«Ведомости» на днях сообщили о том, что Президент РФ Владимир Путин подписал Указ от 15 января 2013 г. N 31с, в соответствии с которым ФСБ поручается создать общегосударственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
«Возложить на ФСБ России полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ — информационные системы и информационно-телекоммуникационные сети, находящиеся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом», — говорится в Указе N 31с.
Судя по тексту, предполагается создание некоей общегосударственной системы защиты информационных систем — в первую очередь принадлежащих госучреждениям, хотя специально оговаривается, что «по согласованию с владельцами» услуги по такой защите могут быть оказаны и любым другим ресурсам.
Интересно, что подписание указа практически совпало с заявлением «Лаборатории Касперского» об обнаружении обширной и давно функционирующей сети кибершпионажа против дипломатических и государственных структур разных стран, условно названной Red October.
Публикация «Лаборатории Касперского» датирована 14 января, подписание вышеупомянутого указа — 15 января. Такое совпадение создаёт сильнейший соблазн увязать эти события между собой, однако указы подобного рода за сутки не готовятся. Скорее всего, никакой связи нет.
Стоит добавить, что «Лаборатория Касперского» отказалась комментировать новый указ президента РФ, сославшись на то, что документ «не содержит достаточных технических спецификаций о планируемой системе защиты» и что «подобные инициативы правительства лежат вне области экспертизы «Лаборатории Касперского».
Сама идея налаживания централизованной защиты российских информационных ресурсов (особенно государственных) выглядит вполне правомерной: в конце концов, они оперируют важной для населения информацией, а сбои в их работе могут иметь драматические последствия для множества людей.
При этом в указе ничего не говорится о том, какого рода атаки имеются в виду. Похоже, что все, какие только можно вообразить.
— В указе Президента говорится о том, что создаваемая система должна обнаруживать, предупреждать и ликвидировать последствия компьютерных атак. При этом не даётся никакой расшифровки, что подразумевается под термином «компьютерная атака», — говорит Богдан Вовченко, официальный представитель компании Group-IB. — С учётом того, что и в экспертной среде не существует устоявшегося определения, целесообразней всего в этом случае обратиться к ГОСТ Р 51275-2006, в котором указывается, что компьютерная атака — целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств. Таким образом, можно сделать предположение, что будущая система в идеале должна будет обнаруживать и отражать любые инциденты информационной безопасности, вне зависимости от их природы.
В ФСБ существует несколько подразделений, которые занимаются вопросами кибербезопасности, — Центр информационной безопасности, НИИ-3 и другие. По-видимому, планируется создать единую структуру, которая будет координировать все вопросы, связанные с «информационной обороной» российских учреждений.
Насколько, однако, велика угроза для этих учреждений? И насколько часто их атакуют? По словам Вовченко, атаки на информационные ресурсы государственной важности редко становятся достоянием общественности.
— В качестве одного из примеров можно привести серию DDoS-атак на сайты Президента и Правительства России, которые имели место в начале мая 2012 года, — говорит представитель Group IB. — В итоге ФСБ удалось установить личность некоторых злоумышленников и задержать их в Красноярске. Недавно материалы дела по одному из них были переданы в суд, и обвиняемому грозит до четырёх лет лишения свободы.
При этом, как пишет государственная «Российская газета» со ссылкой опять же на ФСБ, ежедневно на сайты Президента, Госдумы и Совета Федерации осуществляется «до 10 тысяч атак», большая часть которых нацелена на нарушение работоспособности атакуемых ресурсов. Представители Федеральной службы безопасности утверждают также, что у зарубежных спецслужб «растёт интерес» к «закрытой информации военного, политического и экономического характера». Получить её пытаются, «используя самые современные технологии».
Вышеупомянутый материал «Российской газеты» весьма интересен уже потому, что сам по себе является своего рода справкой, которой, по-видимому, обосновывается формирование нового подразделения ФСБ. Вот несколько цитат из него, вполне отчётливо иллюстрирующих позицию спецслужб в данном вопросе.
— Всё чаще интернет стали использовать организованные преступные группы, которые используют высококлассных хакеров для совершения «виртуальных» преступлений.
— Ещё больше опасений у спецслужб вызывает проникновение в Сеть террористических и экстремистских группировок.
— Кроме того, сегодня всё более реальными становятся угрозы, связанные с возможностью применения так называемого «информационного оружия», которое становится важным элементом военного потенциала государств.
— В то же время… решение задачи эффективного противодействия деструктивному использованию кибертехнологий осложняется тем, что для принятия адекватных мер зачастую очень непросто в глобальном информационном пространстве определить источник враждебных действий и его статус: государственный или негосударственный.
Очевидно, что итоговый президентский Указ от 15 января 2013 г. N 31с готовился не один день, и даже не одну неделю. Что могло послужить поводом для его создания и подписания? Определённо не Red October. А вот история со Stuxnet, чьё «правительственное» происхождение и «оружейное» назначение было подтверждено практически официально, вполне могла оказать большое впечатление на российскую верхушку. Мол, если «какая-то программка» смогла вывести из строя важное предприятие в Иране, то что может помешать потенциальному противнику в случае необходимости «угостить» российскую информационную инфраструктуру чем-то подобным?
— Система должна будет защищать не просто государственный сектор «виртуального пространства» Российской Федерации, — говорит Богдан Вовченко. — В соответствии с текстом указа она будет обеспечивать информационную безопасность всех ресурсов, находящихся на территории России. Таким образом, речь идёт, по сути, о решении вопросов национальной информационной безопасности в масштабах всей нашей страны.
По словам представителя Group IB, идеи создания системы мониторинга киберугроз — правда, в отношении только критически важных объектов — уже звучали в документе Совета безопасности РФ «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации».
Этот документ был принят ещё в июле 2012 года. В нём, в частности, говорится:
«Целью государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства».
Учитывая, что именно автоматические системы управления центрифугами и стали объектом атаки Stuxnet на заводе Натанц, становится очевидно, что данный документ принят именно в связи с этими событиями. Стоит добавить также, что задачу обеспечения безопасности этот документ также возлагает на ФСБ.
Таким образом, нынешний указ — это лишь один из этапов создания системы ИТ-защиты, развёртывание которой определённо будет продолжаться ещё в течение какого-то времени. Как она в конечном счёте будет выглядеть, пока предположить сложно.
Как отметил Вовченко, такие системы не рождаются в одночасье и уполномоченным лицам ещё предстоит провести огромное количество подготовительных работ, пока система не приобретёт очертания проекта и не будут сформулированы технические требования к ней.