Международное реагирование на киберинциденты

На конференции RSA 2021 группа экспертов обсудила необходимость укрепления сотрудничества в борьбе с киберпреступностью.

Мы живем в цифровую эпоху, когда преступники быстро приспосабливаются к изменениям. NotPetya нанес ущерб многим крупным компаниям по всему миру, Sony Pictures подверглась хакерской атаке в отместку за фильм, который кому-то показался оскорбительным, а совсем недавно Colonial Pipeline была атакована с использованием программ-вымогателей. С такими преступлениями трудно справиться компаниям, правоохранительным органам и регуляторам любой страны. В Интернете границы ничего не значат. Атаки могут исходить из одного государства, а поражать цели в нескольких, поэтому определить пределы юрисдикции порой затруднительно.

Как же решить эту проблему? Короткий ответ: общаться, много общаться и сотрудничать друг с другом. Как бы банально это ни звучало.

На конференции RSA 2021 состоялась дискуссия по этой теме под названием Ticking ‘Cyber Bomb’: Is There a Global Response to Fix Value-Chain Risks?. В ней приняли участие Крейг Джонс (Craig Jones), директор Интерпола по борьбе с киберпреступностью, Йон А. Фанзун (Jon A. Fanzun), спецпредставитель Федерального департамента иностранных дел (FDFA) Швейцарии по иностранным киберпреступлениям и политике безопасности и Серж Дроз (Serge Droz), председатель FIRST (Форума подразделений безопасности и реагирования на инциденты). Модератором выступила Анастасия Казакова, старший менеджер «Лаборатории Касперского» по связям с общественностью. Группа обсудила конкретные проблемы и обрисовала возможные элементы схемы глобального реагирования, которая сделала бы мир безопаснее.

Не вызывает сомнений, что укрепление международного сотрудничества и интенсификация обмена информацией об угрозах и рисках, связанных с кибербезопасностью, выгодны всем. Однако проблема в том, что в современном мире юрисдикции привязаны к границам государств. С этой проблемой сталкиваются правоохранительные органы всех стран, чего, к сожалению, нельзя сказать о преступниках.

«Киберпреступники любят принцип «разделяй и властвуй»: пока мы разобщены, у них дела идут отлично. Вот почему главная проблема, которая гораздо серьезнее любых технических и которую необходимо решить, — это наше общее эффективное сотрудничество», — сказал Серж.

И хотя эта цитата может показаться удручающей, международное сотрудничество все-таки расширяется. Частные организации, группы CERT, правоохранительные органы и правительства начинают работать вместе, чтобы помочь жертвам атак. Один из таких примеров — проект No More Ransom, который помогает жертвам программ-вымогателей расшифровать файлы без уплаты выкупа.

Недавно в даркнете на международном уровне было закрыто множество платформ, распространявших контент с сексуальным насилием над детьми. Это удалось сделать только благодаря сотрудничеству между Европолом, Федеральным ведомством уголовной полиции Германии, полицией Нидерландов и Швеции, Австралийским центром по борьбе с эксплуатацией детей, Федеральной полицией Австралии, Полицейской службой Квинсленда, ФБР и Иммиграционной и таможенной полицией (США), а также Королевской канадской конной полицией.

Такие примеры внушают оптимизм, но нам нужно делать больше. В частности, необходимо, чтобы организации пришли к единому мнению относительно формата сотрудничества и взглядов на киберпреступность. Кроме того, мы должны укрепить доверие между группами заинтересованных сторон и странами, чтобы стимулировать более широкий обмен информацией.

«Лаборатория Касперского» считает, что сотрудничество должно быть трехэтапным процессом, позволяющим предотвращать атаки на критически важную инфраструктуру и вовремя реагировать на них.

  1. В каждой стране должны существовать национальные контактные центры (National Points of Contact), которые в случае инцидента будут в первую очередь содействовать координации со всеми затронутыми сторонами в своей стране, а также организовывать учения по кибербезопасности и разрабатывать международные процедуры, инструменты и шаблоны взаимодействия (например, для оценки инцидентов, запросов о помощи или процедур ответственного обмена информацией об уязвимостях).
  2. В случае инцидента подобные центры могли бы связать атакованную организацию с разработчиком используемого в ней уязвимого программного обеспечения, а также с компанией по кибербезопасности и группами CERT как атакованной страны, так и страны разработчика ПО.
  3. Затем контактные центры могли бы оперативно обмениваться информацией об угрозе, а также координировать анализ ее вредоносного кода, чтобы как можно быстрее устранить инцидент.

Будем надеяться, что благодаря развитию сотрудничества поводов для оптимизма скоро станет больше.

Советы