Атаки на официальные интернет-сайты органов государственной власти
История компьютерных атак на официальные сайты органов государственной власти (далее – сайты) в России насчитывает несколько десятилетий. Так, уже в 2001 году ежедневно отмечалось до 30–40 компьютерных атак на сайт ФСБ [1]. Развитие ИТ-технологий в стране и цифровизация государственных услуг привели к необходимости защиты не только избранных сайтов (ФСБ России, Президента России, Центризбиркома и т. д.), но и большого количества сайтов органов власти различного ранга. Актуальность задачи повысилась после серьезного осложнения международной обстановки в 2014 году, а также обвинений России в актах незаконного кибервмешательства в дела суверенных государств.
Несмотря на имеющееся в российском законодательстве определение сайта как совокупности программ для электронных вычислительных машин и иных сведений, содержащихся в информационной системе, доступ к которой обеспечивается информационно-телекоммуникационной сетью Интернетпо доменным именам и/или сетевым адресам, позволяющим идентифицировать сайты [2], вопрос об отнесении сайтов к информационным системам продолжает оставаться дискуссионным. Некоторые органы власти относят свои сайты к отдельным информационным системам, некоторые рассматривают их как подсистемы других информационных систем. Значительная часть органов власти вообще не относит сайты к информационным системам.
При этом обеспечение информационной безопасности сайтов реализуется по нескольким направлениям:
1. Обеспечение безопасности сайтов.
2. Выявление признаков подготовки и проведения компьютерных атак на сайты, противодействие им и выявление источников компьютерных атак.
3. Пресечение деятельности преступников.
Рассмотрим эти направления более подробно.
Обеспечение безопасности сайтов
Каких-либо специальных требований по обеспечению безопасности сайтов в законодательстве страны не предусмотрено. Однако меры по защите информации на сайте применяются в зависимости от классификации сайтов как государственной информационной системы [3] или как информационной системы персональных данных [4]. Федеральные органы власти дополнительно руководствуются требованиями к информационным системам общего пользования [5] либо оставляют на усмотрение организации – владельца сайта.
После создания отдельного защищенного сегмента сети Интернет (сеть RSNet) часть сайтов была размещена в нем. За обеспечение информационной безопасности в данном сегменте отвечает ФСО России [6]. Отличительный признак такой защиты – использование домена gov.ru в имени сайта.
Сложившуюся ситуацию с обеспечением защиты сайтов от компьютерных атак наглядно иллюстрирует информация о главных регуляторах в области защиты информации в стране, приведенная в таблице 1.
Таблица 1. Главные регуляторы в области защиты информации в стране
Одним из решений по обеспечению безопасности сайтов может быть законодательное отнесение их к объектам критической информационной инфраструктуры (далее – ОКИИ). В этом случае возможно отнесение сайтов к значимым ОКИИ по показателям [7], приведенным в таблице 2.
Таблица 2. «Перечень показателей критериев значимости объектов КИИ и их значений»
Необходимо учитывать влияние информационных материалов, размещенных на сайтах, на политические и дипломатические взаимоотношения государств, так как они будут расцениваться в качестве официальной позиции России по каким-либо принципиальным вопросам в международных делах. Последствия от размещения злоумышленником специально подобранных информационных материалов может привести не только к дипломатическим нотам, но и к массовым беспорядкам в других странах с нападениями на посольства и дипломатические миссии России, с ростом угрозы жизни для российских граждан в этих странах. Также возможен срыв заключения международных контрактов в различных сферах деятельности.
Меры по выявлению признаков подготовки и проведения компьютерных атак на сайты, противодействие им и выявление источников компьютерных атак
С целью централизованного противодействия компьютерным атакам на органы государственной власти были начаты работы по созданию ведомственных систем обнаружения и предупреждения компьютерных атак (СОПКА), основанных на централизованном использовании IDS/IPS.
Основы действующей ведомственной СОПКА всероссийского масштаба были заложены при выполнении двух пилотных ОКР на начальном этапе создания СОПКА в 2002–2006 годах. Система распространена на все федеральные округа, совершенствовалась и модернизировалась в ходе реализации 24 научно-технических, проектно-изыскательских и опытно-конструкторских работ по этой тематике в период с 2006 года по настоящее время [8].
В действующей СОПКА выделен головной центр мониторинга и созданы подчиненные региональные центры.
Однако результаты использования аналогичной системы в США на фоне роста протестных движений по всему миру, которые привели к резкому всплеску политически мотивированных атак на органы государственной власти США показали, что возможности хакеров и последствия их атак сильно недооцениваются, а методы противодействия существенно переоценены. Таким образом, действующая СОПКА практически непригодна для обнаружения самых распространенных и эффективных способов проведения атак: атак на интернет-порталы и атак на сотрудников организаций с применением методов социальной инженерии [9]. В итоге в Российской Федерации приступили к реализации концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак – ГосСОПКА [10]. В целом можно отметить, что на текущий момент ГосСОПКА позволяет обеспечить адекватный уровень по выявлению источников компьютерных атак на территории России. Судебная статистика показывает значительное количество уголовных дел по данному составу преступления, доведенных до суда.
Пресечение деятельности преступников
В Российской Федерации отсутствует единая политика по мерам уголовно-правой ответственности за компьютерные атаки на сайты. В одних случаях преступники наказываются по фактам атак на официальные сайты государственных органов жестче, чем на сайты коммерческих организаций [11], а в других – вообще освобождаются от ответственности за совершенные аналогичные преступления [12].
Особенно удивителен подобный факт освобождения от уголовной ответственности за компьютерную атаку на официальный сайт Роскомнадзора, после того как суд квалифицировал данное преступление как атаку на элемент критической информационной инфраструктуры [13].
Кроме того, имеются судебные прецеденты, когда судом принималось решение о том, что информационный ресурс, размещенный на официальном сайте учреждения, вообще не подлежит уголовно-правовой защите в силу своей открытости и общедоступности [14].
В то же время уже звучат предложения по квалификации преступлений с использованием компьютерных атак на сайты как акты терроризма [15].
Отдельно стоит проблема «правого нигилизма» граждан по вопросам компьютерных преступлений. В обществе отсутствует понимание самой возможности реальной ответственности за виртуальные (компьютерные) преступления, особенно не связанные с хищением денег. Судебная практика показывает большое количество атак на сайты, осуществленных из любопытства, в состоянии алкогольного опьянения, а также несовершеннолетними.
Так, по данным исследования «Threat Zone 17/18: новые вызовы цифрового мира», проведенного Сбербанком совместно с дочерней компанией BI.ZONE, 30–40% киберпреступлений совершаются подростками в возрасте 14–16 лет.
Сложившиеся ситуация остро ставит вопрос о повышении уровня правовой грамотности населения в области компьютерных преступлений, акцентирует внимание на профилактических мероприятиях и повышении уровня осведомленности граждан о последствиях за виртуальные преступления.
Рекомендации
1. Актуализация законодательства в области информационных технологий, защиты информации и безопасности КИИ с целью гармонизации, конкретизации определений и терминов.
2. Централизация усилий по защите сайтов. Назначение единственного органа власти, ответственного за обеспечение безопасности официальных сайтов государственных органов.
3. Разработка специализированных рекомендаций и методик по защите сайтов, с учетом специфики используемых технологий обработки информации.
4. Выработка единой позиции по вопросам уголовного преследования за компьютерные атаки на сайты. Выпуск рекомендаций Генеральной прокуратуры по надзору за расследованием таких преступлений и постановления Пленума Верховного суда. Необходимо развивать данное направление, так как подобные документы по аналогичным компьютерным преступлениям дали положительный результат.
5. Введение в общеобразовательные школьные программы по направлениям «Информатика» материалов по аморальности компьютерных преступлений. Для программ специального и высшего образования в области информатизации ввести раздел по правоведению и уголовному праву в области компьютерных преступлений.
6. Разработка и внедрение общенациональных программ повышения осведомленности информационной безопасности, нацеленных на подростковую и юношескую аудиторию.
7. Введение программ наставничества для подростков по программам этичного хакинга, пентестов и выявления уязвимостей.
Целесообразно акцентироваться на обеспечении неотвратимости наказания за преступные деяния в отношении сайтов. Необходимо перехватывать инициативу у преступников и не позволять им совершенствоваться в реализации своих замыслов.
Литература
1. Интервью с экспертом Управления компьютерной и информационной безопасности ФСБ России Владимиром Непомнящим. Страна.Ru, 26.04.2001 www.fsb.ru/fsb/smi/interview/single.htm!id%3D10342758%40fsbSmi.html
2. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006.
3. Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013.
4. Приказ ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013.
5. Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» от 31.08.2010.
6. Указ Президента РФ № 260 «О некоторых вопросах информационной безопасности Российской Федерации» (вместе с «Порядком подключения информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети «Интернет» и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети «Интернет») от 22.05.2015.
7. Постановление Правительства Российской Федерации № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 08.02.2018.
8. Багликов В. Б. Доклад «Общие подходы и практика создания центров ГосСОПКА. Системные и технические решения» ООО «КБПМ – информационная безопасность». XVII Всероссийский ежегодный форум «Информационная безопасность. Регулирование. Технологии. Практика. ИнфоБЕРЕГ», 2018.
9. Кузнецов Д. ГосСОПКА: что такое, зачем нужна и как устроена. www.anti-malware.ru/analytics/Technology_Analysis/gossopka-what-is-it-how-it-works
10. Указ Президента РФ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» от 15.01.2013
11. Приговор № 1-1186/2018 от 29 ноября 2018 г. по делу № 1-1186/2018.
12. Сообщение пресс-службы октябрьского районного суда г. Белгорода. www.oktiabrsky.blg.sudrf.ru/modules.php?name=press_dep&op=1&did=835
13. Апелляционный приговор Верховного суда Чувашской Республики от 3 июня 2015 г. по делу № 22-1054/2015.
14. Постановление по делу № 1-345/2019 от 31.05.2019.
15. Голованова Н. А., Гравина А. А., Зайцев О. А. и др. Уголовно-юрисдикционная деятельность в условиях цифровизации. Монография. М.: ИЗиСП, КОНТРАКТ, 2019.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 05.09.2019