Во втором пакете мер по противодействию кибермошенничеству предполагается использование государственной системы учета страновой принадлежности IP-адресов. Операторы связи будут обязаны передавать туда данные о местоположении сетевых адресов. Эксперты указывают, что эти сведения могут использоваться для предотвращения кибератак.
Такие данные планируется использовать в том числе для контроля источников трафика. Например, чтобы ограничить доступ к виртуальным автоматическим телефонным станциям (ВАТС) с зарубежными IP, которые часто используются мошенниками.
Создание системы учета страновой принадлежности IP-адресов - это инструмент, который может быть использован в разных целях, и его влияние на цифровую среду неоднозначно, полагает Юрий Силаев, заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА.
По его мнению, положительный эффект для сферы кибербезопасности может проявиться в нескольких направлениях. Прежде всего такая система позволяет более эффективно фильтровать трафик на национальном уровне. Зная страновую принадлежность IP-адреса, можно блокировать или ограничивать доступ с территорий, которые являются признанными центрами киберпреступности или откуда фиксируются массированные атаки, например, DDoS-атаки.
Читайте "Российскую газету" в Max - подписаться
"Это повышает устойчивость критической информационной инфраструктуры (КИИ) страны к внешним воздействиям. Кроме того, это может помочь в борьбе с мошенничеством и фишингом, так как многие подобные ресурсы размещаются за рубежом. Для рядового пользователя это может означать меньшую вероятность столкнуться с вредоносным контентом извне", - говорит эксперт.
База учета упрощает контроль и помогает выявлять киберинциденты
Согласно тексту законопроекта, функции по сбору и хранению данных возлагаются на Роскомнадзор, а оператор системы - Радиочастотная служба.
Читайте также:
Андрей Воробьев, директор "Координационного центра доменов .RU/.РФ", отмечает, что зарубежные геосервисы используют неточную или устаревшую информацию. Например, по Крыму и новым регионам России, которые показываются в составе Украины. Это приводит к ошибкам в определении местоположения и, как следствие, к ограничению доступа для российских пользователей в рамках борьбы с зарубежными DoS-атаками.
Собственная доверенная база упрощает контроль за сетевыми потоками, а также помогает эффективнее выявлять инциденты - от утечек данных до кибератак.
При этом Юрий Силаев объясняет, что централизованный сбор данных о IP-адресах несет в себе и серьезные риски. Например, создание единой точки отказа. Если такая база данных будет скомпрометирована злоумышленниками, это откроет им доступ к карте всей сетевой инфраструктуры страны, что может быть использовано для более точных и разрушительных атак.
Силаев указывает и на другой риск - угрозу приватности, хотя IP-адрес сам по себе не является персональными данными в чистом виде, в совокупности с другой информацией он позволяет деанонимизировать пользователей и отслеживать их сетевую активность.
"Наконец, существует операционный риск - ошибки в такой базе данных могут привести к масштабным блокировкам легитимных ресурсов и нарушению работы целых сегментов интернета", - добавляет эксперт.
Федор Дбар, коммерческий директор компании "Код Безопасности", отмечает, что такая система способствует повышению кибербезопасности, так как принадлежность IP-адреса к определенной стране служит одним из факторов анализа.
В совокупности с другими данными она позволяет выявлять аномалии в трафике или поведении, оценивать риски и детектировать потенциальные атаки. Это не прорывная технология, но важный элемент повышения эффективности защитных мер, добавляет Дбар.
Читайте также:
Киберполиция перечислила пять правил для защиты от мошенников
При этом эксперт указывает, что централизованный сбор данных об IP-адресах несет минимальные риски, поскольку эта информация и так остается общедоступной.
"Однако сейчас отсутствует единый, контролируемый Россией реестр с проверенными данными. Без такого официального источника всегда существует риск компрометации или использования недостоверных сведений", - указывает Дбар.
Подобные решения существуют в разных формах и в других странах. Например, в Китае есть система "Великий китайский файрвол", которая является классическим примером глубоко интегрированной системы фильтрации трафика на основе геолокации IP-адресов.
"Многие страны, включая США и государства Европы, не имеют столь централизованной государственной базы, но активно используют коммерческие и полугосударственные системы для мониторинга и блокировки вредоносного трафика в рамках национальных центров кибербезопасности. Например, NCSC в Великобритании. Ключевое отличие часто заключается в целях применения: в западных юрисдикциях основной акцент, как правило, делается на противодействии именно кибератакам, а не на контроле над информационным потоком", - заключает Юрий Силаев.
Автор: Татьяна Самусенко
