В середине апреля состоялся первый Форум ГосСОПКА, собравший свыше 1,5 тыс. специалистов и экспертов в области обеспечения киберустойчивости информационной инфраструктуры страны в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Участники форума обсудили широкий круг вопросов, начиная с взаимодействия организаций с системой ГосСОПКА и заканчивая опытом отражения актуальных киберугроз и применения искусственного интеллекта для защиты критической информационной инфраструктуры (КИИ). Планируется, что в дальнейшем форум станет ежегодным мероприятием по обмену опытом между регуляторами и участниками этой экосистемы.

Напомним: система ГосСОПКА была создана в рамках исполнения указа Президента РФ №31c от 15 января 2013 года. Сегодня она представляет собой единый территориально распределенный комплекс, который состоит из центров ГосСОПКА, включающих силы и средства для обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты информационной безопасности. Главной целью ГосСОПКА, согласно Федеральному закону №187-ФЗ от 26 июля 2017 года, является решение задач по обеспечению безопасности нашей страны. В настоящее время ГосСОПКА охватывает около 7 тыс. субъектов (организаций и предпринимателей, владеющих КИИ), число крупных центров ГосСОПКА составляет около сотни.

Минувший форум проходил в течение двух дней. Десятки докладов прозвучали в рамках двух пленарных дискуссий, ключевой сессии и серии тематических треков. Организатором форума выступил Национальный координационный центр по компьютерным инцидентам (НКЦКИ), являющийся составной частью сил ГосСОПКА. Участниками форума стали представители НКЦКИ, регуляторов, субъектов КИИ и ведущих компаний в сфере ИБ.

Олег Скрябин: «Двери ГосСОПКА открыты для всех»

Место и роль системы ГосСОПКА в нынешних условиях охарактеризовал Олег Скрябин, директор НКЦКИ: «Масштаб угроз, с которыми в настоящее время сталкивается российская информационная инфраструктура, не имеет равных в мировой практике. В настоящий момент деятельность группировок и злоумышленников различных квалификаций высоко скоординирована. Злоумышленники тщательно выбирают способы проведения компьютерных атак, учитывают архитектурные и технологические особенности функционирования атакуемых ресурсов, стремятся нанести максимальный ущерб информационной инфраструктуре и организациям, используют комбинацию разных типов компьютерных атак для создания нагрузки на различных уровнях российского сегмента сети Интернет. В текущих условиях очевидна необходимость обеспечения устойчивой работы информационных систем. Решение этой задачи призвана обеспечить ГосСОПКА».

По словам Скрябина, уникальность этой системы в том, что область ее действия не ограничиваются информационными ресурсами, подлежащими защите в соответствии с законодательством Российской Федерации: «Двери ГосСОПКА открыты для всех. Эффективность нашей системы напрямую зависит от количества ее участников и их открытости: чем больше данных в нее поступает, тем точнее оценка обстановки и ее прогноз, а именно это необходимо для своевременного выявления возникающих угроз и реализации мер по противодействию им. Информационное пространство Российской Федерации — это наше с вами общее пространство, и обеспечить его безопасность мы сможем только совместными усилиями».

Петр Белов: «ГосСОПКА имеет весь набор признаков, характерных для экосистемы»

Петр Белов, заместитель директора НКЦКИ‬‬‬, особо подчеркнул, что ГосСОПКА сформирована именно как экосистема: «Она имеет весь набор признаков, характерных для экосистемы, — в ней есть процессы и (в нашей терминологии) силы и средства. Эта экосистема является ключевым элементом национальной безопасности, обеспечивая сохранение системы государственного и муниципального управления в условиях любого развития компьютерных атак или компьютерных инцидентов с информационной инфраструктурой Российской Федерации».

В очень многих сессиях и докладах форума затрагивались вопросы взаимодействия с ГосСОПКА. Шла ли речь об обнаружении кибератак или их предупреждении, о ликвидации последствий атак или реагировании на инциденты ИБ, практически всегда докладчики так или иначе касались практики обмена информацией через систему ГосСОПКА о киберугрозах и высказывали свои предложения по поводу наиболее целесообразных направлений развития этого «коллективного разума» и совершенствования совместной работы по повышению киберустойчивости российской информационной инфраструктуры в целом.

«Взаимодействие с ГосСОПКА является корнем информационной безопасности, и в этом точно есть огромный плюс, — заявил в своем выступлении Алексей Мартынцев, директор департамента защиты информации и ИТ‑инфраструктуры компании «Норильский Никель». — Наша задача — максимально открыто делиться информацией, обогащать систему ГосСОПКА своими данными, получать на регулярной основе информацию об атаках и уязвимостях и адаптировать эту информацию под наши нужды, чтобы усиливать защиту».

Алексей Мартынцев: «Наша задача — максимально открыто делиться информацией»

Мартынцев особо выделил пользу анализа защищенности, проводимого представителями НКЦКИ: в рамках совместных мероприятий они выявляют слабые точки в ИТ-инфраструктуре и уязвимости, предоставляя специалистам компании возможность работать над их устранением. Основное внимание сейчас уделяется повышению киберустойчивости бизнеса путем совершенствования базовой защиты, повышения скорости реагирования на атаки и снижения наносимого ими ущерба.

Скорость обмена информацией о киберугрозах сегодня является одним из критически важных показателей киберустойчивости, отметил Вадим Уваров, директор департамента ИБ Банка России‬‬. Она определяет очень многие аспекты реагирования, противодействия им и минимизации последствий от этих атак. Это особенно актуально с учетом того, что для организации и проведения атак злоумышленники все активнее применяют технологии ИИ. «Искусственный интеллект в разы повышает скорость атак на организации», — напомнил Уваров.‬

В рамках отдельных сессий форума участники обсудили ландшафт киберугроз, практические и нормативные аспекты создания и функционирования ведомственных центров ГосСОПКА, меры по противодействию киберпреступлениям, подходы к реагированию на компьютерные инциденты, вопросы готовности SOC‑процессов к новым атакам, технологии и средства обнаружения атак, возможности применения систем ИИ для обеспечения киберустойчивости КИИ, подходы к построению и эксплуатации киберполигонов, а также особенности подготовки кадров для центров ГосСОПКА. Кроме того, состоялась церемония награждения организаций и персон, внесших особый вклад в развитие системы ГосСОПКА и укрепление киберустойчивости нашей страны.