Мнения

Внедрение стандартов NIST. Как защитить от хакеров обьекты критической инфраструктуры Украины

Зачем Госспецсвязи внедряет новые стандарты киберзащиты критической информационной инфраструктуры Украины.

05 ноября 2021 в 12:05

5288

В последние пять лет кибератаки стали причиной многих масштабных аварий в мире. 2016 год – отключение электроэнергии в Украине, 2021 год – атака на систему здравоохранения в Ирландии, 2021 год – взлом системы очистки воды в США, 2021 год – атака на систему поставки нефти в США – и многие другие примеры атак на критические для общества системы.

Украина – часть глобального пространства, и наши объекты критической инфраструктуры тоже мишень для киберпреступников. Специалисты по киберзащите Госспецсвязи постоянно фиксируют рост количества кибератак на государственный и коммерческий сектор – на 10-12% ежемесячно.

В Украине киберзлоумышленники направляют атаки, прежде всего, на органы государственной власти (в частности, часто атакуют официальные интернет-представительства президента Украины, сайты СБУ, ДБР и НАБУ, а также ДСПП и МВД), объекты критической информационной инфраструктуры, банковский сектор и электронные почтовые ящики госслужащих.

Это могут быть DDoS-атаки на веб-ресурсы, рассылка вредоносного программного обеспечения или ссылок на вредоносные сайты. Во время атак хакеры часто используют методы фишинга и шпионажа. После проникновения в сеть они могут собирать чувствительные данные.

Злоумышленники делают это как для наживы (ведь за собственные данные и возможность работать дальше компании готовы платить колоссальные суммы), так и для нанесения экономического ущерба государству.

Важно

Когда "ловят" твои данные на крючок: что такое фишинг и как украинцам уберечься от него

Как регулятор, разрабатывающий и внедряющий в Украине стандарты защиты информации, мы осознаем необходимость постоянно совершенствовать требования к киберзащите, чтобы граждане имели возможность получать любые услуги от государства и бизнеса вовремя, удобно и безопасно. Чтобы пенсионеры получали пенсии, работали государственные услуги в Дии, в домах был свет, вода и отопление, чтобы ходил транспорт.

Ведь все эти сервисы – часть критической инфраструктуры, которая содержит информационные системы, которые должны быть защищены.

Защита информационных систем – это постоянная непрерывная работа

В этом году наша команда планирует представить новые стандарты защиты информации, основанные на стандартах NIST (Национальный институт стандартов и технологий США – ведущий орган в области стандартов защиты информации). Со стороны украинского бизнеса большой запрос на такие изменения.

Также в октябре этого года мы представили новые рекомендации по защите объектов критической информационной инфраструктуры (ОКИИ). Ведь защита критической информационной инфраструктуры – один из главных вызовов стран всего мира сегодня. В основу этого документа также была положена наработка NIST. В частности, гайдлайн по противостоянию рискам кибербезопасности Cybersecurity Framework.

Это лучшие стандарты, существующие в мире. Теперь украинский бизнес и государственный сектор, имеющие объекты критической информационной инфраструктуры, так же получат возможность использовать их для киберзащиты. В США соблюдение требований NIST Cybersecurity Framework обязательно при построении информационных систем для многих организаций, в частности, ОКИИ.

управление кибербезопасностью, защита от кибератак — Цикл управления кибербезопасностью

кибербезопасность, защита от DDOS-атак, защита от хакеров — Система мер кибербезопасности

Рекомендации предусматривают имеющийся в Украине инструментарий, а также стандарты, разработанные NIST (Национальный институт стандартов и технологии США), ISACA (Ассоциация аудита и контроля информационных систем), IEC (Международная электротехническая комиссия).

Мы планируем постоянно обновлять этот документ, как это делает и NIST, ведь как мы постоянно напоминаем, киберзащита – это не состояние, а процесс.

Невозможно построить систему защиты и успокоиться. Защита нуждается в постоянных усовершенствованиях, улучшениях, изменениях, потому что технологии злоумышленников не стоят на месте.

Рекомендации предусматривают общий подход к обеспечению кибербезопасности, что позволяет:

осуществить анализ и дать характеристику текущего состояния обеспечения кибербезопасности ОКИИ;
описать целевое состояние кибербезопасности ОКИИ;
идентифицировать и определить приоритеты, уровень внедрения мер киберзащиты в контексте непрерывного и повторяющегося процесса управления рисками в сфере кибербезопасности ОКИИ;
оценить прогресс в достижении целевого состояния кибербезопасности ОКИИ;
оценить наличие и эффективность коммуникации как между субъектами, непосредственно расположенными на ОКИ, так и с субъектами, являющимися партнерами организации по управлению рисками в сфере кибербезопасности.

Важно

Сегодня в России, завтра — в Украине. Чего ждать украинцам в мире киберпреступности без границ

Рекомендации – пока – не будут обязательны для внедрения на объектах критической информационной инфраструктуры. Впоследствии они должны стать неотъемлемой частью построения систем безопасности, по крайней мере, для объектов критической информационной инфраструктуры высшей степени критичности.

Однако я рекомендую руководителям всех предприятий, которые могут быть отнесены к критической инфраструктуре, отнестись серьезно к новым стандартам защиты критической информационной инфраструктуры и возможностям, которые предоставляют эти стандарты.

Независимо от того, станут ли Рекомендации обязательными для вашего бизнеса, я считаю, что начинать работать над внедрением нового подхода стоит всем и уже сейчас. Вы ведь – так же, как и государство, как и обычные граждане – заинтересованы в том, чтобы защитить свои информационные системы от вмешательства извне. И теперь у вас для этого есть самый лучший мировой стандарт.