Владимир Дрюков, «Солар»: Ключевой вызов — это поддержка темпов цифровизации государства при помощи информационных систем

Информационная безопасность в госсекторе существенно отличается от ИБ в частных компаниях. Об основных угрозах для государственных организаций, особенностях цифровизации и изменении тактики APT-группировок Cyber Media рассказал директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.

Cyber Media: С какими угрозами информационной безопасности госсектору приходится иметь дело в нынешнее время? В каких случаях риски закрываются цифровыми продуктами, а какие требуют других подходов?

Владимир Дрюков: Ключевые государственные информационные системы всегда были лакомым объектом для атак. Особенно связанных со шпионажем, получением данных в интересах иностранных государств. Но после начала СВО возник отдельный фокус внимания, направленный, в первую очередь, на дискредитацию этих государственных информационных систем. Здесь используются самые разные методы. Это и большие тяжеловесные DDoS-атаки. Это и попытки явной или неявной компрометации через размещение баннеров — периодически это делали через баннерообменные сети, то есть контент заливался без взлома самого сайта.

Зачастую информационная атака даже не становится следствием атаки настоящей. Допустим, в случае c Госуслугами мы видели в даркнете около 20 якобы утечек, связанных с персональными данными граждан. Ни одна из них не являлась настоящей. За последние два года Госуслуги ни разу не пропустили хакерской атаки.

Но возможность взять старые утечки или старые данные из других источников и перепаковать их — это то, к чему нередко прибегают злоумышленники, чтобы создать негативный информационный фон. В связи с этим для государства и для ответственных за эти системы особое значение имеют гарантия надежности для населения и сохранение репутации.

Cyber Media: С какими трудностями в обеспечении кибербезопасности сталкивается госсектор на сегодняшний день? Как организации их решают?

Владимир Дрюков: Одна из ключевых проблем — это импортозамещение. Государственных систем это касается косвенно, потому что они и так строились с максимальным использованием российского или дружественного оборудования и программного обеспечения. Я бы сказал, что ключевой вызов на данном этапе — это поддержание требуемого уровня цифровизации.

Запросов государства на сервисы, как и самих сервисов, становится все больше. Одна из задач, которая решается, — это их централизация и обеспечение единого профиля защиты. Например, в рамках платформы ГосТех, которая сейчас выходит в промышленную эксплуатацию.

Cyber Media: Как законодательство влияет на ситуацию мониторинга и реагирования на инциденты в госорганах? Какие важные нормативные акты стоит ожидать в будущем?

Владимир Дрюков: Регуляторика по мониторингу достаточно давно возникла. Есть требования по аккредитации со стороны ФСТЭК. Требования к центрам ГосСОПКА, которые по большому счету сильно покрывают функционал коммерческих служб мониторинга и реагирования. Среди ключевых аспектов, которые сейчас могут быть сформированы и которые рассматриваются у регулятора, — формат аккредитации или усиление контроля за центрами мониторинга. Потому что на текущем этапе на рынке около 40-50 коммерческих SOC. Все оказывают услуги существенно разного качества. И объективности ради не каждый из них готов защищать ключевые государственные информационные системы. Поэтому формирование водораздела и некоторых критериев качества является важным. В том числе для государства, которое должно понимать, в чьи руки оно передает безопасность своих ключевых систем.

Cyber Media: Ранее вы говорили о деятельности APT-групп и так называемых «state sponsored»-атаках. Изменилось ли как-то их количество за последние годы и какие отрасли наиболее интересны APT-группам?

Владимир Дрюков: Я бы сказал, что большинство международных группировок как работало, так и работает. Но сегодня мы также видим деятельность около 15-20 относительно новых группировок, которые сформированы в рамках текущей политической повестки. Их вектором внимания является задача по деструктивным либо информационным атакам на ключевые объекты информационной инфраструктуры и государственные информационные системы.

Их уровень начинает расти. Видно, что эти команды сформировались два года назад. Сейчас они потихоньку прогрессируют в плане своих возможностей, функционала. Это формирует дополнительный тяжелый вызов в связи с их погруженностью в российскую ИКТ-инфраструктуру и пониманием особенностей функционирования отечественных услуг и сервисов. Высокие темпы развития компетенций этих хакеров, возможно, связаны и с тем, что они являются фронтальной частью атакующей стороны и получают техническую, информационную и экспертную поддержку от других national state группировок.

Cyber Media: Традиционно основная цель APT-групп — это кибершпионаж. Вы говорите о деструктивных атаках. Насколько часто целью злоумышленников становится нанесение вреда инфраструктуре?

Владимир Дрюков: Сейчас это растущий тренд. Я бы сказал, что цели две. Шпионаж — это следствие. Но по большому счету цель — это контроль над инфраструктурой. Когда ты контролируешь инфраструктуру, ты можешь получать данные, а при необходимости достичь деструктивного эффекта. И сейчас мы видим мотивацию на второй пункт — на деструктив. Атаки такого типа растут кратно, и кажется, этот тренд продолжится в ближайшие годы.

Cyber Media: Угрозой этого десятилетия многие эксперты называют программы-шифровальщики, вирусы и вымогатели. Насколько это утверждение справедливо для государственного сектора, ГИСов?

Владимир Дрюков: Я бы сказал, что не очень. Во-первых, все-таки атаки шифровальщиков направлены в основном на компании коммерческие, которые могут позволить себе заплатить выкуп. В случае если злоумышленник шифрует государственную информационную систему, сама цель атаки бессмысленна. Потому что у государства нет инструментов, чтобы заплатить деньги злоумышленникам в принципе. Я бы эту угрозу не считал ключевой.

Но что действительно может стать причиной потери данных государственных систем, — это низкий уровень IT-гигиены. Если в коммерческих компаниях процессы резервного копирования в целом налажены и есть возможность восстановления, то в региональных ГИСах мы зачастую видим несоблюдение именно базовых правил работы IT-ландшафта. Поэтому здесь угроза невосстановления данных достаточно высока.