НКЦКИ: чем занимается национальный центр кибербезопасности

В сентябре 2018 года в России появился Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Новую структуру учредили при ФСБ России. Тогда же озвучили главные задачи центра — анализ информации о кибератаках на критическую информационную инфраструктуру страны и координация ее владельцев при реагировании на угрозы.

Прошло четыре года, количество угроз заметно возросло. Вопрос кибербезопасности и обмена опытом оказался одним из главных для государства. Изменились ли задачи НКЦКИ ФСБ России? И чем координационный центр будет занят в ближайшие десять лет? Подробности — в этой статье.

Для чего создавали НКЦКИ

В начале 2018 года в России вступил в силу 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», который разработали в ФСБ. В законе дается классификация объектов критической информационной структуры (КИИ), а также говорится о создании их реестра и системы ГосСОПКА.

В частности, объектами КИИ называются информационные системы, которые работают в организациях здравоохранения, транспорта и связи, энергетики и атомной энергетики, финансового рынка, оборонной, ракетно-космической, горнодобывающей промышленности и других стратегически важных для государства отраслях.

Субъекты КИИ по закону — это владельцы таких систем и организации, которые обеспечивают взаимодействие между объектами КИИ. Их обязанности и права четко описываются в 187-ФЗ. Именно с этого и началась история Национального координационного центра по компьютерным инцидентам.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

НКЦКИ — важное связующее звено между операторами КИИ и ФСТЭК.

До появления 187-ФЗ государственным регулятором была ФСТЭК. Вместе с этим законом возникли новые обязанности по защите объектов критической инфраструктуры. Для ФСТЭК стало жизненно важно обладать инструментом, который позволит вести мониторинг угроз, предупреждать атаки и устранять их последствия для объектов КИИ.

Поэтому, если бы НКЦКИ не было, его надо было бы создать. Полноценная борьба с цифровыми угрозами невозможна без аппарата, который ведет статистику и учет, анализ и выявление компьютерных атак. Развивать меры защиты от угроз нельзя, если основываться только на предчувствиях и неких трендах. Меры должны строиться на прочном фундаменте собранных данных и предыдущем опыте.

Сейчас, как и четыре года назад, координационный центр собирает, хранит и анализирует данные об угрозах КИИ на территории РФ. При этом на сайте НКЦКИ (cert.gov.ru) говорится, что прежде всего госструктура занимается координацией субъектов КИИ в части обнаружения, предупреждения, ликвидации кибератак и реагирования на компьютерные инциденты.

Бюллетени НКЦКИ: специалисту ИБ в помощь

В НКЦКИ можно получить информацию о видах актуальных атак и угроз. Однако для этого придется сделать запрос. Таким же образом предоставляются подробные технические сведения об инцидентах.

Однако не все так секретно, как кажется на первый взгляд. В НКЦКИ ФСБ России готовят информационные бюллетени. Они публикуются в открытом доступе — на портале Безопасность пользователей в сети Интернет — и содержат актуальные данные об уязвимостях и угрозах ПО.

Бюллетени НКЦКИ готовятся в формате PDF. Каждый документ содержит информацию о выявленной уязвимости ПО:

• дату, когда она была обнаружена;
• уровень опасности (оценка критичности);
• идентификаторы уязвимости и программной ошибки;
• категорию и наименование продукта, его версию;
• масштабы последствий, влияние на конфиденциальность и т.д.

Но самое главное — в бюллетенях НКЦКИ ФСБ России дается рекомендация, как устранить уязвимость. При этом отчеты готовятся оперативно — почти ежедневно.

Новые задачи НКЦКИ

В феврале 2023 года ФСБ опубликовала Приказ №77. Документ описывает правила работы операторов с системой ГосСОПКА, в том числе информирование о компьютерных инцидентах, которые привели к неправомерной передаче персональных данных (ПДн).

Важную роль в Приказе получил НКЦКИ. С его участием проходит взаимодействие операторов ПДн с ФСБ России. Через него субъекты КИИ и ФСТЭК теперь передают данные о выявленных уязвимостях в систему ГосСОПКА. Остальные операторы ПДн обязуются сообщать о происшествиях через сайт Роскомнадзора. Полученные данные затем направляются в НКЦКИ.

Еще одна задача, которую также могут поручить координационному центру, — аккредитация центров мониторинга кибератак. О таких планах ФСБ в июне 2022 года сообщали Ведомости. По данным издания, служба уже подготовила приказ об обязательной аккредитации в НКЦКИ всех центров, работающих с КИИ. Фактически речь идет об организациях, которые обеспечивают информационную безопасность банков, госучреждений, объектов ОПК и других организаций, перечисленных в 187-ФЗ. Однако что происходило с приказом и будет ли он подписан в ближайшее время, пока неизвестно.

При этом в длительной перспективе задачи НКЦКИ ФСБ России кардинально не изменятся, считают эксперты. Координационный центр продолжит собирать, хранить, анализировать информацию о кибератаках и координировать действия владельцев КИИ.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

На ближайшие десять лет НКЦКИ должен стать достоверным источником аналитических данных для ФСТЭК и ФСБ в части разработки регламентов и рекомендаций по защите информации.

Кроме того, НКЦКИ должен чаще заниматься просветительской деятельностью — публикацией лучших практик, обзоров распространенных атак и мер противодействия враждебной деятельности. Думаю, что центру необходимо больше публичности, обзоров средств защиты информации и живых рекомендаций в режиме онлайн. Подобный подход повысил бы осведомленность администраторов информационной безопасности, а также облегчил бы выбор средств и мер защиты КИИ для руководителей и других ответственных лиц.

Очевидно, что НКЦКИ будет и далее предоставлять данные об угрозах по запросу. Только не всем: в уставе госструктуры сказано, что она может отказать иностранному органу или международной организации. Указываются и причины — нет таких полномочий или раскрытие информации может угрожать безопасности РФ.

Итоги

НКЦКИ ФСБ России — одна из ключевых фигур на поле кибербезопасности страны. Организация аккумулирует актуальные знания об угрозах и защите критически важных информационных систем в РФ, а также транслирует успешный опыт всем владельцам такого ПО.

Значимость координационного центра уже подтверждается новыми задачами, которые возлагает на него ФСБ. И, судя по росту кибератак на российскую инфраструктуру, обязанностей и компетенций у НКЦКИ может стать еще больше.