В ОАЦ рассказали, как будет работать центр реагирования на компьютерные инциденты
Президент подписал указ № 350 «Об особенностях использования национального сегмента сети Интернет». Документ дополняет указ, принятый еще в 2010 году. Среди самых интересных положений — расширение полномочий ОАЦ в области кибербезопасности.
Часть изменений коснулась расширения полномочий Оперативно-аналитического центра при президенте по обеспечению кибербезопасности. По сути, в стране появляется полноценный центр реагирования на компьютерные инциденты (CERT), который плотно работает с международными командами для совместного решения глобальных и локальных угроз.
Расширенные полномочия дают возможность упрощенного механизма заключения договоров с некоммерческими организациями — другие команды реагирования, форумы команд или негосударственные сообщества. Это позволит увеличить число источников информации об инцидентах и усилить безопасность.
Ключевая функция национального CERT — координация так называемых «центров компетенций» и выработка рекомендаций для них. Центры компетенций — отраслевые технические рабочие группы, которые работают над обеспечением кибербезопасности. Так, сейчас плотная работа ведется в сфере обеспечения безопасности банковской системы, отдельные программы существуют для взаимодействия с вендорами антивирусного ПО и рядом провайдеров. Главной целью совместной работы является предупреждение и реагирование на инциденты, анализ информационных угроз. Причем на любом уровне, сообщить об инциденте может каждый.
— Единичные случаи с небольшим уровнем угрозы, такие как спам из-за неправильной настройки почтового сервера, рассматриваются с точки зрения формирования рекомендаций для владельцев таких серверов, — рассказывает сотрудник Национальной команды реагирования на компьютерные инциденты Виктор Гурин. — С другой стороны, есть такие инциденты как заражения вредоносным программным обеспечением шпионского класса. По таким угрозам не только формируются рекомендации, но и рассматривается жизненный цикл такого ПО: способ заражения, распространения, поиск в других организациях, лечение, взаимодействие с командами и провайдерами других стран для блокирования угрозы. Таких инцидентов за текущий год было отработано около 300, а первого уровня — значительно больше.
На вопрос о том, как изменились правонарушения и способы защиты в связи со скачком развития технологий в последние годы, Виктор Гурин отмечает:
— Я бы все же разделял правонарушение и инцидент. С точки зрения правонарушения есть обязательные признаки, состав правонарушения. В нашей практике были случаи, когда инцидент (например, взлом сайта с последующим размещением фишинговой страницы) был успешно разрешен, но так как пострадавшая сторона отказалась писать заявление, то юридически преступления не было. Другими словами, инцидент из технической области, а правонарушение из юридической. Их число будет точно расти по мере развития технологий, новые риски открывает рост числа IoT-устройств. Единого решения для них, к сожалению, нет. Мы в своей работе при исследовании каждого случая стараемся сформировать максимально универсальные решения, которые не позволят развиваться подобным инцидентам.
Напомним, национальная команда реагирования на компьютерные инциденты (CERT.BY) с 26 сентября 2013 года является членом международного сообщества Forum of Incident Response and Security Teams (FIRST), основная задача которой — снижение уровня угроз информационной безопасности. CERT.BY осуществляет сбор, хранение и обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак на территории Беларуси, а также реагирование на сами инциденты как в информационных системах государственных органов и организаций, так и у самостоятельно обратившихся субъектов национального сегмента сети интернет.