В правительстве хотят ускорить обмен информацией о киберинцидентах между специалистами по информбезопасности. Сами участники рынка предложили создать цифровую платформу для централизованного сбора данных и оперативного решения сложных задач, сообщает Коммерсантъ.
Чиновники поддерживают идею, но проблемой могут стать договоры о неразглашении, которые поставщики средств киберзащиты заключают с клиентами.
Участники рынка кибербезопасности рассказали, что обсуждают с Минцифры идею создания единой платформы для сбора информации об инцидентах и обмена экспертизой по отражению кибератак. Речь идет, например, про данные о скомпрометированных банковских картах, учетных записях, вредоносных программах, поясняет собеседник «Ъ» в крупной IT-компании, платформа призвана помочь специалистам в оперативной борьбе со злоумышленниками. Запуск самой системы, полагает он, должно взять на себя государство, а ее наполнением займутся профильные компании. «Инициатива обсуждается с другими ведомствами, пока окончательное решение не принято», — уточнили «Ъ» в Минцифры. С кем именно идет диалог, там не уточнили.
В России уже есть платформа, выполняющая похожую функцию. Это система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которую контролирует ФСБ, и Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), входящий в ЦБ.
По его мнению, для реагирования на новые инциденты в первую очередь необходимы индикаторы компрометации, описания техник и тактик атак и детектирующих правил (правило, по которому система способна выявлять вредоносную активность).
После начала военных действий на Украине масштабным хакерским атакам подверглись почти все государственные информсистемы и крупные компании. Например, число вирусных атак на российский ритейл выросло в первом полугодии на 45%. По итогам проверки компаний из всех отраслей экономики, от финансового сектора до промышленности, выяснилось, что у 79% в системах были уязвимости и 86% из них удалось успешно взломать.
Сейчас технической информацией о кибератаках и преступных группах располагают не только профильные вендоры, но и подразделения информационной безопасности, мониторинга и реагирования банков, телеком-операторов, промышленных предприятий и так далее, отмечает региональный директор Group-IB в России и СНГ Валерий Баулин: «Все они могли бы стать полноправными участниками информационного обмена на единой платформе». Однако, уточняет господин Мелехин, вся необходимая информация «является коммерческой ценностью самих же вендоров и стоит для конечного потребителя достаточно дорого». «Именно конкуренция и мешает развитию подобных платформ обмена данными», — полагает эксперт.
Основная проблема не в платформе, а в регулировании информационного обмена, на пути реализации проекта стоят как многочисленные NDA (соглашение о неразглашении), так и другие, в том числе законодательные, ограничения, соглашается Валерий Баулин. Однако, полагает он, «необходимость применять единые данные киберразведки для обеспечения информационной безопасности очевидна».