ГосСОПКА наращивает подключения

В своем выступлении на конференции CyberCamp сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексей Ицков обратил внимание на то, что согласно указу президента РФ №250, количество предприятий и учреждений, которых обязали подключаться к ГосСОПКА, многократно увеличилось. Их перечень существенно шире, чем тех, кто подпадает под действие законодательства по защите критической информационной инфраструктуры (КИИ). Существенно выросло и количество подключений к ГосСОПКА. Алексей Ицков привел статистику по количеству протоколов по подключению к данной системе. Если по состоянию на 1 января текущего года их насчитывалось 199, то на 1 сентября уже 670. При этом количество организаций, которые работают с ГосСОПКА многократно больше, поскольку структура системы многоуровневая. В результате в декабре 2021 года к ГосСОПКА было подключено более 2300 организаций. При этом, по мнению руководителя отдела аналитики "СёрчИнформ" Алексея Парфентьева, те, кто подключаются к ГосСОПКА напрямую, многое теряют в экспертизе: "Ведомственные и корпоративные центры работают как сервис-провайдеры и ввиду того, что они все время занимаются мониторингом и отчетом об инцидентах, у них есть наработанная практика. Если же в компании есть столь же профессиональный специалист, то компания ничего не теряет". "Количество субъектов, подключенных к ГосСОПКА, увеличится на порядок, но не из-за требований указа №250 (под него подпадает большое количество субъектов КИИ, которые уже должны были обмениваться данными об инцидентах с НКЦКИ). Больше на количество новых подключений влияют поправки в законодательство о защите персональных данных, - считает Алексей Парфентьев. - По новым требованиям операторы персональных данных (ПДн) должны будут отчитываться об инцидентах информационной безопасности и фактах утечек ПДн. Потенциально это все российские операторы персональных данных. Отмечу, что в реестре Роскомнадзора зарегистрировано в разы меньше операторов, чем тех, кто реально обрабатывает персональную информацию. Но требование закона распространяется на всех". По мнению участников дискуссии "Что такое Threat Intelligence", ГосСОПКА стала в России одним из главных источников потоков данных об угрозах, пусть и не всегда оперативным \[quote\] https://www.comnews.ru/content/222098/2022-09-09/2022-w36/kiberrazvedka-vyrvalas-vpered-rossiyskom-ib \[/quote\] Количество информационных бюллетеней, выпущенных НКЦКИ, за восемь месяцев текущего года составило 832 против 632 за весь 2021 год, разослано 9105 уведомлений об атаках против 6958 по итогам 2021 года, и 910 уведомлений об инцидентах при 335 за 2021 год. При этом, как подчеркнул Алексей Ицков, данная статистика относится только к объектам КИИ. НКЦКИ также занимался противодействиям DDoS-атакам и фишингу. Количество фишинговых ресурсов, которые обнаруживали и блокировали сотрудники Центра, в среднем составляло 17 в день. При этом, как отметил Алексей Ицков, продолжалось взаимодействие с аналогичными зарубежными центрами по взаимному информированию об атаках и инцидентах. Подключение к системе номинально бесплатно. Но для этого необходимо выполнить определенные требования, соответствие которым требует усилий и приобретения дополнительного оборудования. "Затраты на подключение складываются из двух составляющих. Первое – это интеграция ПО, из которого нужно передавать информацию об инцидентах. Второе – покупка криптошлюза, который для этих задач должен быть обязательно сертифицирован. Вендоры, и мы в том числе, часто предвосхищают запрос клиентов и сами реализуют интеграцию. Если ее нет, заказчик может написать скрипт своими силами, но, понятно, это требует знаний, - напоминает Алексей Парфентьев. - Можно обойтись и без интеграций и просто передавать информацию об инциденте вручную, тогда затрат, по сути, нет. Но ИБ-специалист должен предоставлять отчет по определенному шаблону". "Мы подключены к выделенному личному кабинету ГосСОПКА напрямую с использованием криптошлюза. Технически данное подключение не представляет большой сложности, а операционные затраты небольшие. Лицензий никаких не требуется. Для информационного взаимодействия НКЦКИ допускает любой канал (телефон, сайт, электронная почта). Техническое подключение - выбор субъекта. Для нас это возможность сохранить конфиденциальность чувствительной информации и возможность интеграции с нашими системами", - сообщили ComNews в пресс-службе ПАО "МегаФон". Однако, как отметил директор Центра информационной безопасности "Инфосистемы Джет" Андрей Янкин, часто даже заполнение карточки инцидента для передачи в ГосСОПКА вызывает сложности. Но, по мнению руководителя отдела систем мониторинга информационной безопасности и защиты приложений "Инфосистемы Джет" Рината Сагирова, именно заполнение карточек инцидентов является той операцией, которая лучше всего поддается автоматизации среди тех, которые относятся к управлению инцидентами. Другие операции при автоматизации требуют как минимум серьезной осторожности и могут привести к существенным издержкам. Ссылка на источник