Инциденты информационной безопасности и их последствия для компаний

Веб-интерфейс Autopsy

Утилит в составе Sleuth Kit более чем предостаточно, и это вызывает некоторые
затруднения не только в их изучении, но и использовании даже у бывалых спецов.
Но не беда, так как в дополнение к TSK был создан инструмент визуализации —Autopsy Forensic Browser,
поддерживаемый тем же автором. Autopsy для своей работы требует наличия TSK и
желательно NSRL. После запуска в командной строке копируем выданный URL в
веб-браузер (http://localhost:9999).

Первым делом следует создать базу данных dd-образов, предварительно взятых с
различных дисков и систем. Для этого нужно нажать ссылку «New Case» и заполнить
название и описание (можно указать несколько вариантов, чтобы упростить поиск).
Далее нужно добавить сведения об узле, с которого снят образ. Жмем «Adding a New
Host» и заполняем данные — имя компьютера, описание, временной пояс, путь к
базам NSRL. И, наконец, через «Adding a New Image» подключаем образ — задаем
путь к файлу, тип (диск, раздел). После этого можно выбрать: копирование образа,
перемещение образа, создание симлинка. В следующем окне указываем файловую
систему и точку монтирования. По окончании можно начинать работу. Например,
извлечь строковые данные, отдельные блоки или удаленные файлы  можно в
«Image Details». Здесь же получаем всю необходимую информацию о данных,
содержащихся в тех или иных блоках (ASCII, Hex, String). При необходимости
добавляем комментарий к нужному участку. Аналогично можно вывести список файлов,
данные о состоянии inode и прочую информацию. Сторонними разработчиками создана
альтернатива Autopsy — PTK,
обладающая большим удобством в использовании и расширенными возможностями.

Этапы управления инцидентами и событиями ИБ

  • ISO/IEC 27001:2005 Information security management system. Requirements – стандарт, который содержит как рекомендации по построению, внедрению, использованию и поддержке системы менеджмента ИБ в целом, так и подходы к управлению инцидентами ИБ.
  • NIST SP 800-61 Computer security incident handling guide – полноценное руководство по обработке инцидентов ИБ, которое описывает различные подходы к реагированию на инциденты и их обработке.
  • CMU/SEI-2004-TR-015 Defining incident management processes for CISRT – документ для оценки эффективности работы подразделения CISRT (Critical Incident Stress Response Team), обеспечивающего предотвращение, обработку и реагирование на инциденты ИБ.
  • ISO/IEC TR 18044:2004 Information security incident management –документ устанавливает рекомендации к менеджменту инцидентов ИБ в отношении планирования, эксплуатации, анализа и улучшения процесса.
  • NIST SP 800-83 Guide to Malware Incident Prevention and Handling – руководство по предотвращению и обработке инцидентов, связанных с заражением рабочих станций и ноутбуков вредоносным программным обеспечением.
  • NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response – руководство по техникам проведения расследований в рамках реакции на выявленные инциденты.
  • Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» подробно описывает стадии планирования, эксплуатации, анализа и улучшения системы управления инцидентами безопасности.
  • Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-1.3-2016) определяет необходимость выполнения организациями банковской системы Российской Федерации деятельности по выявлению инцидентов ИБ и реагированию на инциденты ИБ.
  • Методические рекомендации ГосСОПКА разработаны для органов государственной власти, принявших решение о создании ведомственных центров ГосСОПКА, государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА. Рекомендации разработаны Центром защиты информации и специальной связи Федеральной службы безопасности Российской Федерации в соответствии с основными положениями следующих нормативных документов:

    • Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
    • «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом Российской Федерации 03.02.2012 № 803);
    • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом Российской Федерации 12.12.2014 № К 1274).
  1. Обнаружение компьютерных атак.
  2. Анализ данных о событиях безопасности.
  3. Регистрация инцидентов.
  4. Реагирование на инциденты и ликвидация их последствий.
  5. Установление причин инцидентов.
  6. Анализ результатов устранения последствий инцидентов.

ОБЩАЯ СТАТИСТИКА

Исходя из отчетов ведущих компаний, специализирующихся на ифнормационной безопасности на евразийском рынке общий анализ и статистика в целом выглядят так : 

Процентное соотношение инцидентов информационной безопасности: 

  1. Вредоносное ПО — 77%
  2. Спам — 74%
  3. Фишинговые атаки — 28%
  4. Корпоративный шпионаж — 26%
  5. Сетевые вторжения — 23%
  6. Отказ в обслуживании (Dos, DDos- атаки) — 18%
  7. Кража мобильных устройств — 17%
  8. Кража сетевого, компьютерного и др. оборудования — 11%
  9. Таргетированные (целевые) атаки — 10%
  10. Преступное вредительство — 5% 
  11. Иные инциденты — 2% 

Процентное соотношение убытков, понесенных предприятиями от инцидентов ИБ:

  1. Вредоносное ПО — 46%
  2. Корпоративный шпионаж — 19%
  3. Сетевые вторжения — 14%
  4. Фишинговые атаки — 14%
  5. Кража мобильных устройств — 13%
  6. Отказ в обслуживании (Dos, Ddos — атаки) — 11%
  7. Кража сетевого, компьютерного и др. оборудования — 9%
  8. Таргетированные (сетевые) атаки — 5%
  9. Преступное вредительство — 4%

Одним из основных последствий осуществлённой злоумышленниками успешной кибератаки (независимо от типа и способа) становится потеря организацией критической с точки зрения информационной безопасности информации. Атаки с использованием вредоносного ПО являются не только самыми распространенными, но и самыми опасными: они приводили к утечке подобной информации в 46% случаев и в 14% случаев компании теряли информацию из-за фишинговых атак.
 
Но внешние угрозы – далеко не единственная проблема ИБ, с которой приходится иметь дело современным компаниям. Не меньший вред способны нанести организации и внутренние факторы. При этом аналитическая систематизация инцидентов дает целый набор обстоятельств, характеризующих разнообразие угроз от персонала как в части мотивов и условий, так и в части используемых средств. Среди наиболее часто происходящих инцидентов ИБ, связанных с внутренними факторами следующие:

  • утечка служебной информации;
  • кража клиентов и бизнеса организации;
  • саботаж инфраструктуры;
  • внутреннее мошенничество;
  • фальсификация отчетности;
  • торговля на рынках на основе инсайдерской, служебной информации;
  • злоупотребление полномочиями.

Процентное соотношение внутренних угроз ИБ: 

  1. Уязвимости в ПО — 48%
  2. Случайная утечка информации по вине персонала — 36% 
  3. Намеренная утечка информации- .23%
  4. Утечка из-за ненадлежащего обмена информацией — 21% 
  5. Потеря мобильных устройств — 20%
  6. Мошенничество сотрудников не связанное с IT — 19%
  7. Утечка информации через привлекаемых поставщиков — 12%
  8. Иные инциденты, связанные с внутренними факторами — 13%

 
Главными рисками внутри компаний являются уязвимости в ПО (48%), незнание сотрудниками правил IT-безопасности, приводящее к случайным утечкам данных (36%), а также намеренное раскрытие конфиденциальной информации сотрудниками (23%). Разумеется, все эти типы угроз приводили к потере компаниями критической секретной информации. В среднем в результате внутренних инцидентов ИБ лишились конфиденциальных сведений около 24% организаций. 

Промышленность

Промышленность в мире потрясли несколько крупных успешных атак. Февральские атаки на энергетические объекты Венесуэлы повлекли за собой массовое отключение электроснабжения по всей стране, в том числе на стратегических объектах. Основной целью была автоматическая система контроля ГЭС, компрометация которой привела к авариной остановке станции и полному блэкауту, по разным оценкам, 20-23 штатов. Данный случай демонстрирует, как кибератаки могут стать оружием политического саботажа и послужить триггером неприятных для страны последствий. В Венесуэле серьезных последствий, благодаря продуманным действиям властей, удалось избежать. Однако стоить помнить, что необходимость защищать АСУ ТП критически важна не только для конкретного предприятия, но и для экономики и политической стабильности страны в целом.

Даже простой шифровальщик может нанести значительный ущерб стране. Так, атака шифровальщика на компанию City Power, обеспечивающую электричеством город Йоханнесбург в ЮАР, оставила жителей без света до восстановления информационных систем компании. Осенью атаке подвергся концерн Rheinmetall, и в результате заражения вредоносным ПО работу приостановили подразделения в трех странах.

Активно распространялся по промышленным предприятиям троян для удаленного доступа Adwind (RAT), обладающий широким функционалом — от кражи данных пользователя и записи аудио и видео, до майнинга криптовалют. Троян распространялся через фишинговые письма от лица компании Friary Shoes.

Также в 2019 году произошло несколько успешных атак дронов: из-за пожара в результате столкновения с дроном была приостановлена прокачка нефти одного из трубопроводов концерна Saudi Aramco.

Эти инциденты послужили мотивацией для активизации разработки решений для защиты территории от беспилотных летательных аппаратов. На рынке появилось несколько интересных решений, в том числе производства DJI, «Лаборатории Касперского», «Ростеха».

Наиболее часто используемые техники воздействия на системы, повлёкшие инцидент ИБ

Угроза Техника воздействия
Рекламное ПО Заражение конечной системы, передача на командный сервер информации о пользователе, показ таргетированной рекламы.
Перебор паролей Попытки подбора аутентификационной информации для доступа к сервисам и ресурсам контролируемых организаций — RDP, SSH, SMB, DB, Web.
Нарушение политик ИБ Нарушение пользователями/администраторами контролируемых ресурсов требований политик ИБ в части использования устаревших версий или недоверенного ПО. Данное ПО может быть использовано злоумышленником для атаки путём эксплуатации уязвимости. Также использование ресурсов компании для получения собственной выгоды (майнинг bitcoin/ethereum). Использование торрент-трекеров.
Вирусное ПО Заражение конечной системы, распространение вируса по локальной сети, отключение/блокировка служб, препятствующих распространению вируса, попытки проведения иных атак внутри сети для получения критичной информации и передачи на командные серверы.
DDoS с использованием ресурсов организации DDoS Amplification — техника подмены своего адреса на адрес жертвы и генерации запросов небольшого размера к открытым сервисам. На запрос сервис возвращает ответ в несколько десятков раз большего объема на адрес «отправителя». Используя большое количество ресурсов различных организаций, злоумышленник осуществляет DDoS-атаку на жертву.
Попытки эксплуатации уязвимостей Использование недостатков в системе для нарушения целостности и нарушения правильной работы системы. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадёжных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Deface WEB-ресурсов Хакерская атака, при которой страницы и важная информация заменяются на другие, как правило вызывающего вида (реклама, предупреждение, угроза, пропаганда) Зачастую, доступ ко всему остальному сайту блокируется, или же прежнее содержимое удаляется.

BaymaxxEris

ТЕНДЕНЦИИ ПОСЛЕДНИХ ЛЕТ И УГРОЗЫ

2017-Й год стал показательным для бизнеса в контексте информационной безопасности. Выражение «лучше один раз увидеть, нежели сто раз услышать» — как раз о нем

Столкнувшись с вирусами-шифровальщиками, компании прочувствовали на себе важность элементарных правил ИБ-гигиены. Отсутствие актуальных обновлений и привычка жить с уязвимостями привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, школы, энергетические, телекоммуникационные компании; только лишь одна компания Maersk потеряла 300 млн долларов

На фоне информационного цунами, вызванного вирусами-вымогателями, некоторые важные события остались за пределами массового внимания. 

Перечислим основные тренды в инцидентах ИБ за последние год-два в мире кибербезопасности: 

Практическая безопасность. С бумажной безопасностью начали бороться на самом высоком уровне. Например, федеральный закон РФ N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» не просто рекомендует, а обязывает компании различных отраслей (как государственные, так и коммерческие) защищаться и вводит механизмы контроля эффективности защитных мер. 

Уязвимости SS7 заметили. Злоумышленники начали перехватывать коды для двухфакторной аутентификации с помощью уязвимостей сигнального протокола SS7. Первыми пострадали абоненты O2- Telefonica. 

«Масштабируемые» атаки на банкоматы. Банкоматы грабят давно и разными способами, например, привязывают к тросу автомобиля и увозят. Но когда киберпреступники стали подключаться к локальной сети банка и удаленно контролировать множество ATM, у банков появился серьезный повод для беспокойства. 

Тайный майнинг. Весной 2017 года эксперты сферы ИБ обнаружили сотни компьютеров в крупных компаниях, которые майнили криптовалюту для неизвестных взломщиков

Майнер использовал ту же уязвимость, что и WannaCry, и защищал от шифровальщика захваченные ПК. 

Войти через IoT. Не успел стихнуть шум вокруг безопасности IoT из-за ботнетов и DDoS-атак, как с помощью незащищенных «умных» кофемашин стали останавливать нефтехимические заводы, а смарт-аквариумы использовать для атак на казино.

Биткоины и уязвимый веб. К концу 2017-го года биткоин опередил по капитализации российский рубль, и хакеры сконцентрировали свое внимание на блокчейн-стартапах. Самая простая схема атаки стала наиболее популярной — найти уязвимости на сайте ICO и подменить адрес кошелька для сбора инвестиций

Израильский CoinDash таким образом лишился $7,5 млн. 

Эпидемия целевых атак. Число компаний, столкнувшихся в 2017 году с APT-атаками, увеличилось почти вдвое. Одновременно с этим атаки прямо на глазах усложняются, начинают активно применяться методы, затрудняющие анализ и расследование инцидентов.

При создании материала использовались данные ресурсов: 

www.belta.by,

2. Комплекс мер по защите

В целях обеспечения защиты ИВС организации следует руководствоваться перечисленными ниже правилами.

2.1 Любое неблагоприятное событие в области информационной безопасности может вызвать нарушение конфиденциальности, доступности или целостности информации (например, неавторизованный доступ к информации, потеря функциональности информационной системы, подмена информации и т.п.). При каждом инциденте необходимо предпринимать меры: информировать ответственных лиц; устранять возможные негативные последствия, предотвращать возникновение таких событий в будущем.

2.2 Организация должна иметь возможность реагировать на эти инциденты таким образом, чтобы защитить не только свою собственную информацию, но также информацию своих клиентов.

2.3 Для каждого инцидента безопасности должен быть заполнен отчет (Приложение 1) об инциденте, включающий всю необходимую информацию как для текущего анализа, так и для последующего анализа предпринятых действий.

2.4 Отчет должен быть оформлен АИБ в течение 5 рабочих дней с момента получения информации об инциденте.

2.5 В форме отчета должно быть указано, от кого и каким образом была получена информация об инциденте, суть инцидента (кратко), состав рабочей группы, действия рабочей группы, вывод.

2.6 Отчет должен быть размещен в папке «Отчеты по инцидентам» на файл сервере организации, а также предоставлен для ознакомления начальникам УА, СБ.

2.7 Об инциденте информационной безопасности должны быть проинформированы лица, перечень которых определяет АИБ, исходя из специфики и масштаба инцидента.

2.8 После установления факта инцидента в течение трех рабочих дней в организации должна быть сформирована рабочая группа, задача которой минимизировать возможный ущерб. За формирование группы и координацию работы её членов отвечает АИБ.

2.9 В течение пяти рабочих дней с момента разрешения инцидента должен быть составлен финальный отчет о предпринятых действиях и принятых мерах, направленных на предотвращение возможности повторения инцидента в будущем.

Отчетная документация при использовании СКЗИ

  • журнал поэкземплярного учета используемых СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
  • лицевые счета пользователей СКЗИ и ведомости учета обслуживаемых обладателей конфиденциальной информации, а также лиц, непосредственно допущенных к работе с СКЗИ;
  • журнал учета машинных носителей персональных данных с указанием регистрационных (заводских) номеров;
  • реестр заявок на изготовление ключевых документов или исходной ключевой информации и т. д. .
  • заключения о возможности эксплуатации СКЗИ;
  • протоколы обучения лиц, использующих СКЗИ;
  • акты расследований и заключения по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации;
  • акты уничтожения ключевых документов, СКЗИ, эксплуатационной и технической документации и т. д. .

Компьютерные расследования

Немедленное восстановление системы из резервных архивов для продолжения
нормальной работы сервера — это самая распространенная ошибка. Даже если
начальник грозно нависает над головой, а телефон ломится от звонков возмущенных
клиентов, следует на некоторое время остановить сервер, сохранить его состояние
на другой носитель, чтобы затем можно было спокойно произвести расследование
всех обстоятельств.

Зачем это нужно? Во-первых, чтобы ситуация не повторилась, ведь обновление
ПО, антивирусных баз и т.д. отнюдь не гарантирует того, что хакер не использует
свой способ для повторного проникновения. Во-вторых, нельзя четко сказать, когда
произошел взлом, поэтому, казалось бы, «нормальная» архивная копия уже может
содержать «черный ход». И, наконец, собранная инфа поможет узнать, был ли это
взлом вообще: может, это системная или человеческая ошибка, а может, происки
инсайдера.

Процесс расследования (digital/computer forensics
) хорошо описан в книге
Уоррена Круза (Warren G. Kruse II) и Джея Хэйзера (Jay G. Heiser) «Computer
Forensics: Incident Response Essentials», которая является своего рода библией
для тех, кто занимается подобными исследованиями. К сожалению, в русском
переводе ее нет, в интернете можно найти отдельные главы и выдержки из
оригинала. Само исследование состоит из 5 этапов — подготовка (исследователя),
оценка ситуации, сбор данных, анализ и отчет. Стандартные инструменты, входящие
в состав ОС, в большинстве случаев могут быть использованы лишь как
вспомогательные. Злоумышленник в первую очередь сделает все возможное, чтобы
скрыть от них свои следы (например, время последнего обращения к файлу очень
просто изменить, в итоге это может помешать исследованию, а полученный результат
нельзя будет использовать как доказательство). Первое время поиск следов
проводился на «выключенном компьютере», т.е. создавался образ и, используя
инструментарий, о котором пойдет речь далее, исследователь пытался найти следы
взлома. Такой метод получил название «Dead analysis
«.

Сегодня ситуация несколько другая. Известно, что некоторые современные вирусы
не оставляют следов на жестком диске, яркий пример — червь «SQL slammer»,
который работает только в ОЗУ, и засечь его можно лишь по сетевой активности
(порт 1434, UDP пакет ~400 байт). Еще один момент: в настоящее время повсеместно
внедряются криптографические средства защиты (например в Windows — BitLocker,
EFS), и без ключей, хранящихся в ОЗУ, получить доступ к защищенной информации
нет никакой возможности. Поэтому сегодня чаще используется анализ на рабочей
системе — «Live analysis
«, когда собирается полная инфа о сетевой активности,
приложениях и процессах. Как ты понимаешь, единой процедуры, подходящей для всех
случаев, не существует, в каждой конкретной ситуации подход сугубо
индивидуальный.

  • утилиты, позволяющие сохранить посекторную копию разделов диска;
  • утилиты создания контрольных сумм и цифровых подписей файлов;
  • перехватчики сетевых пакетов, утилиты анализа сетевой активности и сетевых
    настроек системы;
  • средства анализа состояния системы (процессы, библиотеки и т.п.)

В зависимости от ситуации состав приложений может меняться и подбирается
индивидуально. Нужно отметить, что в настоящее время существует совсем немного
специализированных программ проведения расследований. Из коммерческих продуктов
популярны ProDiscover от Technology Pathways ,EnCase Forensic от Guidance Software
и The Forensic Toolkit .
Некоторые проекты предлагают демки ограниченных версий. Например, ProDiscover
Basic Edition Freeware, которая доступна для закачки на сайте Technology
Pathways, не имеет сетевых функций. Но, тем не менее, есть ряд продуктов,
распространяемых под Freeware-лицензией, возможностей которых вполне достаточно
для проведения полного анализа. Более того, существуют специализированные
дистрибутивы Linux, где все нужные утилиты уже собраны и настроены. Например,DEFT Linux ,FCCU GNU/Linux Forensic Boot CD ,Helix3 и
другие.

Кстати, коммерческий вариантHelix3
в своем роде уникальный дистрибутив, так как содержит утилиты для Linux, Windows
и Mac OS X.

Internet of Things

В начале года был отмечен пик атак шифровальщика Shade/Troldesh на российские предприятия. Для вхождения в инфраструктуру злоумышленники использовали фишинговые рассылки от имени известных брендов, распространяемые IoT-устройствами — использовались любые устройства IoT, поддерживающие протокол SMTP, например, модемы, маршрутизаторы, системы «умный» дом и др.

Крупная атака произошла на лэптопы, стационарные компьютеры Asus и утилиту Asus Live Update для обновлений BIOS и ПО. Атака заключалась во внедрении в легитимную утилиту бэкдора и распространении ее через официальные каналы. Зараженная утилита, по некоторым оценкам, распространилась почти на 1 млн устройств.

Помимо этого, в 2019 году было зафиксировано несколько волн атак на устройства D-link, ARG, Secutech, TOTOLINK. Злоумышленники использовали известные уязвимости прошивок и подмену настроек DNS для переадресации трафика на вредоносные сайты. Вывод: своевременное обновление прошивки обязательно при эксплуатации указанных выше устройств.

Атака вредоноса Silex вывела из строя тысячи устройств Интернета вещей. Вредоносное ПО удаляло сетевые настройки устройства и правила межсетевого экранирования, устанавливало с помощью iptables запрет на все подключения и перегружало устройство, заполняя память случайными данными. Восстановление было возможно только переустановкой прошивки

Атака могла произойти на устройства с установленными по умолчанию учетными данными, поэтому важно перед началом использования гаджетов сразу их изменять. Интересный факт – автором вредоносного ПО Silex являлся подросток.

Зафиксированные инциденты

434

Класс инцидента Низкая критичность Средняя критичность Высокая критичность Всего инцидентов Доля инцидентов
Вредоносное ПО 3 75 101 179 41%
Атаки и попытки эксплуатации уязвимостей 4 68 57 129 30%
Подбор паролей 2 27 35 64 15%
Нарушение политики ИБ 6 32 6 44 10%
DDoS 3 5 10 18 4%
  1. Чем больше узлов на мониторинге — тем больше инцидентов с ВПО.
  2. Как и во втором квартале 2017 года продолжаются заражения семейством вредоносов WannaCry и Petya/notPetya. Несмотря на всеобщее освещение этой проблемы, всё равно остаётся очень много уязвимых узлов.
  3. Большинство найденных вредоносных файлов представляют собой ПО для майнинга криптовалют. Хакеры стали немного «добрее» и пытаются заработать на ресурсах пользователей.
  4. Также часто находим рекламное потенциально-нежелательное ПО. В основном пользователи скачивают его вместе с взломанными или бесплатными программами и при установке ПО для быстрого поиска драйверов, например, DriverPack и аналоги.

История

2020

Jet CSIRT получил право исполнять функции оператора ГосСОПКА

25 февраля 2020 года компания «Инфосистемы Джет» сообщила о заключении соглашения о взаимодействии Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) для предоставления экспертных сервисов по организации взаимодействия с ГосСОПКА. Подробнее здесь.

2019

Angara Professional Assistance получила право исполнять функции оператора ГосСОПКА

Компания Angara Professional Assistance 11 октября 2019 года сообщила о подписании соглашения о взаимодействии с «Национальным координационным центром по компьютерным инцидентам» (НКЦКИ) в рамках выполнения функций оператора ГосСОПКА для субъектов критической информационной инфраструктуры (КИИ) РФ в соответствии с Федеральным законом № 187 от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации» и его подзаконными нормативными правовыми актами во всех отраслях КИИ. Подробнее .

Получение права инициировать блокировки сайтов

6 августа 2019 года стало известно о том, что Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ вошёл в число компетентных организаций Координационного центра доменов .ru/.рф (КЦ РФ). Это позволит структуре ФСБ блокировать сайты быстрее суда и Роскомнадзора. Подробнее здесь.

«Инфосекьюрити» получила право исполнять функции центра ГосСОПКА для субъектов КИИ РФ

Компания «Инфосекьюрити» (входит в ГК Softline) 4 июля 2019 года сообщила о подписании соглашения о сотрудничестве с «Национальным координационным центром по компьютерным инцидентам» (НКЦКИ), целью которого является организация взаимодействия в сфере обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА. Соглашение даёт Центру мониторинга и реагирования на инциденты ИБ «Инфосекьюрити» (ISOC) право исполнять функции центра ГосСОПКА для субъектов критической информационной инфраструктуры РФ. Подробнее .

2018: Создание национального центра по борьбе с киберугрозами

10 сентября 2018 года стало известно о создании Федеральной службой безопасности (ФСБ) центра по борьбе с киберугрозами. У новой структуры, получившей название Национальный координационный центр по компьютерным инцидентам (НКЦКИ), будут широкие полномочия. Приказ ФСБ о создании центра опубликован на портале раскрытия правовой информации.

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, — говорится в документе.

Задачей НКЦКИ станет координация субъектов критической информационной инфраструктуры при таких инцидентах. Структура будет координировать государственные органы и компании с собственными ИТ-системами из сфер энергетики, транспорта, связи, финансовых рынков, включая банки, из промышленности, в том числе оборонной.

ФСБ создала структуру по борьбе с кибератаками

В своей работе НКЦКИ сможет привлекать профильные организации и экспертов. За информационно-аналитическое, организационное и материальное обеспечение новой структуры будет отвечать центр защиты информации и спецсвязи ФСБ.

Отдельно отмечается, что НКЦКИ может отказаться передать информацию компетентным органам зарубежного государства или международной организации, если это угрожает безопасности России.

Центр возглавит директор, который будет совмещать эту должность с постом замруководителя научно-технической службы — начальника Центра защиты информации и специальной связи ФСБ.

Центр создан в рамках исполнения принятого в июле 2017 года закона «О безопасности критической информационной инфраструктуры», которым установлена уголовная ответственность за кибератаки на критическую инфраструктуру.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector