В России решили ударить бюрократическими структурами по киберагрессии извне
В России завершается создание региональных штабов по обеспечению кибербезопасности. Администрации рапортуют об их появлении на фоне роста пострадавших от кибератак россиян. У экспертов есть подозрение, что эти штабы работают пока «только на бумаге».
После начала спецоперации ВС РФ на Украине 24 февраля масштабным хакерским атакам подверглись почти все государственные информационные системы, в том числе региональные, а также большое число СМИ. На совещании по повышению устойчивости и безопасности функционирования информационной инфраструктуры государства президент Владимир Путин заявил, что «по сути, против России развязана настоящая агрессия, война в информационном пространстве». По словам президента, кратно, в разы увеличилось число кибератак, они осуществляются из разных государств, чётко скоординированы и представляют собой по сути «действия государственных структур».
Одним из ответов на эти действия стала программа по созданию региональных штабов кибербезопасности. Также 1 мая президент Путин подписал указ о дополнительных мерах по информационной безопасности России.
Эти документом на заместителей руководителей федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов Российской Федерации, государственных фондов, государственных корпораций и иных организаций были возложены полномочия по обеспечению информационной безопасности соответствующих ведомств, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, реагированию на компьютерные инциденты.
Этим и должны были заняться создаваемые штабы.
Штабы есть, но о них мало что известно
Минцифры РФ в среду, 1 июня, отчиталось о том, что программа по созданию в регионах страны штабов по обеспечению кибербезопасности реализовали уже 99% субъектов Федерации и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования, сообщили в ведомстве.
При этом в издании ссылаются на состоявшееся 20 мая у Дмитрия Чернышенко совещание с федеральными и региональными руководителями цифровой трансформации. Судя по протоколу, вице-премьер поручал губернаторам создать штабы еще 6 марта, а реализация проекта была возложена на заместителей губернаторов, которые должны были к 10 марта сообщить о внедрении в регионах системы отчетности по любым киберинцидентам.
В материале издания утверждается, что штабы по кибербезопасности точно созданы в Ростовской области и Краснодарском крае, однако официальных сообщений об этом, как и о какой-либо отчетности по киберинцидентам, не было. Во вторник, 31 мая, в адрес управления информационной политики администрации региона были заданы вопросы — как продвигается реализация проекта по созданию штаба, кто его возглавил и кто вошел в его состав, как распределены в нем обязанности и т.д. Ответа на вопросы не последовало, а в среду, 1 июня, начальник управления информационной политики правительства Ростовской области ответил, что «запрос в работе». Странный ответ, учитывая, что штаб уже создан и работает, как утверждают в минцифры. К четвергу, 2 июня, ответа так и не последовало.
Кто защитит подвергаемые атакам СМИ?
Кстати, сенатор РФ от Ленобласти Сергей Перминов, отвечая на вопрос одного из местных интернет-изданий, подвергшемуся мощной Ddos-атаке, заявил, что в регионах есть структуры, которые должны отвечать за организацию информационной обороны. В частности, по его мнению, это могут быть управления, которые отвечают за взаимодействие с местными СМИ. Они выделяют гранты, проводят конкурсы, распределяют субсидии, но в нынешних условиях, считает сенатор, такие ведомства «обязаны перестроить свою работу и быть готовыми отвечать на вызовы гибридной войны».
Именно они, наряду с ведомствами, отвечающими в каждом регионе за кибербезопасность, по мнению Перминова, «обязаны стать штабом информационной обороны на местах и мгновенно оказывать помощь — действенную, конкретную помощь — атакованным СМИ региона».
Потребуются высококвалифицированные кадры
По мнению экспертов «Ъ», в создании штабов есть целесообразность, но только если наряду с чиновниками в них войдут соответствующие специалисты. Требуется «как минимум наличие высококвалифицированных специалистов, соответствующей инфраструктуры, интерфейсов и протоколов обмена подобной информации, а также большое количество центров мониторинга, которые и станут поставщиками информации». А опыт подобные штабы могут приобретать в ходе проведения «масштабных киберучений».
Что касается специалистов по кибербезопасности, то обычно под таковыми подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа, а также настроить сеть, предусмотреть ошибки, развернуть и запустить технологии мониторинга подключений. Есть и более узкие специалисты: пентестеры или «этичные» хакеры, которые ищут уязвимые места в защите, специалисты по разработке и по сетям.
Все они нужны уже сегодня. Тем более, в своем указе от 1 мая 2022 года президент России постановил, что с 1 января 2025 года в каждом госведомстве и госучреждении должны работать подразделения IT-безопасности, а госорганам и госкомпаниям будет запрещено использовать средства защиты информации большинства зарубежных вендоров (Cisco, Juniper, Fortinet и многих других: произведенные в недружественных странах или под их юрисдикцией).
Отечественные решения по кибербезопасности уже начали дорожать
Есть еще одна проблема в деле обеспечения кибербезопасности. По данным forbes.ru, отечественные решения в области кибербезопасности с марта заметно подорожали: больше половины компаний заявили, что столкнулись с повышением цен на 20% и более. Исследование показало, что 58% опрошенных компаний столкнулись с повышением цен на российские средства защиты на 20% и более. Почти половина (46%) отметила еще и задержку поставок, для 9% респондентов она оказалась существенной. Еще 8% опрошенных организаций рассказали, что поставщики отказались гарантировать поставки.
При этом 84% опрошенных компаний планируют в следующем году перейти на российские средства киберзащиты: антивирусы, системы защиты баз данных, VPN-шлюзы, написал «Коммерсантъ». Сейчас у половины заказчиков доля российского софта не превышает 15%. В госсекторе отечественные решения больше распространены: у трети компаний на них приходится 60%.
Донское минцифры «усилили» еще в марте
Ранее сообщалось, что министерство цифрового развития, информационных технологий и связи Ростовской области будет усилено за счет десяти новых сотрудников и двух заместителей министра. Соответствующее постановление о предельной штатной численности органов исполнительной власти подписал губернатор Василий Голубев.
Всего в минцифры будут работать 66 человек, а у министра Евгения Полуянова появятся два новых заместителя. Штат будет укомплектован к 1 апреля. По мнению региональных властей, усиление донского министерства также позволит эффективнее отражать устраиваемые хакерами DDos-атаки, участившиеся на фоне начала спецоперации на Украине.
Наш сайт, как и многие интернет-СМИ Ростовской области также подверглись кибератакам. На вопросы коллегам — как это было и как справлялись, последовали похожие ответы: да было, справлялись сами.
Бомбят крайне активно, сообщил представитель donnews. По его мнению, региональный штаб по противодействию киберугрозам «если и есть или будет, то он будет заниматься госсайтами и услугами», а большинство СМИ — частные юрлица, и отражение кибератак — «наши личные трудности». «Да, атакуют, в штаб не обращались, справляемся сами», — ответили в «ДОН-24» и 1rnd.
При кибератаке на RO.TODAY мы также «справлялись сами». Как это было, рассказал Максим Алипатов, непосредственно занимавшийся отражением.
DDoS атака на RO.TODAY началась в полдень субботы
DDoS атака на сайт может начаться в любой момент, однако когда DDoS планируют заблаговременно, как правило выбирают время, при котором администратор в меньшей степени будет обращать внимание на состояние подопечного ресурса. В нашем случае DDoS атака на сайт RO.TODAY началась в субботу в 12:00 дня. География атак была большая: Азербайджан, Украина, США. Хотя это могли быть просто страны-«прокладки».
По словам Алипатова, первым делом нужно определить, действительно ли вы столкнулись с DDoS атакой, потому что по косвенным признакам поведения ресурса в первые минуты это может быть похоже на обычный сбой сервера.
— Есть традиционные симптомы самой популярной вариации DDoS атак — 100% нагрузка на процессорные мощности сервера. Она говорит о том, что кто-то платит деньги, чтобы боты обращались к серверу и грузили процессор. И здесь важно понимать и помнить, что кошелек «доброжелателя» не бесконечен, а значит, если правильно организовать защиту сервера, то бюджет нападающего иссякнет и он, как говорится, «сольется».
Способов лечения именно таких атак два. Первый — традиционный — защитить сервер, пустив ботов по ложному следу и разгрузив процессорные мощности. Это самый простой метод. Второй способ требует определенных навыков: вычисляется сложная цепочка путей, по которым боты приходят на сервер и грузят его и после перенастраиваются каналы так, чтобы эти же боты начинали бомбить ресурсы злоумышленников. Второй путь очень трудоемкий, требует квалифицированных знаний, считает Максим Алипатов.
— Но какова же услада впоследствии видеть, как в конвульсиях начинает биться атаковавший тебя враг, — не без доли юмора сказал собеседник.
Максим Алипатов рассказал, что при атаке на RO.TODAY «нам очень повезло»:
— Мы попали под стандартный алгоритм DDoS-атак. Заметив проблему, мы практически сразу перешли к действиям: внесли необходимые правки в настройки сервера, установили фаервол, дождались применение изменений настройки сервера и спустя сутки уже гоняли ботов на фейковые адреса, обеспечив комфортной работой наш сайт. Да, есть нюансы, например при первом посещении сайта несколько секунд шла проверка пользователя на причастность к атакам. Если посетитель сайта не бот — ему открывалась полноценная страница сайта ro.today.
По словам Алипатова, DDoS-атака — как правило, процесс недолгий.
— Когда «доброжелатели» видят, что ресурс находится под постоянным контролем, они довольно быстро отступают. Зачем тратить немалые деньги на бомбежку, если от нее нет смысла. Другое дело, когда ресурсом со стороны администрирования занимаются посредственно. Такие ресурсы будут бомбить с регулярной периодичностью, организовывая краткосрочные перерывы, наблюдая, как администраторы пытаются отбиваться.
В качестве итога Максим Алипатов (alipatov.com) сделал три вывода: DDoS не так страшен, как его описывают. Все сводится к работе специалиста, который берет под защиту сайт; DDoS не вечен, потому как эта услуга требует затрат и специальный софт, поэтому если вы грамотно отбиваетесь, от вас отстанут; DDoS может повторяться. Это вопрос интереса к ресурсу и квалификации администраторов.
В общем, по мнению «защитника RO.TODAY», это будничная рутинная работа, требующая компетенции, навыков и желания развиваться, познавая новые инструменты воздействия на сайт всех желающих как-то ему навредить.
P.S. Глава киберкомандования США Пол Накасоне заявил, что американские военные специалисты проводят «наступательные и защитные» кибероперации в поддержку Украины. Администрация Байдена не видит противоречий между стремлением избежать прямого конфликта с Россией и этими операциями, заявила представитель Белого дома Карин Жан-Пьер.
