Внедрение стандартов NIST. Как защитить от хакеров обьекты критической инфраструктуры Украины
Зачем Госспецсвязи внедряет новые стандарты киберзащиты критической информационной инфраструктуры Украины.
В последние пять лет кибератаки стали причиной многих масштабных аварий в мире. 2016 год – отключение электроэнергии в Украине, 2021 год – атака на систему здравоохранения в Ирландии, 2021 год – взлом системы очистки воды в США, 2021 год – атака на систему поставки нефти в США – и многие другие примеры атак на критические для общества системы.
Украина – часть глобального пространства, и наши объекты критической инфраструктуры тоже мишень для киберпреступников. Специалисты по киберзащите Госспецсвязи постоянно фиксируют рост количества кибератак на государственный и коммерческий сектор – на 10-12% ежемесячно.
В Украине киберзлоумышленники направляют атаки, прежде всего, на органы государственной власти (в частности, часто атакуют официальные интернет-представительства президента Украины, сайты СБУ, ДБР и НАБУ, а также ДСПП и МВД), объекты критической информационной инфраструктуры, банковский сектор и электронные почтовые ящики госслужащих.
Это могут быть DDoS-атаки на веб-ресурсы, рассылка вредоносного программного обеспечения или ссылок на вредоносные сайты. Во время атак хакеры часто используют методы фишинга и шпионажа. После проникновения в сеть они могут собирать чувствительные данные.
Злоумышленники делают это как для наживы (ведь за собственные данные и возможность работать дальше компании готовы платить колоссальные суммы), так и для нанесения экономического ущерба государству.
Как регулятор, разрабатывающий и внедряющий в Украине стандарты защиты информации, мы осознаем необходимость постоянно совершенствовать требования к киберзащите, чтобы граждане имели возможность получать любые услуги от государства и бизнеса вовремя, удобно и безопасно. Чтобы пенсионеры получали пенсии, работали государственные услуги в Дии, в домах был свет, вода и отопление, чтобы ходил транспорт.
Ведь все эти сервисы – часть критической инфраструктуры, которая содержит информационные системы, которые должны быть защищены.
Защита информационных систем – это постоянная непрерывная работа
В этом году наша команда планирует представить новые стандарты защиты информации, основанные на стандартах NIST (Национальный институт стандартов и технологий США – ведущий орган в области стандартов защиты информации). Со стороны украинского бизнеса большой запрос на такие изменения.
Также в октябре этого года мы представили новые рекомендации по защите объектов критической информационной инфраструктуры (ОКИИ). Ведь защита критической информационной инфраструктуры – один из главных вызовов стран всего мира сегодня. В основу этого документа также была положена наработка NIST. В частности, гайдлайн по противостоянию рискам кибербезопасности Cybersecurity Framework.
Это лучшие стандарты, существующие в мире. Теперь украинский бизнес и государственный сектор, имеющие объекты критической информационной инфраструктуры, так же получат возможность использовать их для киберзащиты. В США соблюдение требований NIST Cybersecurity Framework обязательно при построении информационных систем для многих организаций, в частности, ОКИИ.
Рекомендации предусматривают имеющийся в Украине инструментарий, а также стандарты, разработанные NIST (Национальный институт стандартов и технологии США), ISACA (Ассоциация аудита и контроля информационных систем), IEC (Международная электротехническая комиссия).
Мы планируем постоянно обновлять этот документ, как это делает и NIST, ведь как мы постоянно напоминаем, киберзащита – это не состояние, а процесс.
Невозможно построить систему защиты и успокоиться. Защита нуждается в постоянных усовершенствованиях, улучшениях, изменениях, потому что технологии злоумышленников не стоят на месте.
Рекомендации предусматривают общий подход к обеспечению кибербезопасности, что позволяет:
- осуществить анализ и дать характеристику текущего состояния обеспечения кибербезопасности ОКИИ;
- описать целевое состояние кибербезопасности ОКИИ;
- идентифицировать и определить приоритеты, уровень внедрения мер киберзащиты в контексте непрерывного и повторяющегося процесса управления рисками в сфере кибербезопасности ОКИИ;
- оценить прогресс в достижении целевого состояния кибербезопасности ОКИИ;
- оценить наличие и эффективность коммуникации как между субъектами, непосредственно расположенными на ОКИ, так и с субъектами, являющимися партнерами организации по управлению рисками в сфере кибербезопасности.
Рекомендации – пока – не будут обязательны для внедрения на объектах критической информационной инфраструктуры. Впоследствии они должны стать неотъемлемой частью построения систем безопасности, по крайней мере, для объектов критической информационной инфраструктуры высшей степени критичности.
Однако я рекомендую руководителям всех предприятий, которые могут быть отнесены к критической инфраструктуре, отнестись серьезно к новым стандартам защиты критической информационной инфраструктуры и возможностям, которые предоставляют эти стандарты.
Независимо от того, станут ли Рекомендации обязательными для вашего бизнеса, я считаю, что начинать работать над внедрением нового подхода стоит всем и уже сейчас. Вы ведь – так же, как и государство, как и обычные граждане – заинтересованы в том, чтобы защитить свои информационные системы от вмешательства извне. И теперь у вас для этого есть самый лучший мировой стандарт.