Журнал "Information Security/ Информационная безопасность" #6, 2024

взаимодействие в автоматизированном режиме с Центром мониторинга и управ- ления сетью связи общего пользования в рамках противодействия атакам, направленным на отказ в обслуживании. На текущий момент лишь небольшая часть субъектов КИИ имеет взаимодей- ствие с указанным Центром. В 2025 г. перед субъектами, имеющими значимые объекты КИИ с интерфейсами и серви- сами, к которым должен быть обеспечен постоянный доступ из сети "Интернет", будет стоять задача по организации этого взаимодействия. В отличие от интеграции с ГосСОПКА, которая не обязательно предполагает подключение к технической инфраструктуре, автома- тизированное взаимодействие подразу- мевает именно подключение к инфра- структуре Центра мониторинга. Показатель обеспечения безопасности В 2024 г. ФСТЭК России выпустила Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ, она утверждена ФСТЭК России 2 мая 2024 г. Методика определяет показатель, характеризующий текущее состояние обеспечения безопасности значимых объектов КИИ, его значение и порядок расчета. В соответствии с п. 5 Методики, она применяется ФСТЭК России для мониторинга текущего состояния защиты информации и обеспечения безопасно- сти объектов КИИ в государственных органах и организациях-субъектах КИИ. Указанное означает, что ФСТЭК России (скорее всего, уже в 2025 г.) будет периодически запрашивать результаты оценки показателя обеспечения без- опасности. Кроме того, ФСТЭК России будет оце- нивать показатель обеспечения безопас- ности в рамках государственного конт- роля, о чем прямо прописано в п. 16 Методики. Оценка показателя обеспечения без- опасности, в соответствии с п. 11 Мето- дики, должна проводится не реже одного раза в шесть месяцев. Периодичность и порядок проведения оценки показателя защищенности устанавливается орга- низацией во внутренних регламентах. Это означает, что в 2025 г. субъектам КИИ необходимо будет выстроить про- цесс оценки показателя защищенности и зафиксировать этот процесс во внут- ренних регламентах. В соответствии с п. 12 Методики оцен- ка показателя обеспечения безопасности проводится в отношении всех значимых объектов КИИ и может проводится в отношении объектов КИИ, не имеющих категории значимости. Таким образом, в рамках оценки показателя обеспечения безопасности должны быть рассмотре- ны, как минимум, все значимые объекты КИИ, а работы по оценке должны про- водиться не реже одного раза в полгода. В рамках больших инфраструктур указанный объем работы может быть существен- ным. Атаки на цепочку поставок Следующая проблема, уже набившая оскомину в 2024 г., – так называе- мые атаки на цепочку поставок. Подавляющее большинство организа- ций, оказывающих ИТ- и ИБ-услуги, что отмечается многими экспертами и регу- ляторами, не уделяет достаточного вни- мания защите своей собственной инфра- структуры (из которой они подключаются в инфраструктуру заказчиков). Это каса- ется не только провайдеров ИТ-услуг, но и поставщиков ИБ-услуг. Последние, по моему опыту, по части защиты не сильно отличаются от обычных ИТ-ком- паний, что вполне объяснимо, ведь глав- ное для подрядчика получить прибыль от контрактов (это экономически обосно- вано), а затраты на безопасность ее снижают. На текущий момент законода- тельно не закреплена обязанность под- рядчиков по обеспечению безопасности, поэтому субъекты КИИ сами продумы- вают механизмы защиты от атаки на цепочку поставок. Указанная проблема будет оставаться актуальной и в 2025 г., тем более что регуляторы в ходе конт- рольно-надзорных мероприятий обра- щают внимание на то, как обеспечива- ется защита от атак со стороны подряд- чиков. При отсутствии законодательного регу- лирования заказчики испытывают опре- деленные сложности. Ввиду того, что взаимоотношения между подрядчиком и заказчиком основываются на нормах гражданского права и прежде всего сво- боде выбора условий договора, не все подрядчики готовы соглашаться с тре- бованиями по обеспечению безопасно- сти. Более того, подобные требования в отсутствие указания на необходимость их установления в действующем зако- нодательстве могут расцениваться как необоснованные, создающие препят- ствия для выигрыша в рамках конкурс- ных процедур. Искусственный интеллект Трендом последних нескольких лет является развитие технологий так назы- ваемого искусственного интеллекта. В 2025 г. продолжат появляться системы с искусственным интеллектом, автома- тизирующие технологические (производ- ственные) процессы. В этой связи воз- никнет необходимость в корректировке подходов к оценке рисков, связанных с применением таких систем, их катего- рированием (оценкой значимости) и соз- данием для них систем безопасности с учетом их сложности и непрозрачности в сравнении с классическими автомати- зированными (информационными) систе- мами. Помимо влияния на технологический процесс, с развитием технологий искус- ственного интеллекта, злоумышленники начинают активно использовать его для создания более сложных и целенаправ- ленных атак. Одним из наиболее опас- ных направлений является развитие интеллектуальных фишинговых атак. С помощью искусственного интеллекта злоумышленники могут анализировать огромные объемы данных о потенци- альных жертвах, собранные из социаль- ных сетей, публичных баз данных и уте- чек, чтобы составлять персонализиро- ванные сообщения. Такие атаки значи- тельно увеличивают вероятность успеш- ного обмана, так как содержат точную информацию о привычках, интересах или должностных обязанностях адреса- та. Более того, модели искусственного интеллекта способны генерировать текс- ты, визуальные элементы или голосовые сообщения с высокой степенью правдо- подобности, что делает их практически неотличимыми от легитимных. Проти- водействие таким атакам требует внед- рения продвинутых средств защиты, таких как EDR (Endpoint Detection and Response) и XDR (Extended Detection and Response), а также регулярного обучения сотрудников методам выявле- ния подобных угроз. Таким образом, защита критической информационной инфраструктуры в 2025 г. становится еще более много- гранной задачей, требующей комплекс- ного подхода. С одной стороны, органи- зации должны продолжать адаптиро- ваться к ужесточению требований регу- ляторов, активно внедрять механизмы импортозамещения и соблюдать новые стандарты защиты инфраструктуры. С другой стороны, вызовы, такие как развитие атак с использованием искус- ственного интеллекта и уязвимость цепо- чек поставок, требуют внедрения более эффективных СЗИ и совершенствования методов управления рисками. l • 39 Защита объектов кии и комплаенс www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru