Зачем нужны центры киберустойчивости отраслей

29 марта 202415 минут

Сергей Куц

Руководитель направления по развитию отраслевой кибербезопасности, Positive Technologies

Для кого:: ИБ-специалисты, CISO
Скиллы:: Отраслевая кибербезопасность

ЦКО

C современными киберугрозами сложно бороться в одиночку. Ключ к защите — в кооперации. А если точнее, нам нужны организованные структуры, которые будут отвечать за обеспечение киберустойчивости отдельных отраслей. Почему? Давайте разбираться!

Виды киберугроз — отраслевая оценка

При выборе подходов, средств и инструментов защиты нужно учитывать не только особенности ИТ-ландшафта конкретной организации, но и отраслевую специфику (нюансы оборудования, уникальные способы взлома, специфические уязвимости и др.). Например, в финансовом секторе используется уникальное ПО для банкоматов. В транспортном реализуется сложная логистика грузоперевозок и пассажиропотока. В здравоохранении применяется специфичное оборудование и всевозможные медицинские ИС. Промышленность использует уникальные АСУ ТП, протоколы и алгоритмы для реализации производственных процессов.

Направлений и сегментов много, и все они могут быть связаны между собой кросс-отраслевыми процессами. При этом выполнение базовых ИБ-рекомендаций не поможет противостоять специфичным атакам, нацеленным на конкретный сектор рынка. Соответственно, мы можем разделить киберугрозы на два больших блока:

Универсальные, т. е. характерные для всех отраслей. Они связаны с типовым ПО, оборудованием и процессами, которые используют организации из разных секторов рынка.
Уникальные, присущие конкретной отрасли. На них и остановимся подробнее.

Для прогнозирования потенциальных векторов кибератак и принятия мер по исключению их реализации проводится моделирование угроз безопасности информации. Например, это можно делать с помощью методического документа от 5 февраля 2021 г., разработанного и утвержденного ФСТЭК России. Кроме того, для проведения анализа угроз можно использовать лучшие практики по результативной кибербезопасности. А сопоставление подходов от регуляторов дает понимание единого целеполагания — в первую очередь необходимо исключить недопустимые события.

Как бороться с уникальными киберугрозами

Во-первых, важно понимать, с чем именно могут столкнуться представители конкретной отрасли. Предположим, злоумышленники атаковали банк на Дальнем Востоке. Нужно как можно быстрее проанализировать их техники и тактики (инструментарий, индикаторы компрометации, адреса C2-серверов, сценарий атаки и др.) и донести эту информацию до других банков страны. Оперативность коммуникаций может быть обеспечена за счет автоматизации проверки гипотез и обмена индикаторами компрометации. Кроме того, важно проводить отраслевые исследования и формировать точечные рекомендации по защите.

Базовый анализ угроз безопасности включает пять этапов.

Определение возможных негативных последствий от реализации угроз.
Определение объектов защиты, или инвентаризация. В том числе поиск уязвимостей, которые злоумышленники могут использовать для проведения кибератаки.
Определение нарушителей безопасности и оценка их возможностей.
Оценка способов реализации угроз и составление сценариев атак.
Формирование мер, необходимых для устранения критически опасных уязвимостей.

Во-вторых, необходимо своевременно находить и закрывать наиболее опасные уязвимости, характерные для определенных отраслей. По сути, речь о предотвращении реализации недопустимых событий. Работать с уязвимостями можно в двух режимах: «здесь и сейчас» и «прогнозирование».

В-третьих, важную роль играет наличие уже упомянутой организованной структуры, которая будут следить за защищенностью конкретной отрасли. Проще говоря, время строить центры киберустойчивости отраслей (ЦКО).

Киберустойчивость — это состояние, при котором в режиме проведения кибератак не нарушается функционирование ключевых направлений деятельности организации, отрасли или государства.

Центр киберустойчивости отрасли: что это и зачем он нужен

Отдельные компании могут иметь заметное влияние на экономику страны и функционирование целых отраслей. Следовательно, если ключевые игроки будут хорошо защищены, это значительно повысит киберустойчивость всего сектора рынка. Для этого и нужен ЦКО. В задачи центра должны входить:

реагирование в случае угрозы реализации недопустимого для отрасли события;
контроль и поддержка высокого уровня защищенности у всех участников отрасли;
помощь организациям в создании эффективных систем обеспечения кибербезопасности с учетом отраслевой специфики;
исключение возможности реализации недопустимых событий.

Модель реализации ЦКО может быть гибкой. Например, центр может выполнять функции отраслевого SOC и осуществлять мониторинг ИТ-инфраструктуры подключаемых организаций. Также можно использовать ЦКО для информирования (CERT-подход) или построить гибридное решение, сочетающее функции SOC и CERT. На мой взгляд, оптимальной выглядит риск-ориентированная модель, нацеленная на решение практических задач по митигации (смягчению) отраслевых рисков и непрерывному повышению киберустойчивости.

Как создать ЦКО на уровне отраслевого ведомства

Определить, какие задачи будет решать центр. Целеполагание стоит оформить в виде концепции отраслевой киберустойчивости, которая включает описание проблематики, цели, задачи, функции, ролевую модель и структуру центра, модель взаимодействия и верхнеуровневую архитектуру. Кроме того, потребуются нормативное правовое обоснование и оценка регулирования.
Сформировать стратегию отраслевой киберустойчивости. Это позволит объединить экспертов из разных организаций и выделить угрозы, с которыми представителям отрасли нужно бороться вместе. Плюс потребуется обсудить нюансы цепочек поставок, способы кооперации и т. д.
Создать структуру ЦКО. Определить роли, штатную численность и квалификацию специалистов центра и подключаемых организаций.
Спланировать, выстроить и реализовать необходимые процессы. Работу нужно вести по циклу Деминга — одной из самых востребованных в мире моделей управления качеством и улучшения процессов. При этом наращивание функций и автоматизацию можно проводить постепенно — в зависимости от запросов самого ЦКО и подключенных организаций.

Наконец, необходима оценка эффективности. Нужно определить реперные точки, в которых центр будет подводить промежуточные итоги. Например, насколько повысилась готовность участников отрасли к отражению кибератак, как вырос общий уровень их защищенности или какие новые потребности у них появились. Это позволит корректировать вектор дальнейшего развития и увеличит эффективность ЦКО.

Объединив свои усилия в рамках ЦКО, организации получат следующий набор сервисов:

Комплексную оценку уровня защищенности и киберустойчивости, а также рекомендации для их планомерного повышения.
Методическую и практическую помощь в совершенствовании мер защиты с учетом отраслевой специфики и отраслевых рисков.
Отраслевую экспертизу и приоритеты по реализации мер защиты.
Всевозможные сервисы в части киберустойчивости — от консалтинга и мониторинга до создания ИБ-систем под ключ.
Отраслевые киберучения для развития компетенций.
Независимую проверку защищенности — отраслевые программы багбаунти.

При этом взаимодействие между регуляторами, ЦКО и участниками отрасли может осуществляться по следующей схеме (см. рис. 2).

Рисунок 2. Схема взаимодействия ЦКО с представителями отрасли

***

Чтобы систематизировать процесс обеспечения киберустойчивости отраслей, необходимо создавать условия для совместной работы. Важно строить защиту вместе, организовывать площадки для обмена опытом и запускать платформы, которые будут непрерывно обогащаться отраслевой экспертизой и компетенциями.