Структуры, занятые в сфере обеспечения информационной безопасности, постоянно выявляют новые уязвимости в компонентах ИТ-систем, прежде всего в программном обеспечении, а киберпреступники разрабатывают новые эксплойты и другие инструменты для кибератак. Именно эти условия и привели к необходимости развертывания в разных странах систем реагирования на компьютерные инциденты.
В конце октября 2011 г. приступила к работе первая в России коммерческая группа по реагированию на инциденты информационной безопасности (Computer Emergency Response Team, CERT) — CERT-GIB. Организовала ее российская компания Group-IB, которая занимается расследованием ИТ-инцидентов и нарушений информационной безопасности (ИБ).
Сколько CERT'ов нам нужно
Согласно данным, предоставленным заместителем директора RU-CERT Сергеем Буняковым, в настоящее время в мире насчитывается около 130 организаций, в названиях которых используется аббревиатура CERT, и еще 16 – сходная по сути аббревиатура CSIRT: Computer Security Incident Response Team. Все эти структуры отвечают за ИБ своих клиентов в случае возникновения компьютерных инцидентов.
Ссылаясь на международную практику, г-н Буняков утверждает, что для результативности реагирования на компьютерные инциденты для центра реагирования любой страны необходимо его международное признание сообществом центров CSIRT/CERT, основным из которых является Forum of Incident Response and Security Teams (FIRST).
В зависимости от типа клиентов CERT'ы можно разделить на обслуживающие научно-образовательную сферу (университеты, научные центры, институты и т. п.), органы государственной власти и управления (ОГВУ), включая силовые ведомства, и национальные CERT'ы, финансовые структуры, телекоммуникационные компании, другие крупные структуры.
В России, как сообщил г-н Буняков, в настоящее время существует единственный признанный международным сообществом (организациями FIRST и Trusted Introducer) центр реагирования на компьютерные инциденты — RU-CERT, который, как он пояснил, отвечает на все поступающие в него обращения. Однако, как следует из его слов, нашей стране еще только предстоит создание национального CERT'а, основной задачей которого была бы координация действий и взаимодействие государственных и негосударственных структур различного уровня, направленных на защиту населения и государства от киберугроз, мониторинг общего уровня распространения вредоносной активности в стране и за рубежом, а также анализ развития тенденций в данной области.
Характеризуя работу имеющихся у нас структур реагирования на ИТ-инциденты, главный аналитик компании InfoWatch Николай Федотов заявил, что ни один из декларированных в стране центров реагирования на ИБ-инциденты никак себя ни разу не проявил.
Недоволен работой существующих российских CERT'ов и директор Координационного центра национального домена сети Интернет Андрей Колесников. По его мнению, нам еще предстоит построить профессионально действующий, некоммерческий CERT. “России нужен хотя бы один работающий, пользующийся доверием у операторов и интернет-площадок и являющийся частью международной сети CERT”, — заявил он.
По мнению менеджера по развитию бизнеса корпорации Cisco Systems Алексея Лукацкого, единственный CERT, который имеется сегодня в России, сконцентрирован на узкой задаче и целевой аудитории. Деятельность Центра информационной безопасности при ФСБ, заметил г-н Лукацкий, непублична, и поэтому считать эту структуру CERT'ом не стоит, так же как и центры реагирования на инциденты, существующие у некоторых российских операторов связи. Что же касается недавно созданной Group IB структуры CERT-GIB, полагает г-н Лукацкий, она, конечно, не закроет все потребности в услугах по реагированию на ИБ-инциденты в стране, однако у нее, по его мнению, хотя бы хватает квалификации и публичности.
С учетом того, что Россия лидирует в Европе по количеству пользователей Интернета, является четвертой в мире по числу зарегистрированных доменных имен (и это без учета нового домена .РФ), один национальный CERT, считает г-н Кузьмин, не в силах контролировать вредоносную деятельность во всем Рунете. Нынешний ландшафт в области реагирования на инциденты ИБ в стране, по его оценкам, выглядит удручающе: отсутствует необходимый практический опыт, нет достаточного количества компетентных специалистов, нет необходимых методических разработок и подходов к задачам реагирования, отсутствует адекватная регулирующая нормативная база, у компьютерных пользователей нет элементарной культуры в области ИБ, которая в том числе подразумевает обращение в специализированные организации в случае возникновения ИБ-инцидентов.
“Нашей стране нужна сеть подобных технических команд, каждая из которых должна контролировать свой сегмент. Необходимо, чтобы в каждом субъекте Российской Федерации функционировала, как минимум, одна команда реагирования. В этой сети национальный CERT должен выступать в качестве координирующего центра и представителя регулирующих органов, который будет помогать региональным командам передавать всю необходимую информацию правоохранительным органам” — заявил г-н Кузьмин.
Иную позицию по структуре и количеству CERT'ов, необходимых для страны, занимает г-н Федотов. “Чем меньше CERT'ов будет в мире, тем лучше. Нормальные страны, — сказал он, — обходятся одним CERT'ом. Естественно, он должен работать круглосуточно. Если же в стране таких центров больше одного, то должен быть очень простой и понятный любому (в том числе и иностранцам) принцип разделения ответственности между ними”.
По мнению г-на Лукацкого, количество CERT'ов в стране зависит от того, какие функции будут на них возложены. “Если CERT занимается только сбором и анализом сведений об угрозах, то достаточно и одного, а если на него возложено расследование конкретных инцидентов, то и десятка не хватит. Если же следовать примеру США, где практикуется создание отраслевых CERT'ов, то в России в ближайшие пару лет их должно быть создано 7—10, а за пять лет 15—20”, — считает он.
Какие CERT'ы нам нужны
Г-н Лукацкий сообщил, что попыток создать в России государственный CERT на его памяти было уже три и все они разбивались о проблемы финансирования. “Государство в лице силовых структур (МВД, ФСБ и т. п.) не хотело финансировать создание такого CERT'а, а российские коммерческие компании привыкли вариться в собственном соку и не были готовы объединяться для борьбы с компьютерными угрозами. В общественный CERT я не очень верю, так как непонятно, на какие средства он будет существовать. Реальнее возникновение у нас отраслевых CERT'ов, созданных при каких-либо ассоциациях (например, Ассоциации российских банков, Российском союзе автостраховщиков и т. п.) и действующих на взносы их членов. Что касается частных CERT'ов, то именно у них больше шансов на существование”, — считает он.
По мнению г-на Кузьмина для налаживания функционирования системы CERT'ов в стране прежде всего необходимо ввести соответствующие положения о CERT/CSIRT в отраслевых и корпоративных стандартах ИБ. В отсутствии таких документов, как он считает, для российских специалистов понятие CERT остается неясным — нет четкого описания компетенций команды и зон ее ответственности, аспектов взаимодействия с правоохранительными органами.
Г-н Буняков обращает внимание на то, что CERT'ы, вступившие в FIRST, как правило, оказывают свои услуги бесплатно. Тех же принципов придерживается и RU-CERT, что соответствует нормам международной этики. Г-н Буняков надеется, что создатели национального российского CERT'а последуют тем же путем.
Позиция г-на Колесникова по этому вопросу более категорична: “CERT, если это действительно работающая структура, не должен быть платным для клиента. Отсутствие финансовой зависимости – один из важнейших факторов эффективности его работы.”
Г-н Керценбаум отмечает, что государственные CERT'ы, как правило, не берущие деньги за свои услуги, избирательно подходят к участию в расследовании ИБ-инцидентов, особенно если предстоит детальное изучение причин и последствий атак. Общественные CERT'ы не всегда обладают достаточной компетенцией и опытом в расследовании сложных инцидентов, но при этом их услуги более доступные и часто бесплатны. Частные исследовательские группы, согласно наблюдениям г-на Керценбаума, иногда тоже работают безвозмездно, особенно если это помогает им в их исследованиях. Однако когда речь идет о глубоком анализе инцидентов, то их услуги могут стоит дорого.
Г-н Колесников комментирует коллизию между CERT'ами разных категорий так: “Несмотря на одинаковые функции (сбор, анализ инцидентов и реакция на них), все три вида CERT'ов принципиально отличаются. Государственный CERT всегда будет выполнять функцию “большого брата”, и к нему будут относиться как к неизбежному злу. Общественный CERT как площадка согласия между участниками имеет самый большой потенциал, если не превратится в механизм поборов клиентов. Частный CERT всегда работает на заказчика и не обязан учитывать общие интересы.”
Деятельность государственных CERT'ов в первую очередь направлена на сбор и анализ данных по инцидентам в национальном киберпространстве. Они, как отмечает г-н Кузьмин, инертны и дистанцированы от клиента, зачастую их эффективность ограничивается бюрократическими процессами, недостаточным финансированием. В то же время государственный статус дает им право официально взаимодействовать с правоохранительными и регулирующими органами страны и с бизнес-структурами различного рода, представлять интересы страны на международной арене в сфере противодействия киберпреступности.
Общенациональный CERT, считает г-н Федотов, должен быть единым окном для всех обращений, касающихся безопасности сетей связи данной страны. По его мнению, такой центр можно строить как общественный (снизу) или как государственный (сверху). Тот и другой подход имеют свои преимущества и недостатки. В первом случае труднее будет получить необходимые для расследования инцидентов полномочия. Во втором проблема будет в компетентных кадрах и в доверии со стороны операторов. Поэтому оптимальным вариантом он считает общественно-государственный CERT.
Коммерческие CERT'ы оказывают услуги на платной основе, предлагая клиентам гарантированный уровень сервиса. Коммерческий подход, считает г-н Кузьмин, позволяет им увязывать свою деятельность в процессе реагирования на инциденты со значимыми бизнес-процессами компаний-клиентов, что помогает компетентно выполнить свои обязательства. Необходимость соответствовать требованиям клиентов и конкуренция заставляет коммерческие CERT'ы вкладывать средства в разработки, новое оборудование и обучение персонала, расширять территорию присутствия. Однако в отличие от государственных CERT'ов коммерческие не обладают административным ресурсом, поэтому обязаны находить иные точки сотрудничества с правоохранительными и регулирующими органами.
Клиент, считает г-н Кузьмин, при выборе CERT'а должен помнить, что дороже обойдется тот, который в критический момент не справится со своими профессиональными обязанностями.