Digital.Report взял интервью у соучредителей Центра информационной безопасности (ЦИБ), частной кыргызстанской компании, оказывающей консультационные услуги по информационной безопасности. Влад Ткачев и Антон Кирсанов также стоят за инициативой создания и развития Центра реагирования на компьютерные инциденты (CERT) в Кыргызстане.

Digital.Report: Когда начал работать «Центр информационной безопасности»?

ЦИБ: «Центр информационной безопасности» (ЦИБ) был создан в ответ на тот спрос, который сложился в Кыргызстане, ведь по мере развития сектора ИКТ в стране, угроз для информационной безопасности становится все больше. Мы осознали, что ниша не занята и нужна компания, которая будет предоставлять профессиональные услуги по расследованию инцидентов информационной безопасности, по предотвращению угроз и обеспечению нормативов безопасности.

Старт был дан с Кыргызстанского IT-форума «КИТ» в 2015 году. Мы были одними из соорганизаторов этого форума и приглашали лекторов на тему информационной безопасности — представителей Лаборатории Касперского, Антона Большакова из Security-Assessment.com (Сингапур) и других. Мы получили хорошую обратную связь от участников и в октябре 2015 года юридически оформились как ЦИБ. Вообще, мы в этой сфере работаем уже шесть лет.

Вы работаете как с частными, так и с государственными компаниями. Кто больше обеспокоен информационной безопасностью?

Частные компании. Они не связаны административным регламентом, и понимают, чем рискуют из-за инцидентов информационной безопасности — потерей денег, репутации, клиентской базы.

У госкомпаний ситуация иная — там руководители и специалисты исходят не из интереса наилучших подходов к ИБ, а из того, что прописано для них на законодательном уровне.

Они понимают, что законодательно меры информационной безопасности в стране фактически никак не закреплены. Есть какие-то нормы по хранению государственных тайн, по работе с персональными данными, биометрикой. Но, как говорится, строгость кыргызских законов компенсируется необязательностью их исполнения. Например, ни в административном, ни в уголовном кодексе не прописана ответственность субъектов, например, за утерю данных.

Жесткие меры предусмотрены только в отношении гостайн. Госорганы, как правило, не думают о такой проблеме, как информационная безопасность потому, что для них это не является обязательным

Из какой сферы приходит большая часть ваших частных клиентов?

Как правило, это те компании, которые наиболее информатизированы. Риски ИБ создает, в том числе, экономическая конкуренция. Скажем, в Рунете был такой период, когда DDoS атаки были одними из основных орудий недобросовестной конкуренции.

Стоимость такой «услуги» варьировалась от 50 долларов в сутки на специализированных форумах. Нас ждет то же самое — просто мы немного запаздываем с информатизацией, но мы, конечно, будем переживать те же периоды развития рынка, как и все другие страны.

Атака и защита всегда идут параллельно. Никто не тратит деньги на ИБ там, где не было инцидентов. Компании, которые к нам обращаются, чаще всего уже имели опыт каких-то потерь из-за ситуации с информационной безопасностью.

Коммерческий сектор пока с этим сталкивается чаще, чем государство, но у государства больше политических рисков. Любая утечка информации, имеющей государственную важность, может стать рычагом политического давления. Кроме того, мировые тренды показывают, что информационная безопасность становится частью гибридной войны — информационные атаки, блокирование критической инфраструктуры путем воздействия на определенные узлы связи.

Расскажите о вашей инициативе по созданию CERT в Кыргызстане.

Да, мы пытаемся развить Центр реагирования на компьютерные инциденты, или CERT. Это некоммерческая организация, сотрудники которой квалифицированы предоставлять помощь в случае возникновения проблемы с ИБ. Они могут связать пострадавших с правоохранительными органами, перенаправить запрос в CERT другой страны, скажем, с просьбой остановить какую-то DDoS атаку.

Это институт, понимающий, как работают процессы и как правильно реагировать на инциденты. Он служит первой точкой входа жалоб и обращений как внутри страны, так и в случае угрозы ИБ извне. CERT позволяет связать пострадавшую сторону с источником угрозы или со стороной, способной нейтрализовать инцидент.

Мы знаем всех наших провайдеров и можем напрямую напрявлять запросы к ним для сбора информации по тому или иному инциденту, чтобы собранные «горячие» данные можно было впоследствие расследовать в установленном порядке. Это поможет работе правоохранительных органов, и провайдер будет готов предоставить им комплексные данные по инциденту.

Своего рода медиатор?

Да. CERT, как некоммерческая структура, должна объединить всех компетентных специалистов в данной области для оказания помощи следствию. Ведь не секрет, что у органов есть сложности с подготовкой людей в сфере информационной безопасности. Считаем, что это нормально, когда власть обращается к специалистам, чтобы они поделились опытом и компетенцией для расследования инцидентов ИБ.

Как вы проводите грань между коммерческими заказами и работой в CERT?

Основная задача любого CERT — обеспечение оперативной и квалифицированной реакции на произошедший инцидент. Также, он собирает и анализирует сведения об инцидентах, информирует население и привлекает экспертов по ИБ для совместного реагирования на инциденты.

При таких задачах, грань между коммерческими заказами и деятельностью в формате CERT проведена достаточно чётко. ЦИБ оказывает клиентские услуги по консалтингу, анализу степени защищённости, аудиту, проведению расследований, устранению угроз. Эти услуги выполняются собственным штатом сотрудников. CERT — это сообщество независимых экспертов, которые дают оценку инцидентам и обеспечивают оперативное взаимодействие между органами власти, операторами связи и пользователями.

Вы, как CERT, имеете ли какую-то международную аккредитацию?

В мировой практике, CERT официальной аккредитации не подлежат. По сути, любое устойчивое объединение со схожими функциями может считаться Computer Emergency Response Team — «Командой реагирования на компьютерные инциденты». Однако, для трансграничного сотрудничества по реагированию на инциденты имеются механизмы международного сотрудничества, и для использования наименования «CERT» необходимо разрешение Университета Карнеги-Меллон, в котором была создана первая такая команда и на сегодня работает Координационный центр CERT-CC (Coordination Center).

Процесс получения такого разрешения мы инициировали в октябре 2015 года, начав переговоры с университетом.

Признаны ли вы — как CERT — внутри страны? Например, имеете ли формальный меморандум о сотрудничестве с правоохранительными органами?

Мы ведем работу по инкорпорированию CERT-KG в кибержизнь Кыргызстана. Уже имеются предварительные договорённости об оказании взаимной технической и экспертной помощи с соответствующими подразделениями Госкомитета национальной безопасности (ГКНБ) и МВД.

Какие инциденты уже расследовал CERT?

Был случай, когда в местной платежной системе украли деньги и вывели их в Рунет. Мы полностью остановили эту кражу, успели вовремя отреагировать благодаря тому, что мы знаем механизм безопасности платежных систем.

Также мы занимаемся — и до сих пор не можем поставить точку в этом — расследованием истории, которая затрагивает пользователей мобильных устройств, атакованных зловредами-вымогателями. Вероятно, после посещения сомнительных ресурсов, работу телефонов или планшетов замораживает сообщение, что «электронное устройство заблокировано Министерством внуренних дел Кыргызской Республики за просмотр и хранение запрещенных законом видеоматериалов порнографического содержания».

Технически это javascript-страничка, которая зацикливает мошенническое сообщение и перекрывает окно браузера — пользователь не понимает, что это просто вкладка и верит, что заблокировано устройство целиком. За «разблокировку» злоумышленники в том же сообщении требуют перевести деньги на счет электронного кошелька. Удивительно, но пользователи верят — на сегодня мы зафиксировали больше ста платежей, успешно проведенных на реквизиты мошенников.

Они вынуждены часто менять электронные кошельки — сначала это был WebMoney, но мы каждый раз отписывались в службу поддержки сервиса, и те блокировали аккаунты. Так происходило раз пятнадцать. Потом они переключились на кыргызские платежные системы — «Мобильник», «Элсом»… Сейчас они переключились на Яндекс. Деньги. Мы не даем им ни дня, направляя от имени CERT-KG жалобы с просьбой блокировать кошельки.

Проблема в том, что мы не можем остановить их деятельность. У нас нет таких полномочий и возможностей. Мы разговаривали с ГКНБ, но этот кейс не является угрозой национальной безопасности, поэтому они считают его не входящим в их компетенцию. Для МВД же обязательно нужен заявитель — то есть, чтобы пострадавший обратился к ним с заявлением. Пользователь не хочет этого делать, поскольку придется объяснять содержание сообщение-блокировщика о порносайтах. Наверняка, мошенники на это и рассчитывают. Эта схема очень популярна в странах СНГ.

Мы смогли приостановить эту форму мошенничества на территории Кыргызстана, сделав ее нерентабельной для нашей страны.

Как вы оцениваете ситуацию с информационной безопасностью в Кыргызстане по сравнению с остальными странами СНГ?

Ситуация стабильна, но только потому, что угроз для государственного сектора пока быть не может. Например, утечка информации о штрафах невозможна потому, что она до сих пор хранится в бумажном виде. У нас нет систем «умного города» или цифровых систем в госуправлении. О недостатках информационной безопасности мы узнаем только после утечки данных, постфактум. Зачастую, если это касается коммерческого сектора — мы не узнаем об этом вообще. Инциденты с информационной безопасностью случались уже у всех наших банков, но эту информацию компания никогда не сделает публичной.

Тем не менее, в Кыргызстане ежегодно удваивается число инцидентов. Мы видим, что уровень знаний в элементарной компьютерной безопасности очень низкий. В основном, риски риски будущих инцидентов будут сопряжены не столько с уязвимостью технологий, сколько с низкими компетенциями пользователей. Кроме того, в стране не хватает человеческих ресурсов в сфере ИБ. Международные стандарты информационной безопасности у нас не применяются — никто просто не считает нужным следовать им.

Позитивным шагом было внедрение Нацбанком стандарта безопасности для банков второго уровня, но его требуется пересматривать каждый год. Насколько мне известно, стандарт Нацбанка уже устарел. Что касается любого другого госоргана — тот же МВД или Государственная регистрационная служба, работающая с очень чувствительными биометрическими данными — там стандартов вообще не существует. Когда дело дойдет до ответственности в случае утечки данных, ни на кого даже штраф не наложат потому, что нигде не прописаны ни нормативы, ни ответственность за их нарушение. Законы несовершенны, и шагов по исправлению ситуации пока не видно.

Источник: https://digital.report/tsentr-informatsionnoy-bezopasnosti-kyirgyizstan-…