C современными киберугрозами сложно бороться в одиночку. Ключ к защите — в кооперации. А если точнее, нам нужны организованные структуры, которые будут отвечать за обеспечение киберустойчивости отдельных отраслей. Почему? Давайте разбираться!
Виды киберугроз — отраслевая оценка
При выборе подходов, средств и инструментов защиты нужно учитывать не только особенности ИТ-ландшафта конкретной организации, но и отраслевую специфику (нюансы оборудования, уникальные способы взлома, специфические уязвимости и др.). Например, в финансовом секторе используется уникальное ПО для банкоматов. В транспортном реализуется сложная логистика грузоперевозок и пассажиропотока. В здравоохранении применяется специфичное оборудование и всевозможные медицинские ИС. Промышленность использует уникальные АСУ ТП, протоколы и алгоритмы для реализации производственных процессов.
Направлений и сегментов много, и все они могут быть связаны между собой кросс-отраслевыми процессами. При этом выполнение базовых ИБ-рекомендаций не поможет противостоять специфичным атакам, нацеленным на конкретный сектор рынка. Соответственно, мы можем разделить киберугрозы на два больших блока:
- Универсальные, т. е. характерные для всех отраслей. Они связаны с типовым ПО, оборудованием и процессами, которые используют организации из разных секторов рынка.
- Уникальные, присущие конкретной отрасли. На них и остановимся подробнее.
Для прогнозирования потенциальных векторов кибератак и принятия мер по исключению их реализации проводится моделирование угроз безопасности информации. Например, это можно делать с помощью методического документа от 5 февраля 2021 г., разработанного и утвержденного ФСТЭК России. Кроме того, для проведения анализа угроз можно использовать лучшие практики по результативной кибербезопасности. А сопоставление подходов от регуляторов дает понимание единого целеполагания — в первую очередь необходимо исключить недопустимые события.
Как бороться с уникальными киберугрозами
Во-первых, важно понимать, с чем именно могут столкнуться представители конкретной отрасли. Предположим, злоумышленники атаковали банк на Дальнем Востоке. Нужно как можно быстрее проанализировать их техники и тактики (инструментарий, индикаторы компрометации, адреса C2-серверов, сценарий атаки и др.) и донести эту информацию до других банков страны. Оперативность коммуникаций может быть обеспечена за счет автоматизации проверки гипотез и обмена индикаторами компрометации. Кроме того, важно проводить отраслевые исследования и формировать точечные рекомендации по защите.
Базовый анализ угроз безопасности включает пять этапов.
- Определение возможных негативных последствий от реализации угроз.
- Определение объектов защиты, или инвентаризация. В том числе поиск уязвимостей, которые злоумышленники могут использовать для проведения кибератаки.
- Определение нарушителей безопасности и оценка их возможностей.
- Оценка способов реализации угроз и составление сценариев атак.
- Формирование мер, необходимых для устранения критически опасных уязвимостей.
Во-вторых, необходимо своевременно находить и закрывать наиболее опасные уязвимости, характерные для определенных отраслей. По сути, речь о предотвращении реализации недопустимых событий. Работать с уязвимостями можно в двух режимах: «здесь и сейчас» и «прогнозирование».
В-третьих, важную роль играет наличие уже упомянутой организованной структуры, которая будут следить за защищенностью конкретной отрасли. Проще говоря, время строить центры киберустойчивости отраслей (ЦКО).
Киберустойчивость — это состояние, при котором в режиме проведения кибератак не нарушается функционирование ключевых направлений деятельности организации, отрасли или государства.
Центр киберустойчивости отрасли: что это и зачем он нужен
Отдельные компании могут иметь заметное влияние на экономику страны и функционирование целых отраслей. Следовательно, если ключевые игроки будут хорошо защищены, это значительно повысит киберустойчивость всего сектора рынка. Для этого и нужен ЦКО. В задачи центра должны входить:
- реагирование в случае угрозы реализации недопустимого для отрасли события;
- контроль и поддержка высокого уровня защищенности у всех участников отрасли;
- помощь организациям в создании эффективных систем обеспечения кибербезопасности с учетом отраслевой специфики;
- исключение возможности реализации недопустимых событий.
Модель реализации ЦКО может быть гибкой. Например, центр может выполнять функции отраслевого SOC и осуществлять мониторинг ИТ-инфраструктуры подключаемых организаций. Также можно использовать ЦКО для информирования (CERT-подход) или построить гибридное решение, сочетающее функции SOC и CERT. На мой взгляд, оптимальной выглядит риск-ориентированная модель, нацеленная на решение практических задач по митигации (смягчению) отраслевых рисков и непрерывному повышению киберустойчивости.
Как создать ЦКО на уровне отраслевого ведомства
- Определить, какие задачи будет решать центр. Целеполагание стоит оформить в виде концепции отраслевой киберустойчивости, которая включает описание проблематики, цели, задачи, функции, ролевую модель и структуру центра, модель взаимодействия и верхнеуровневую архитектуру. Кроме того, потребуются нормативное правовое обоснование и оценка регулирования.
- Сформировать стратегию отраслевой киберустойчивости. Это позволит объединить экспертов из разных организаций и выделить угрозы, с которыми представителям отрасли нужно бороться вместе. Плюс потребуется обсудить нюансы цепочек поставок, способы кооперации и т. д.
- Создать структуру ЦКО. Определить роли, штатную численность и квалификацию специалистов центра и подключаемых организаций.
- Спланировать, выстроить и реализовать необходимые процессы. Работу нужно вести по циклу Деминга — одной из самых востребованных в мире моделей управления качеством и улучшения процессов. При этом наращивание функций и автоматизацию можно проводить постепенно — в зависимости от запросов самого ЦКО и подключенных организаций.
Наконец, необходима оценка эффективности. Нужно определить реперные точки, в которых центр будет подводить промежуточные итоги. Например, насколько повысилась готовность участников отрасли к отражению кибератак, как вырос общий уровень их защищенности или какие новые потребности у них появились. Это позволит корректировать вектор дальнейшего развития и увеличит эффективность ЦКО.
Объединив свои усилия в рамках ЦКО, организации получат следующий набор сервисов:
- Комплексную оценку уровня защищенности и киберустойчивости, а также рекомендации для их планомерного повышения.
- Методическую и практическую помощь в совершенствовании мер защиты с учетом отраслевой специфики и отраслевых рисков.
- Отраслевую экспертизу и приоритеты по реализации мер защиты.
- Всевозможные сервисы в части киберустойчивости — от консалтинга и мониторинга до создания ИБ-систем под ключ.
- Отраслевые киберучения для развития компетенций.
- Независимую проверку защищенности — отраслевые программы багбаунти.
При этом взаимодействие между регуляторами, ЦКО и участниками отрасли может осуществляться по следующей схеме (см. рис. 2).
***
Чтобы систематизировать процесс обеспечения киберустойчивости отраслей, необходимо создавать условия для совместной работы. Важно строить защиту вместе, организовывать площадки для обмена опытом и запускать платформы, которые будут непрерывно обогащаться отраслевой экспертизой и компетенциями.