Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА РФ) – это многоуровневая распределенная сеть обмена данными о киберинцедентах, которая устанавливается у субъектов критической информационной инфраструктуры (КИИ).

Можно сказать, что ГосСОПКА – это передовой ИБ-щит всей значимой инфраструктуры страны. В данный момент он все еще находится на этапе формирования: по разным оценкам, количество субъектов КИИ, на базе которых уже функционируют центры, колеблется в пределах 10-20 %.

В этой статье мы поговорим о составляющих и прочности этого щита, а также о тех проблемах, которые могут возникнуть в процессе его работы.

Центры системы СОПКА – одни из самых современных в стране с точки зрения технического оснащения и софта. Комплекс технических средств направлен на решение следующих задач:

1. Выявление киберинцидентов на инфраструктуре компании.
2. Сбор данных о происшествии для передачи в вышестоящий центр.
3. Взаимодействие с вышестоящими центрами и профильными государственными органами.
4. Упрощение принятия решений путем агрегации опыта всех субъектов.
5. Создание условий для качественного реагирования на инциденты.

Несмотря на обширный диапазон задач, главная функция ГосСОПКА с позиции государства – это надзор и возможность централизованного влияния на информационную безопасность значимых объектов.

Дмитрий Ковалев

руководитель департамента информационной безопасности компании «Сиссофт»

ГосСОПКА – это платформа, куда стекается информация о всех инцидентах в КИИ. Основная задача ГосСОПКи заключается прежде всего, в государственном контроле инцидентов, которые происходят на предприятиях КИИ.

Сбор, контроль, аналитика данных нужна государству, чтобы понять, что происходит в объектах критической инфраструктуры с точки зрения ИБ. Предоставление собранной информации остальным для того, чтобы другие предприятия КИИ не допустили подобных инцидентов — вторичная задача платформы.

Большое значение имеют темпы создания центров ГосСОПКА. При количестве значимых субъектов КИИ около полумиллиона, их интеграция, по разным оценкам, может занять от трех до десяти лет.

Проблематика концепции центров ГосСОПКА

Процесс создания распределенной системы обнаружения и предупреждения компьютерных атак имеет свои глобальные риски. Они связаны как с особенностью отрасли, так и с техническими особенностями процесса подключения субъектов.

«Бумажная безопасность»

Это проблема, с которой последние два года активно борется государство. В ее основе лежат два фактора:

• стремление компании оптимизировать издержки на обеспечение информационной безопасности;
• поле для разночтений и толкований в рамках правовых основ проекта ГосСОПКА.

Отсюда появляются прецеденты, когда согласно документам компания обеспечивает достаточный уровень информационной безопасности для прохождения ведомственных проверок, но на деле ни о какой защите и речи не идет.

Регулятор активно борется с этой проблемой путем выпуска методических рекомендаций и разъяснений к ним. Основной посыл этих документов – приоритет на функциональную полноту защитных систем.

Нагрузка на аналитические центры

Евгений Царев

управляющий RTM Group

Регулятор ждёт информации об инцидентах, чтобы предотвратить их распространение и, в случае чего, минимизировать последствия. Это две основные цели, ради которых создавалась структура.

Данные об инцидентах могут передаваться и автоматизировано, и вручную. В последнем случае используются специальные кабинеты для отправки сведений, в первом – особым образом настроенные SIEM. В обоих вариантах главное- полнота и достоверность передаваемых сведений. Это подтверждает общую тенденцию об информировании регуляторов по инцидентам – стоит вспомнить недавнюю инициативу о штрафах за сокрытие утечки ПДн.

По этой причине рекомендуем при подключении к ГосСОПКА тщательно подходить к классификации и идентификации инцидентов, – чтобы не скрыть что-то по неосторожности, либо не завалить центр пустяковыми срабатываниями, что приведет к нежелательному вниманию правоохранительных органов к субъекту КИИ.

Проблема ложноположительных срабатываний – одна из наиболее острых в контексте автоматических ИБ-систем. Решить ее в масштабе полумиллиона субъектов, которые могут принадлежать разным отраслям и иметь свою специфику – довольно сложная задача.

Решить эту проблему можно двумя путями:

1. Количественно. Путем увеличением количества аналитических центров или их штата.
2. Качественно. Через процесс выстраивания аналитики (автоматической и «ручной») на всех этапах работы с информацией.

Наиболее предпочтительным выглядит комбинированный вариант, когда между субъектами ГосСОПКА и аналитическими центрами соблюдается определенная пропорция, а полномочия по обработке информации распределены между всеми участниками.

Эффективность вертикальной коммуникации

При работе с любой государственной структурой, независимо от области, существует риск бюрократизации процесса.

 Это чревато следующими последствиями:

• бюрократизация любого согласования: рост документооборота и формальных операций;
• снижение скорости принятия решений;
• снижение мотивации субъектов делать информативные отчеты. 

Пример такой формализации можно наблюдать в сфере работы с ПДн. 15 августа Коммерсантъ сообщил, что представители ИТ-бизнеса просят Минцифры внести правки в профильный закон в области оборота обезличенной информации. По их мнению, это поможет снизить объем бумажной работы.

В масштабах ГосСОПКА сходный процесс может серьезно снизить эффективность всей системы за счет потери скорости обработки данных и выработки универсальных решений для всех субъектов.

Итоги

Центры ГосСОПКА – это важный элемент информационной безопасности на уровне государства. В его развитии важно соблюсти баланс между автономией и централизацией, поскольку отклонение в сторону либо лишит возможности использовать коллективный опыт, либо серьезно снизит скорость принятия решений.

На данный момент у всех участников процесса есть представления о том, что такое ГосСОПКА и для чего эта платформа нужна. В ближайшие годы многое зависит от того, насколько уже выработанные решения подойдут для масштабирования на огромное количество субъектов КИИ.

Источник: Cyber Media