Структура ФСБ создаст центр «скорой помощи» для пострадавших от хакеров компаний

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) при ФСБ создаст консультационный центр по реагированию на кибератаки, в который компании смогут обращаться за оперативной помощью. Об этом в ходе одной из сессий деловой программы киберфестиваля Positive Hack Days рассказал представитель НКЦКИ Алексей Новиков. Он уточнил, что центр будет создаваться совместно с «лидерами рынка» в сфере информационной безопасности (ИБ).

Центр будет работать по аналогии с сервисом скорой помощи и оказывать компаниям бесплатную поддержку, рассказал он. 

«Организация, [столкнувшаяся] с компьютерным инцидентом, скоро сможет получить в бесплатном режиме содействие в проведении первичных мероприятий по реагированию на инциденты, – объяснил Новиков. – Это такой набор действий, которые связаны с локализацией проникновения злоумышленников в инфраструктуру, то есть получение перечня полного перечня скомпрометированных ресурсов, ограничение в распространении и составление плана по проведению работ в дальнейшем».

Для получения помощи организация должна будет выполнить определенный набор действий или требований, прописанных в условиях предоставления сервиса, уточнил Новиков. «То есть нужно быть готовым как минимум к предоставлению логов и загрузки их в нашу инфраструктуру для анализа», — добавил представитель НКЦКИ. Помимо того, компания должна будет предоставить информацию о почтовых доменах и адресах, добавил он.

Все взаимодействие будет строиться по регламенту,  который определит, «кто, кому, когда, по каким каналам, какую информацию передает», объяснил Новиков. Взамен компания получает доступ ко всем сервисам НКЦКИ по информированию об инцидентах и уязвимостях, помощи в случае инцидента, в том числе к сервису по оценке защищенности периметра, добавил он. 

Сейчас все операторы персональных данных (ПД) должны уведомлять о компьютерных инцидентах Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Требования об этом вступили в силу 1 сентября 2022 г. Оператором этой системы выступает как раз НКЦКИ.

Но процент организаций, готовых к оперативному выявлению киберинцидентов, крайне невысок, отметил Новиков. В связи с этим и было решено создать такой сервис чрезвычайной помощи, отметил он.

Развитие ГосСОПКА значительно увеличило возможности по выявлению признаков компьютерных инцидентов в масштабах Рунета, отметил Новиков. «Сейчас в стране построен целый ряд таких инфраструктурных элементов, которые помимо обеспечения устойчивости позволяют противодействовать вредоносным атакам, — сказал он. — Однако процент организаций, которые готовы к выявлению такой активности у себя в инфраструктуре, огорчительно мал, поэтому и возникла потребность в оказание такой помощи».

Многие компании на сегодняшний день не готовы пускать НКЦКИ в свою инфраструктуру, подтверждает директор по продуктовому развитию компании «Солар» Владимир Бенгин.

«Многие до сих пор воспринимают это как нарушение их внутренней приватности, и что если сегодня тебе кто-то помог, то завтра тебе пришлют предписание, – объясняет он. – Часто пострадавшие компании обращаются напрямую к коммерческой ИБ-компании и просят обойтись без привлечения НКЦКИ, что совершенно неправильно. Очень часто звучат запросы помочь, но так, чтобы другие не знали. Это действительно не рыночная история. Это невозможно как-то оценить или оформить. НКЦКИ хочет сделать это более массовым. Сейчас этим пользуются только крупные компании, а НКЦКИ предлагает сделать такой сервис доступным для всех». 

Первой компанией, присоединившейся к инициативе НКЦКИ, станет Positive Technologies, рассказал в ходе сессии директор экспертного центра безопасности ИБ-компании Алексей Новиков (тезка и однофамилец сотрудника НКЦКИ).

Первая задача при инциденте  – это понять, как злоумышленник попал в инфраструктуру и что надо сделать, чтобы он еще раз этим же путем туда не попал, объяснил Новиков из Positive Technologies «Ведомостям». Вторая задача – понять, куда именно он попал внутри инфраструктуры при наличии технических возможностей, к какой информации он получил доступ, не оставил ли какой-то «троян». Третье – это разработка рекомендаций по тому, как нужно улучшить инфраструктуру, заключил он.

Держать в штате специалистов по форензике, которые занимаются расследованиями компьютерных инцидентов, компании, как правило, не могут, отметил Новиков из Positive Technologies. В большинстве случаев они есть либо у вендоров, либо у IT-интеграторов, отметил он. При этом число инцидентов кратно выросло за последние два года, напомнил эксперт.

«Человеческих ресурсов однозначно не хватает. Тут, скорее всего, будет проблема в том, что вал обращений может быть больше, чем вообще способность всего рынка удовлетворить эти запросы, – предупреждает Новиков. – По нашей статистике, допустим, в 2022 г. у нас по сравнению с 2021 г. было на 50% больше расследований. В 2023 г. – на 76% больше, чем в 2022 г.»