В Национальном координационном центре по компьютерным инцидентам не удовлетворены уровнем защищённости большинства российских организаций критической информационной инфраструктуры. Соответствующее заявление во время своего выступления на конференции АБИСС по вопросам регуляторики информационной безопасности сделал Андрей Раевский, представитель НКЦКИ.
Андрей Раевский подчеркнул в своём докладе, что согласно установленному порядку, субъекты критической информационной инфраструктуры РФ должны направлять доменные имена и IP-адреса своих внешних ресурсов для проведения мониторинга защищённости.
На основе данных, направленных от объектов критической информационной инфраструктуры, НКЦКИ формирует план мониторинга защищённости по каждому объекту. Эксперт также отметил, что далеко не все российские организации оперативно делятся подобными данными, поэтому регулятору необходимо проводить серьёзную разъяснительную работу для отладки процесса получения необходимой информации об уровне защищённости от субъектов КИИ.
Андрей Раевский уточнил, что в соответствии с первыми результатами реализации приказа №213, степень безопасности объектов КИИ в России находится на недостаточном уровне — примерно у 50% организаций, которые попадают под требования президентского указа №250 и в отношении которых был осуществлён мониторинг уровня их защищённости.
Специалист указал на то, что в большинстве случаев эксперты Национального координационного центра по компьютерным инцидентам выявляли наличие возможности злонамеренного проникновения в IT-инфраструктуры организаций со стороны внешних киберпреступников.
Андрей Раевский резюмировал, что результаты первичного мониторинга, проведённого Национальным координационным центром по компьютерным инцидентам, не такие оптимистичные. Например, в большинстве случаев — около 80% — экспертам по информационной безопасности НКЦКИ удалось реализовать угрозу проникновения внешнего злоумышленника во внутренние сети тестируемых организаций.
Айрат Мухаметшин, начальник отдела методологии и комплексной экспертизы Cloud Networks, заявил редакции CISOCLUB: «Результат на самом деле неутешительный. И, как обычно, поднимаются два вопроса: «кто виноват?» и «что делать?». Первый вопрос оставим компетентным органам, а вот что касается второго, здесь важно понимать, что обеспечение ИБ – деятельность регулярная и системная. Значит, и меры необходимо принимать соответствующие: недостаточно ограничиваться формальным выполнением положений нормативной документации Регуляторов, раз и навсегда «зафиксировавшись» установкой и настройкой набора средств защиты.
Ведь, как показывает практика, злоумышленники обычно придерживаются иной линии поведения, изобретая все новые и новые способы и техники реализации угроз ИБ для достижения своих целей (и в последнее время цели не ограничиваются прямой коммерческой выгодой).
Только равнозначный ответ в виде регулярного пересмотра и актуализации защитных мер со стороны владельцев КИИ способен изменить расстановку сил в таких «киберсражениях». Информационная безопасность в критической инфраструктуре – это триединство технических и организационных мер, а также процессной составляющей, обеспечивающей своевременное реагирование на изменения окружающей действительности цифрового мира, неотъемлемой частью которого стала критическая инфраструктура».
Александр Зубриков, генеральный директор ITGLOBAL.COM Security: «Для того, чтобы выстраивать ИБ, в том числе в КИИ, необходимо руководствоваться принципами «обеспечения реальной ИБ», а не формальным выполнением норм и требований.
Сам факт наличия этой статистики говорит о том, что проводились тестирования на проникновения. А это значит, что есть понимание текущих слабых мест и возможность правильно расставить приоритеты. Это дает все основания рассчитывать, что в ближайшем будущем основные уязвимости на объектах КИИ могут быть устранены. Необходимо продолжать практику внедрения принципов ИБ, как культуры. При этом, крайне важна мотивация. Если не вводить существенных санкций за нарушения, то компании будут и дальше допускать утечки, оплачивая копеечные штрафы».
Технический директор ИТ-компании Innostage Антон Кузьмин: «Никто и никогда не будет защищен от взлома на 100%. Увы, полностью исключить риски проникновения в ИТ-инфраструктуру организаций, как и достичь тотальной кибербезопасности невозможно. Заветная планка все время повышается в ответ на растущее количество и мощность угроз. Так, на нашу компанию сейчас совершается до 50 раз больше атак, чем годом ранее. Для ответа на многократно возросшие вызовы нужен существенный апгрейд того уровня защищенности, который еще вчера казался достаточным.
Чтобы хакеры не смогли нанести серьезный ущерб бизнесу, нужно постоянно наращивать киберустойчивость — способность не только противодействовать угрозам, но и продолжать функционировать эффективно даже во время критичных инцидентов. И на единую цель должны работать все элементы системы: от построения ИТ-архитектуры и трансформации процессов до регулярных проверок на уязвимости и повышения квалификации персонала.»
Оригинал публикации на сайте CISOCLUB: "В НКЦКИ недовольны уровнем защищённости российских организаций КИИ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.