Вопросы кибербезопасности в Казахстане: состояние и пути решения

кибератаки

Нормативное регулирование

В Концепции кибербезопасности (Киберщит Казахстана), утвержденной постановлением Правительства Республики Казахстан от 30 июня 2017 года № 407 под кибербезопасностью понимаются состояние защищенности информации в электронной форме и среды ее обработки, хранения, передачи (электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры) от внешних и внутренних угроз, то есть информационная безопасность в сфере информатизации.

В соответствии с подпунктом 7) статьи 1 Закона РК «Об информатизации» информационная безопасность в сфере информатизации – это состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз.

Следовательно, в данном документе актуальные угрозы кибербезопасности рассматриваются как угрозы нарушения конфиденциальности, целостности, доступности и аутентичности критической информации, подлежащей защите и циркулирующей в электронных информационных ресурсах, информационных системах и информационно-коммуникационной инфраструктуре (далее – критическая информация).

Обеспечение кибербезопасности критической информации осуществляется с учетом особенностей конструкции электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры, а также технических, в том числе программных, средств обработки, хранения и передачи критической информации. В этой связи векторы проведения кибератак также различаются как по целям, так и по объектам.

Текущая ситуация в Казахстане

За прошедшие несколько лет в Республике Казахстан выработаны базовые концептуальные подходы к обеспечению и развитию кибербезопасности, которые нормативно закреплены в действующем законодательстве.

Кроме того, отечественные профильные ВУЗы переориентированы на новое направление, созданы профильные уполномоченные государственные органы и организации, разработаны государственные программы по научному обеспечению сферы кибербезопасности.

Следует отметить, что указанные конкретные шаги не в полной мере отвечают требованиям сегодняшнего дня, о чем свидетельствует следующее:

  1. по результатам проведенного в октябре 2019 года компанией ESET опроса установлено, что 93% компаний в Республике Казахстан сталкиваются с киберугрозами, наиболее распространенными для бизнеса киберугрозами стали спам (79%), вредоносное программное обеспечение (66%), фишинг (25%), шифраторы (18%), корпоративный шпионаж (13%), DDoS-атаки (11%) и целевые атаки (10%);
  2. по данным KZ-Cert в 2019 году в Республике Казахстан выявлено более 21 тысячи киберинцидентов, наиболее распространенными случаями кибератак являются ботнеты (17,7 тыс. инцидентов), на втором месте – фишинг (883 случая), также распространены такие инциденты, как вредоносное программное обеспечение, взломы на интернет-ресурсах, отказ в обслуживании (DDoS-атаки);
  3. в мае 2020 года зафиксированы проблемы с интернет-ресурсами государственных органов Республике Казахстан, в том числе – порталов eGov, Е-лицензирование и всех компонентов электронного правительства, в отношении указанных интернет-ресурсов государственного сектора совершена DDoS-атака из зарубежного сегмента сети интернет;
  4. нехватка кадров, имеющих высокий потенциал, обладающих глубокими теоретическими знаниями, а также практическими умениями и навыками в обеспечении безопасности информационных систем, их разработке, а также анализе состояния защищенности от кибератак для обеспечения актуального уровня безопасности;
  5. к исполнению разработанных государственных программ по научному обеспечению сферы кибербезопасности научные субъекты приступили в 2020 году, результаты ожидаются не раньше 2021 года, следовательно, при отсутствии собственных научных достижений государственные органы и организации вынуждены использовать зарубежные труды, при этом отсутствие в них «бэкдоров» не гарантируется;
  6. аудит кибербезопасности и сертификация проводится формально, следовательно, невозможно получить объективную оценку уровня защищенности критической информации;
  7. отечественные компании по разработке и реализации СКЗИ мало ориентированы на разработку полностью собственного продукта, соответственно, во многом могут в качестве основы использовать «чужое» решение и адаптировать в целях формального соответствия требованиям законодательства Республики Казахстан. Так, линейка продуктов ViPNet российской компании ИнфоТеКС с «небольшими доработками» представлена на рынке Республике Казахстан отечественной компанией Ak-kamal Security;
  8. анализ полноты требований нормативных правовых актов Республики Казахстан, регламентирующих безопасность использования информационно-коммуникационных технологий, а также создание и использование электронных документов, указывает на их несовершенство, а именно постановлениями Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности», от 19 ноября 2010 года № 1222 «Об утверждении Правил проведения аккредитации удостоверяющих центров» и от 28 декабря 2015 года № 1261 «Об утверждении Правил регистрации и прекращения взаимодействия удостоверяющих центров, доверенных третьих сторон иностранных государств с доверенной третьей стороной Республики Казахстан» нормативно закреплено в целях обеспечения конфиденциальности критической информации использование средства криптографической защиты информации (далее – СКЗИ), соответствующего требованиям Государственного стандарта СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования»;
  9. необоснованное довольствование формальными показателями кибербезопасности, в частности согласно отчету Международного союза электросвязи по Глобальному индексу кибербезопасности Республика Казахстан находится на 40 месте, при этом указанный индекс в основном определяется по результатам письменного опроса;
  10. очень малое количество государственных предприятий и отечественных компаний, осуществляющих деятельность, связанной с обеспечением кибербезопасности на государственном уровне;
  11. отсутствие механизма государственного контроля квалификации специалистов по кибербезопасности и их сертификация независимыми компаниями;
  12. лояльность мер наказания за своевременное информирование государственных предприятий, осуществляющих деятельность, связанной с обеспечением кибербезопасности на государственном уровне.

Угрозы кибербезопасности

Республика Казахстан, являющийся полноценным участником процесса глобальной информатизации всех сфер государственной деятельности, не огражден от мировых трендов киберугроз.

Следовательно, современные кибератаки вполне реализуемы нарушителями безопасности, находящимися как внутри страны, так и за её пределами.

Приведем список основных кибератак на электронные информационные ресурсы, информационные системы и информационно-коммуникационную инфраструктуру, актуальных на 2020 год:

  1. Фишинг. Вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя (логинам и паролям). Пользователь думает, что переходит на заявленный сайт, однако фактически его перенаправляют на подставной сайт. Как правило, жертвами фишеров становятся клиенты банков и платежных систем.
  2. Троян. Тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
  3. DDoS. Поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который «забивается» огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс. Такие действия используются в целях конкурентной борьбы, прямого шантажа компаний, а также для отвлечения внимания системных администраторов от иных противоправных действий.
  4. Ботнет. Компьютерная сеть, состоящая из некоторого количества хостов, с запущенным автономным программным обеспечением. Ботом в составе такой сети является сам компьютер с вредоносным программным обеспечением, дающим возможность злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Ботнеты используются для атак на сервера, подбора паролей на удаленной машине или рассылки спама.
  5. Backdoor. Программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT – cmd). Бэкдор — особо важная составляющая руткита.
  6. Червь. Тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных систем, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, осуществлению иного вредоносного воздействия.
  7. Вирус-вымогатель (шифровальщик, Ramsomware). Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного программного обеспечения способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.
  8. Руткит (Rootkit). программа или набор программ, использующих технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода механизмов системы.
  9. Фрод (fraud). Умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб.
  10. Флуд. сообщения в интернет-форумах и чатах, занимающие большие объемы или не несущие никакой полезной информации. Технический флуд представляет собой хакерскую атаку с большим количеством запросов, приводящую к отказу в обслуживании.
  11. Социальная инженерия. Неосведомленность населения в обеспечении кибербезопасности эксплуатируется нарушителем безопасности.
  12. Саботирование государственной деятельности. Для данной атаки нарушитель использует открытые площадки и специальные боты.

Киберугрозы, возникающие вследствие возможного применения указанных кибератак, переходят из класса теоретических в класс практических из-за повсеместного перехода на удаленную работу.

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из Интернета.

Российский опыт противостояния кибератакам

Анализ мирового опыта противостояния кибератакам показал на разнообразность подходов иностранных государств. При этом опыт Российской Федерации является весьма примечательным и вполне возможна реализация подобного сценария развития в Республике Казахстан.

В Российской Федерации для обеспечения надлежащего уровня информационной (кибер) безопасности принят ряд нормативных правовых актов:

— Доктрина Информационной безопасности Российской Федерации, утвержденная указом Президента РФ от 5 декабря 2016 года № 646;

— № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ);

— Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденная постановлением Правительства РФ от от 8 февраля 2018 года №127;

— Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 года №235;

— Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 года №239.

Под критической информационной инфраструктурой РФ (далее – КИИ) подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

Требования 187-ФЗ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в 187-ФЗ называются субъектами КИИ.

187-ФЗ определяет два федеральных органа исполнительной власти: первый отвечает за обеспечение безопасности объектов КИИ (ФСТЭК России), а второй – за функционирование Государственной системы обнаружения и предотвращения компьютерных атак на объекты КИИ (ФСБ России) – ГосСОПКА.

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.

Интеграция в ГосСОПКА требует от субъекта КИИ:

  1. информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
  2. оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Согласно 187-ФЗ, субъекты КИИ обязаны:

  1. провести категорирование объектов КИИ;
  2. обеспечить интеграцию (встраивание) в ГосСОПКА;
  3. принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.

ФСБ России сформирован Национальный координационный центр по компьютерным инцидентам, который является центральным узлом ГосСОПКА, он имеет и другое название – GovCERT.

Вместе с утверждением 187-ФЗ в Уголовный кодекс РФ добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

В 2019 году ФСБ России и ФСТЭК России ввели изменения в Кодекс РФ об административных правонарушениях, предусматривающие штрафы в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ.

Пути снижения вероятности основных киберугроз в Казахстане

Для снижения вероятности киберугроз в Республике Казахстан необходимо принять комплексные меры, включающие в себя организационные, правовые, технические составляющие, а именно:

  1. повышение осведомленности пользователей электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры;
  2. мотивирование отечественных компаний, осуществляющих деятельность, связанной с обеспечением кибербезопасности, и повышение масштабности их деятельности до уровня государства;
  3. увеличение доли отечественных средств защиты от киберугроз (кибератак);
  4. усовершенствование нормативной правовой базы обеспечения кибербезопасности, в частности, разработка действенного механизма определения уровня квалификации специалистов компаний, осуществляющих деятельность, связанной с обеспечением кибербезопасности, а также более жесткого наказания за сокрытие и (или) несвоевременное информирование о фактах кибератак;
  5. организация международных и региональных конференций, посвященных тематике информационной безопасности;
  6. организация полигонов с типовыми киберугрозами на базе учебных заведений;
  7. организация курсов повышения квалификации специалистов по кибербезопасности.

Таким образом, принятие нормативных правовых актов, регламентирующих порядок обеспечения кибербезопасности, является необходимым условием, но не достаточным.

Для получения полноценного результата требуется качественная проработка уполномоченными организациями путей и механизмов реализации указанных нормативных правовых актов.

Следует отметить, что даже при идеальных условиях реализации невозможно гарантировать защиту от всех видов (типов) киберугроз, так как они могут реализоваться в кибератаках по различным векторам.

Оцените статью
HEARTLAND
Добавить комментарий