выстроены соответствующие процессы, созданы системы и должен быть персонал соответствующей квалификации».

Среди видов информации, обмен которой может быть полезен, Владимир Дрюков из «РТК-Солар» называет рекомендации, в том числе в формате «сделай сам». «Следуя им, компании, которые не обладают серьезной экспертизой в кибербезопасности, могут в текущих условиях так или иначе противостоять киберугрозам», — поясняет эксперт.

Для консолидации данных об угрозах, инцидентах ИБ и обмена экспертизой наиболее эффективной моделью является формирование и развитие отраслевых центров (команд) реагирования на компьютерные инциденты (CERT), убежден Игорь Сметанев из R-Vision. В России, в частности, такие центры есть у компаний BI.ZONE (BI.ZONE-CERT), «Лаборатория Касперского» (Kaspersky ICS CERT), «РТК-Солар» (RTSCERT), Group-IB (CERT-GIB), «Инфосистемы Джет» (Jet CSIRT), Infosecurity (Infosecurity CERT). Помимо этого есть упомянутый выше ФинЦЕРТ, а также Российский центр реагирования на компьютерные инциденты (RU-CERT). Они сотрудничали с международным сообществом FIRST, получая и делясь данными о киберинцидентах, пока то не приостановило их членство в марте 2022 года (за исключением CERT-GIB, которое относится к сингапурской структуре Group-IB).

В идеальной модели совместные усилия и обмен информацией между коммерческими SOC (ситуационными центрами информационной безопасности, включающими функции реагирования на инциденты), а также операторами связи, облачными провайдерами, госструктурами и другими участниками цифрового сообщества «может внести качественные изменения в уровень своевременного прогнозирования, анализа событий и инцидентов информационной безопасности», убеждена Елена Бочерова из компании «Киберпротект». По ее мнению, моделью для кооперации может быть создание национального экспертного объединения по выявлению и реагированию на инциденты ИБ. «В состав ассоциации должны входить прежде всего коммерческие и отраслевые SOC», — отмечает она.

А в «Лаборатории Касперского» ищут, как преодолеть «тенденцию стремительного разрушения горизонтальных связей и деградации взаимного доверия».

Мы считаем, что инициатива создания таких платформ и альянсов должна исходить от самих исследователей. Только так могут появиться и эффективные технические решения, и действенные факторы мотивации делиться данными, и гарантии доверия.

Евгений Гончаров

руководитель центра исследования безопасности промышленных систем «Лаборатории Касперского»

Что мешает объединению

Несмотря на то, что многие видят пользу в кооперации профессионалов инфобеза, реализовать ее в формате единой платформы в полной мере пока не удается. Основными барьерами могут быть закрытость рынка информационной безопасности и кадровый дефицит:

В первую очередь необходимо понять, что именно будет мотивировать пользователей добавлять сведения о своих инцидентах ИБ на такую платформу. Особенно если учесть, что детальная информация о контексте инцидента и нанесенном организации ущербе являются крайне чувствительными данными. Кроме того, важно осознавать, что для ввода данных также потребуются дополнительные человеческие ресурсы, а это будет сложно организовать в условиях и без того сильной загруженности подразделений ИБ и нехватки специалистов в целом.

Игорь Сметанев

директор по стратегическому развитию R-Vision  

В компании «Доктор Веб» с большим скепсисом смотрят на то, что кто-то на рынке будет добровольно и бесплатно отдавать свои данные.

Если игроки коммерческие, то какой им интерес обмениваться тем, что они смогли найти благодаря своим знаниям и умениям? Мы, например, довольно часто сталкивались с предложениями «взаимовыгодного сотрудничества», но в чем будет состоять именно «взаимная» выгода, нам никак не могли объяснить. То есть нам предлагалось давать имеющуюся информацию, а в обмен — услышать душевное «спасибо». 

Борис Шаров

генеральный директор «Доктор Веб»

Евгений Гончаров из «Лаборатории Касперского» рассказывает о случаях недобросовестного подхода со стороны исследователей: «Некоторые компании предпочитают ошибаться в своих выводах, завышая оценку опасности угрозы, например, неверной атрибуцией вследствие ограниченного набора доступных исходных данных. Так им проще создать у клиентов ощущение большей ценности своих продуктов и услуг».

Алексей Парфентьев из «СёрчИнформ» не видит технологических барьеров для работы такой платформы, но обращает внимание на вопрос ее популяризации. По его мнению, можно внедрить единую платформу обмена информацией «на уровне государства», «но без правильного наполнения и постоянной актуализации со стороны заинтересованных компаний такая платформа может восприниматься как еще одна принудительно отчетность, а такие решения в практике нашей страны уже есть». В недостаточной активности участников видит проблему и Алексей Лукацкий:

По опыту схожих инициатив в них хорошо если набирается четверть активных участников, а остальные выполняют роль «молчунов». В России, как мне кажется, соотношение будет еще хуже — активно будет участвовать в обмене команд процентов десять, не больше. 

Алексей Лукацкий

бизнес-консультант по информационной безопасности Positive Technologies

Елена Бочерова из компании «Киберпротект» первым барьером называет режим обработки коммерческой тайны субъектов взаимодействия и информационного обмена.

Необходимо задуматься об обезличивании используемых данных, четко сформулировать их объемы и формат, при этом учитывать, что обезличивание данных может ослабить механизмы корреляции событий.

Елена Бочерова

исполнительный директор компании «Киберпротект»

На этапе проектирования платформы нужно учитывать, что консолидированная информация, используемая участниками, может относиться к сведениям, составляющим государственную тайну, и такой проект потребует законодательной поддержки, добавляет эксперт. Ее коллега из Group-IB тоже видит основную проблему не в самой платформе, а в регулировании информационного обмена.

Еще одно препятствие лежит в международной плоскости:

Санкционные риски, пожалуй, наиболее сильный сдерживающий фактор на данный момент. Но его необходимо будет преодолеть — техническими или политическими средствами. Например, подняв вопрос создания эффективных способов коммуникации на уровень Организации Объединенных Наций.

Евгений Гончаров

руководитель центра исследования безопасности промышленных систем «Лаборатории Касперского»

Нужно ли сохранять международные контакты

Собеседники ICT.Moscow отмечают, что для ИБ-компаний важна не только кооперация с коллегами-соотечественниками, но и международные профессиональные связи. О сохранении сотрудничества с иностранными CERT и ИБ-компаниями в той или иной форме говорят в Group-IB, Positive Technologies, «Лаборатории Касперского», R-Vision.

Развитие на рынке кибербезопасности возможно только если ты постоянно обогащаешь данными свои системы обнаружения и предотвращения кибератак, а также наращиваешь навыки и знания своих команд реагирований на инциденты, компьютерной криминалистики, 24/7 CERT, киберразведки, пентестов, исследований киберпреступлений и др. 

Валерий Баулин

региональный директор Group-IB в России и СНГ

В «РТК-Солар» отмечают немалое влияние политических аспектов на международную коммуникацию, хотя «нельзя утверждать, что она прекратилась, даже в случае со странами, которые не очень ориентированы на Россию». «В любом случае важность международного обмена информацией сохраняется: чем больше мы знаем, тем проще нам противодействовать угрозам — ведь хакерские атаки по всему миру имеют общие паттерны», — убежден Владимир Дрюков. В Positive Technologies также говорят о сохранении контактов несмотря на обстоятельства:

Мир не ограничивается только США и их сателлитами, помимо этого, есть еще Ближний Восток, Южная Америка, Азия. Это больше половины мира, которые, как и раньше, нуждаются в экспертизе по вопросам ИБ и эффективных решениях в области кибербезопасности. Поэтому да, мы продолжаем сотрудничать с зарубежными организациями. Кроме того, даже с западным миром у нас продолжаются контакты.

Алексей Лукацкий

бизнес-консультант по информационной безопасности Positive Technologies

В августе представитель «Лаборатории Касперского» отмечал, что изменений в сотрудничестве с CERT-центрами в других странах с начала года не было и оно продолжается в прежнем объеме. Одной из главных задач российских исследователей сейчас в компании видят «не позволить закрыть себя внутри страны»:

Иначе поток информации об угрозах неминуемо сократится, а следом упадет и качество их обнаружения. Считаем, что сложившиеся обстоятельства должны мотивировать отечественных и зарубежных исследователей искать новые пути и средства кооперации. 

Евгений Гончаров

руководитель центра исследования безопасности промышленных систем «Лаборатории Касперского»

Но есть и противоположный подход: например, компания «Доктор Веб», как пояснил ICT.Moscow ее генеральный директор, на сегодняшний день прекратила взаимодействие с зарубежными организациями из опасения нарушить закон.

Без чего невозможно объединиться

Собеседники ICT.Moscow не дают однозначного ответа на вопрос, реалистично ли добровольное сплочение большинства участников рынка информационной безопасности.

Все зависит от рынка — если у компаний будут объективные потребности, то такое сплочение произойдет. Если нет, то даже законодательное регулирование не поможет — компании найдут способ его обходить.

Павел Коростелев

руководитель отдела продвижения продуктов «Кода Безопасности»

В «Лаборатории Касперского» считают, что объединение «не только не должно противоречить бизнес-интересам, но и будет способствовать развитию бизнеса».

Защита информации — существенная составляющая современной кибербезопасности. Но мы должны научиться не слишком рьяно защищать информацию, критичную для обнаружения угроз нашим клиентам — конкурировать можно и в другом и другими способами.

Евгений Гончаров

руководитель центра исследования безопасности промышленных систем «Лаборатории Касперского»

Первый материал ICT.Moscow из серии об информационной безопасности можно найти тут.

Чтобы быть в курсе актуальных вопросов информационной безопасности в России, читайте ИБ-сводки ICT.Moscow и регулярно пополняемый информационный таймлайн.