В Москве завершил свою работу VIII SOC-Форум — одно из крупнейших событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России в партнерстве с «Ростелеком-Солар».

В этом году форум посетило 3200 человек. Лейтмотивом форума стали глобальные изменения в кибермире, которые произошли после 24 февраля.

Как вести себя бизнесу и государству в разгар кибервойны, чего ждут от ИБ-сообщества и к каким ударам со стороны хакеров готовиться? Эти вопросы поднимались как со сцены форума, так и в его кулуарах.

Текущие угрозы уже очевидны. Так, по словам представителя НКЦКИ Сергея Корелова, это и массированные атаки на корневые DNS-серверы, и встраивание вредоносного ПО в веб-страницы, массовый отзыв сертификатов, появление вредоносного кода в обновлениях ПО — Именно с такими ключевыми проблемами и столкнулись большинство компаний в этом году.

Впрочем, успех кибератак был обусловлен не изощренным способом проникновения в инфраструктуру, а недоработками систем безопасности компаний.

Руководитель группы реагирования Solar JSOC CERT «Ростелеком-Солар» Иван Сюхин представил статистику расследований, которые компания проводила в 2022 году. Так, большая часть исследуемых атак (35%) была направлена на госсектор, на втором месте — промышленность (23%), на третьем — телеком (15%). При этом основной техникой первоначального доступа в инфраструктуры в половине случаев была эксплуатация уязвимостей в публичных сервисах.

В условиях, когда ресурсов для защиты становится меньше, а количество атак только растет, нужно объединение усилий ИБ-компаний и государственных структур — к такому выводу пришли участники дискуссии.

— Отрасль информационной безопасности пережила тяжелейшие 9 месяцев, — но мы смогли отбиться, показав хорошие результаты работы. Мы видели достаточно жесткие атаки на системы государственного управления, критическую информационную инфраструктуру, СМИ. Серьезных последствий удалось избежать, а большинство киберударов купировалось. Но это было достигнуто во многом благодаря мастерству отдельных экспертов по кибербезопасности, а не системе в целом. Безусловно, отрасль будет трансформироваться — ИБ уже становится важной составляющей национальной безопасности. Сейчас мы получаем уникальный опыт в развитии российских ИБ-технологий, с которыми в будущем выйдем и на международный рынок, — отметил вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов, комментируя итоги ключевой дискуссии.

На таком фоне заявление ключевых игроков рынка, пусть и прозвучавшее сенсационно, было все же достаточно ожидаемым.

То, о чем многие подозревали, по сути, получило официальное подтверждение. Представители «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE раскрыли новый формат своего взаимодействия.

Как оказалось, с конца февраля на фоне колоссального роста атак компании создали киберштаб для совместной защиты российских организаций. С этой целью эксперты обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом.

— Для помощи российским организациям в этот сложный период были ускорены все коммерческие инициативы (команды работали в три смены, подключая клиентов в том числе под атакой). При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка в части защиты, — рассказал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.

За 8 месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов и так далее.

Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.

— Этот опыт необходимо масштабировать, выстраивать баланс между коммерческими интересами отдельных компаний и реальной экстренной помощью пострадавшим: в информационной безопасности необходима своя «клятва Гиппократа», в соответствии с которой первостепенной является именно неотложная помощь атакованным, — прокомментировал Алексей Новиков, директор по исследованиям и разработке компании Positive Technologies.