Журнал "Information Security/ Информационная безопасность" #6, 2022

Масштабные перемены в отрасли кибербезопасности как раз и начались 10 лет назад: в 2013 г. ИБ-компа- нией Mandiant, ныне принад- лежащей Google, был опуб- ликован первый общедо- ступный отчет об APT-груп- пировке. Спешная перенастройка инфраструктур привела к появлению большого числа уязвимых точек, чем воспользовались злоумыш- ленники. Уход западных вендоров и поставщиков услуг, отключение сервисов и лицензий, невозможность продлить техподдержку и приобрести ПО или обору- дование существенно осла- били состояние киберзащи- щенности компаний. – Опишите вкратце ваше видение общего состоя- ния информационной без- опасности России конца 2022 г. Чем оно отличает- ся, например, от состоя- ния 10-летней давности? Александр Голубчиков: Масштабные перемены в отрасли кибербезопасности как раз и начались 10 лет назад: в 2013 г. ИБ-компанией Mandi- ant, ныне принадлежащей Google, был опубликован пер- вый общедоступный отчет об APT-группировке. Это сделало очевидной необходимость про- тивостояния сложным кибер- атакам, проводимым злоумыш- ленниками с богатыми возмож- ностями и вполне конкретными целями (кибершпионаж, дивер- сии, существенная материаль- ная выгода). Приблизительно с этого периода в России нача- лись масштабные проекты по созданию первых SOC-центров и внедрению SIEM-систем, стала постепенно развиваться MDR-/MSSP-модель оказания услуг, нарастал интерес к облачным инфраструктурам и их защите. Следующий значимый момент – это, безусловно, пандемия, с которой связан экспоненциаль- ный рост диджитализации биз- неса. С переводом большинства процессов в онлайн и переходом на удаленную работу кибер- угрозы стремительно росли. Спешная перенастройка инфра- структур привела к появлению большого числа уязвимых точек, чем воспользовались злоумыш- ленники: утечки данных и сообщения о взломах крупных компаний на страницах СМИ стали обыденностью. Пандемийная "новая нор- мальность" кардинально изме- нилась в I квартале 2022 г.: уход западных вендоров и поставщиков услуг, отключение сервисов и лицензий, невоз- можность продлить техпод- держку и приобрести ПО или оборудование существенно ослабили состояние киберза- щищенности компаний, кото- рые не успели завершить про- цессы импортозамещения и не рассматривали подобные угро- зы как актуальные. В то же время значительно возросло количество кибератак, которые в первые месяцы отличались масштабами, но не сложностью, а затем стали более точечными и спланированными. Например, вирус-шифровальщик, попав- ший в инфраструктуру, может украсть документы и зашиф- ровать информацию для полу- чения выкупа, а может удалить ключ расшифрования и сделать дальнейший доступ компании к информации невозможным. Предполагаем, что этот тренд сохранится в дальнейшем и в 2023 г. механизмы атак допол- нятся использованием новых схем социальной инженерии. – Как идет процесс импортозамещения СЗИ на объектах КИИ, в част- ности в телекоме? Ярослав Головин: Процессы импортозамеще- ния и обеспечения цифрового суверенитета идут уже не пер- вый год. Безусловно, события 2022 г. дали им дополнитель- ный импульс, в том числе это связано с принятием соответ- ствующих законодательных актов. Так, Указ Президента РФ № 166 от 30 марта 2022 г. "О мерах по обеспечению тех- нологической независимости и безопасности критической информационной инфраструк- туры Российской Федерации" с 2025 г. вводит полный запрет на использование иностранно- го ПО на значимых объектах КИИ для субъектов КИИ, выступающих заказчиками закупок в соответствии с 223-ФЗ, а также для органов государственной власти. Указ Президента РФ № 250 от 01.05.2022 г. "О дополнитель- ных мерах по обеспечению информационной безопасно- сти Российской Федерации" с 2025 г. вводит запрет на использование госорганами, госкомпаниями и субъектами КИИ средств защиты инфор- мации, произведенных про- изводителями из недруже- ственных стран либо произво- дителями, контролируемыми такими странами. В конце лета Правительство РФ утвердило методические рекомендации по формированию отраслевых планов мероприятий для пере- хода на отечественное ПО, в соответствии с которыми до 2027 г. на всех значимых объ- ектах КИИ следует полностью перейти на ПО из единого рее- стра российского или евра- зийского ПО. В настоящее время готовится законопроект 10 • В ФОКУСЕ Экономика и экспертиза: аутсорс процессов управления киберинцидентами силение кибербезопасности объектов критической информационной инфраструктуры в 2022 г. идет под знаком импортозамещения. Для новых и модернизированных ОКИИ новые правила вступают в силу уже с 1 января 2023 г., для остальных объектов время еще есть, хотя и не слишком много. Эксперты компании “МегаФон” поделились своим видением общего состояния информационной безопасности объектов КИИ и рекомендациями, на что обратить особое внимание. У Ярослав Головин, руководитель направления по безопасности КИИ, МегаФон Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон