Информационные инциденты, требующие взаимодействия с государством

В современных условиях правительства разных стран мира уделяют все больше внимания проблемам обеспечения информационной безопасности, в том числе и в национальном масштабе. В официальных заявлениях и публикациях российских правительственных организаций данный тренд находит особое отражение, что особенно четко заметно на фоне масштабных программ по развитию и внедрению информационных технологий в различные отрасли экономики Российской Федерации. Однако по-прежнему остается проблема оценки степени рисков, которые связаны с атаками компьютерных злоумышленников на компании, задействованные в отраслях, которые необходимы для нормального функционирования государства, экономики и общества.

Исследования российских и зарубежных специалистов в области компьютерной безопасности показывают, что отечественные объекты критической инфраструктуры активно подвергаются атакам со стороны компьютерных злоумышленников. При этом большинство компаний, системы которых подверглись атакам, не смогли определить успешность этих атак. Это свидетельствует о том, что уровень защиты информационных ресурсов значительно ниже, чем в других странах.

Важно Общий индекс защищенности в России составляет -7%, а в среднем по миру он равен +25%. Данная ситуация возможна потому, что многие руководители российских компаний склонны экономить на вопросах информационной безопасности и не осознают того факта, что их организации являются объектом постоянных хакерских атак со стороны организованных киберпреступников.

Рост уровня защищенности российских предприятий напрямую зависит от скорейшего внедрения современных инструментов обеспечения информационной безопасности. При этом в первую очередь необходимо заботиться не только о технических решениях защиты и мониторинга, но и об организационных мерах.

Вопросы практики Например, аудит защищенности АСУ ТП (автоматических систем управления технологическими процессами) помогает увидеть слабые места в системе защиты технологических объектов и получить рекомендации, но их точечному устранению. А разработка и внедрение на предприятии системы управления инцидентами информационной безопасности позволит подготовиться к реагированию на возможные внештатные ситуации и при этом не зависеть от наличия технических средств.

Учитывая все возрастающие требования со стороны регуляторов в части мониторинга информационных инцидентов, а также в целях стандартизации и оптимизации деятельности предприятий по реагированию на инциденты и управлению ими были определены основные группы информационных инцидентов, требующих взаимодействия с правоохранительными органами, а также с государственными структурами. На самом верхнем уровне все инциденты могут быть разделены на внутренние и внешние.

Внутренний инцидент — инцидент, источником которого является нарушитель, связанный с пострадавшей стороной непосредственным образом (трудовым договором или иным способом). Среди системных событий такого типа можно выделить следующие наиболее распространенные:

• • утечка конфиденциальной информации;
• • неправомерный доступ к информации;
• • удаление информации;
• • компрометация информации;
• • саботаж;
• • мошенничество с помощью информационных технологий;
• • аномальная сетевая активность;
• • аномальное поведение бизнес-приложений;
• • использование активов компании в личных целях или в мошеннических операциях.

Внешний инцидент — инцидент, источником которого является нарушитель, не связанный с пострадавшей стороной непосредственным образом. Среди системных событий такого типа можно выделить следующие наиболее распространенные:

• • мошенничество в системах дистанционного банковского обслуживания;
• • ОоБ-атаки, в том числе распределенные (ООоБ);
• • перехват и подмена трафика;
• • неправомерное использование корпоративного бренда в сети Интернет;
• • фишинг;
• • размещение конфиденциальной/провокационной информации в сети Интернет;
• • взлом, попытка взлома, сканирование портала компании;
• • сканирование сети, попытка взлома сетевых узлов;
• • вирусные атаки;

• • неправомерный доступ к конфиденциальной информации;
• • анонимные письма (письма с угрозами).

Зачастую действия компьютерных злоумышленников вступают в противоречие с действующим уголовным законодательством и посягают на охраняемые уголовным правом общественные отношения.

Помимо самостоятельного регулирования преступлений в сфере компьютерной информации в ряде случаев правоохранительными и судебными органами перечисленные выше статьи используются в совокупности с другими статьями УК РФ.

Пример Мошенничество в сети Интернет квалифицируется по статье «Мошенничество в сфере компьютерной информации». Данный состав преступления имеет ряд квалифицирующих признаков: хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей.

В 2012 г. с целью совершенствования системы безопасности информационных сетей государственных учреждений ФСБ России создан Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации «GOV-CERT.RU», основной задачей которого является предотвращение, выявление и ликвидация последствий кибератак. Основной его задачей является осуществление координации действий для предотвращения, выявления и ликвидации последствий инцидентов, в которые были вовлечены не только объекты в сегменте RSNET (Russian State Network), но и другие организации, являющиеся частью информационной инфраструктуры Российской Федерации.

В настоящее время ведутся активные работы по включению в систему мониторинга и управления инцидентами также организаций банковского и промышленного секторов в интересах:

• • оказания им консультативной и методической помощи при проведении мероприятий по устранению последствий компьютерных инцидентов;
• • анализа причин и условий возникновения таких инцидентов;
• • разработки перечня рекомендаций по способам нейтрализации актуальных угроз безопасности информации;
• • реализации взаимодействия с российскими, иностранными и международными организациями, осуществляющими реагирование на компьютерные инциденты.

При выявлении компьютерных инцидентов, создающих угрозу функционированию предприятий и организаций (вне зависимости от формы собственности), подразделения информационной безопасности должны проводить как техническую, так и правовую их оценку. Благодаря этому можно будет не только ставить правильный «диагноз» происшествия, но и обращаться в уполномоченные правоохранительные органы с заявлениями о выявлении признаков уголовно наказуемых деяний, что позволит привлечь виновных к ответственности и не допустить совершения ими иных преступлений в сфере компьютерной информации. Такая позиция субъектов предпринимательской деятельности позволит повысить раскрываемость киберпреступлений и обеспечить реализацию на практике принципа неотвратимости наказания.