ГосСОПКА – это государственная система обнаружения, предупреждения и ликвидации компьютерных атак. Ее основная задача – это налаживание обмена информацией о киберинцидентах между регулятором (ФСБ) и объектами критической информационной инфраструктуры (КИИ), повышение осведомленности компаний об актуальных киберугрозах.

В начале сентября 2022 года появилась информация о создании аналога центров ГосСОПКА, предназначенного для обмена данными о киберинцидентнах между ИБ-компаниями.

В этой статье мы рассмотрели перспективы подобных аналоговых центров мониторинга и обмена данными о киберугрозах, их актуальность с точки зрения бизнеса и возможные сложности с реализацией.

В чем смысл аналоговых платформ

К субъектам КИИ, исходя из данных ФСТЭК, сейчас относится около полумиллиона организаций и предприятий. При этом, согласно данным портала « Известия», в России существует более 7 миллионов компаний и ИП.

Целевая аудитория аналоговых платформ – это те организации, которые не подпадают под категорию критически значимых. Однако, они также подвергаются кибератакам и несут вынужденные убытки в случае их успешности, что негативно сказывается на экономике в целом.

Роберт Низамеев

Руководитель направления кибербезопасности в ILAR Group

Целесообразность есть, потому что не все игроки рынка используют ресурсы НКЦКИ и Финцерта. На данный момент для многих игроков, не относящихся к критической информационной инфраструктуре, остаются только так называемые сервисы Threat Intelligence – платформы обмена информации по угрозам (фидам), но данные платформы и подписки на данную информацию для большинства организаций будут отнимать значимую часть бюджета.

Относительно эффективности новой платформы для участников рынка - вопрос сложный, потому что данные по угрозам надо уметь фильтровать и грамотно применять, потому что это будет процесс, отличающийся от банального обновления базы антивируса. Но в конечном счёте плюсов будет больше, чем минусов.

Таким образом, основная задача такой платформы – это охват большего количества участников рынка с целью повысить общий уровень защищенности компаний от рисков, связанных с информационной безопасностью.

Второй аспект – это отраслевая спецификация. Пример такой работы можно увидеть в финансовой и банковской сфере (ФинЦЕРТ). Подобная работа ведется и в рамках ГосСОПКА, в частности – создание 8 центра ФСИН (Постановление Правительства №2603) и центра по ИБ в промышленности (Распоряжение Правительства №1636).

Создание центров с отраслевой спецификацией способствует более детализированной работе с данными о киберинцидентах, которые наиболее актуальны для представителей конкретной сферы деятельности.

В результате, аналог (или аналоги) ГосСОПКА должен одновременно вовлекать в работу с киберинцидентами как можно большее количество компаний и, вместе с тем, давать возможность градировать эти инциденты, выявленные паттерны и особенности, по отраслям.

Риски и возможности

Такая платформа, при правильном взаимодействии, способна качественно усилить защищенность российских компаний в киберпространстве. Повысить осведомленность участников рынка об актуальных методах атак, сократить скорость реагирования на инциденты.

Но существует и масса рисков, среди которых можно выделить:

1. Возникновение путаницы. В иерархии платформ, в обмене данными между этими системами и тд.
2. Бюрократизация. Заявленные в нормативных актах цели и задачи не будут соответствовать бизнес-задачам. В результате – деятельность платформы станет формальной.
3. Юридические сложности. В большинстве случаев вся деятельность, связанная с информационной безопасностью, подпадает под договор NDA. Это может создать дополнительные трудности при публикации данных о кибератаках.

Важно отметить, что аналог ГосСОПКА будет конкурировать со смежными, по сути, TI-платформами, которые обладают значительным функционалом, но и требуют серьезных финансовых затрат, на которые может пойти далеко не каждая компания.

Евгений Царев

Управляющий RTM Group

Создание такого рода платформ имеет смысл только в том случае, если у их участников есть достаточно четкие права и обязанности. В том, чтобы сделать еще один ресурс, на котором можно обмениваться информацией, смысла нет никакого. Сегодня ГосСОПКА и ФинЦЕРТ даже между собой видятся избыточными. Всем организациям рынка хочется видеть единую платформу, на которой определены все права и обязанности участников и зафиксированы цели и задачи, профит данного ресурса.

Если работа подобного ресурса не будет четко отлажена, не будет регламентирована, не будут понятны его цели, то и качественно повлиять на высокий уровень киберопасности он не сможет, не получится и снизить с его помощью количество инцидентов.

Успешность платформы во многом будет зависеть от детализации целевой аудитории, на которую она будет рассчитана, а также от заявленных целей и задач, и удовлетворения технических характеристик этим задачам.

Вывод

И государство, и бизнес, в этом году, получили возможность взглянуть на информационную безопасность под новым углом: как на неотъемлемую часть любого процесса, связанного с цифровым пространством. Можно говорить о том, что информационная безопасность становится такой же обязательной, как и соблюдение ПДД.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

Наличие нескольких систем по обмену информацией, безусловно, благоприятно скажется на безопасности самих данных. Кроме того, появление аналога центра ГосСОПКА будет способствовать конкуренции среди систем, предназначенных для обмена информацией между ИБ-компаниями, что дополнительно усилит рынок ИБ-решений в России.

Вместе с тем, ресурсы и компаний, и регулятора, не безграничны. А это значит, что наибольшее внимание будет уделено приоритетным и наиболее значимым направлениям, а безопасность остальных будет обеспечиваться либо силами самих участников отрасли, либо на поздних этапах.

Поэтому сейчас появление аналоговых платформ, не входящих в контур ГосСОПКА, выглядит менее вероятным, чем создание отраслевых центров информационной безопасности в рамках уже существующей платформы.

Источник: Cyber Media