Участники Международного союза электросвязи (МСЭ) обсудят язык обмена информацией о киберугрозах в сетях связи STIX в качестве нового международного стандарта. Рекомендации по его использованию будут рассмотрены на заседании Сектора стандартизации союза (начинается 29 августа в городе Коян, Южная Корея), сообщил РБК его представитель.
STIX — стандарт, который позволяет организациям по всему миру обмениваться друг с другом информацией о компьютерной атаке, ее типе и источнике в машиночитаемой универсальной форме. Его поддержкой занимается некоммерческий консорциум по стандартизации OASIS, среди членов которого IT-компании IBM, Microsoft, Google, Cisco, Adobe и др., а также структуры Минобороны и других ведомств США.
МСЭ учрежден при Организации Объединенных Наций (ООН) и координирует глобальные сети и услуги связи, в союз входят 193 государства, а также около 900 компаний, университетов, международных и региональных организаций. Эксперты союза представили для обсуждения проект рекомендаций по использованию STIX версии 2.1 в начале этого года на встрече членов специализированной исследовательской группы, но согласия не достигли (обычно необходимо, чтобы «за» проголосовало большинство членов союза, но для отдельных вопросов число голосов может меняться).
Позиция России пока не сформулирована, сообщили несколько источников РБК на рынке. По словам одного из них, часть представителей российских властей негативно отнеслись к STIX из-за того, что стандарт был разработан при поддержке США. Другой собеседник отметил, что применение STIX может нарушать российское законодательство, если речь идет о владельцах критической информационной инфраструктуры, к которой относятся сети связи и информационные системы госорганов, предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, телекоммуникационных, финансовых, транспортных и др. компаний. Он напомнил, что владельцы подобной инфраструктуры не могут обмениваться информацией о компьютерных инцидентах с организациями из других стран, а только с российским Национальным координационным центром по компьютерным инцидентам (НКЦКИ). Владельцы критической информационной инфраструктуры должны сообщить НКЦКИ, что именно, кому и с какой целью они намерены отправить. За нарушение предусмотрен штраф для должностных лиц в размере 20–50 тыс. руб., а для юрлиц — 100–500 тыс.
Представитель Минцифры сообщил, что сейчас уполномоченные органы разных стран участвуют в проработке новой версии рекомендаций по использованию STIX. «Мы, в свою очередь, запросили мнение ряда российских ведомств и участников рынка. Это необходимо для того, чтобы сформировать позицию Администрации связи России», — отметил он. В то же время представитель Минцифры подчеркнул, что рекомендации не имеют юридической силы и носят исключительно рекомендательный характер.
Директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE Теймур Хеирхабаров сообщил, что большинство платформ Threat Intelligence (содержат данные о киберугрозах) поддерживают стандарт STIX. Это позволяет стандартизировать описание и облегчить импорт данных из разных источников на платформу и работу с ними. Но практика автоматического обмена данными больше распространена за рубежом, поэтому такой формат представления данных больше актуален для западных стран, отметил Хеирхабаров. «С одной стороны, инициатива облегчит интеграцию и позволит значительно упростить обмен данными. С другой — она может усложнить работу тем, кто поддерживает иной формат структуры данных», — указал он. В то же время представитель BI.ZONE считает, что обмен данными о киберугрозах в общем машиночитаемом виде нужен в любом случае: «Несмотря на то что большинство угроз часто имеют специфику и актуальны для конкретного региона или отрасли, существует немало таких, которые являются частью международного ландшафта. Заблаговременный обмен информацией о них может помочь предотвратить атаку или вовремя обнаружить инцидент».
Эксперт по информационной безопасности компании «Инфосистемы Джет» Евгений Вызулин также убежден, что машиночитаемый вид нужен организациям из разных стран для обмена данными о киберугрозах, поскольку это ускоряет процесс реагирования. Однако вред от разглашения конфиденциальных данных не должен превышать пользы от такого информационного сотрудничества, как это может быть в случае с критической информационной инфраструктурой, подчеркнул он. «Владельцы критической информационной инфраструктуры не могут передавать информацию о выявленных угрозах кому-либо, кроме НКЦКИ. Вполне вероятно, что формат, который используется в данный момент, будет совершенствоваться, и референсом для него будет как раз STIX 2.1», — рассуждает эксперт. По его мнению, стандартизация процесса даст больше положительных эффектов, чем отрицательных.
По словам представителя «РТК-Солар», до сих пор при взаимодействии российских организаций с НКЦКИ STIX использовали редко: обычно обращались к другим, более удобным для ручного заполнения форматам. «STIX хорош для построения сложной аналитики по хакерским группировкам, — пояснил эксперт. — Большинству же компаний это не нужно: главное — увидеть и отбить атаку, а кто и с какой целью ломал, уже не так интересно». Но компаниям — экспертам в области информационной безопасности, у которых есть SOC (подразделение, которое проверяет работу систем информационной безопасности и реагирует на инциденты), STIX может быть интересен для обмена данными с другими участниками рынка. В его применении будут заинтересованы и многие российские компании, которые продают информацию об угрозах за рубеж, а также покупают такие сведения.
По словам директора Центра киберустойчивости Angara SOC компании Angara Security Тимура Зиннятуллина, она, как и многие игроки рынка, использует STIX, но параллельно существует значительное количество других форматов. Он отметил, что общепринятых, утвержденных на уровне индустрии форматов обмена индикаторами компрометации сейчас нет и с задачей их создания сообществу только предстоит справиться.
Еще один собеседник РБК на рынке информационной безопасности говорит, что STIX и подобные стандарты не несут никаких рисков, но облегчают жизнь. Российское законодательство не запрещает использование STIX 2.1, но владельцам критической информационной инфраструктуры нельзя передавать данные за пределы России без согласования с НКЦКИ, хотя таких согласований почти никогда не было, и их получение занимает много времени, тогда как данные об инцидентах необходимо передавать максимально оперативно. «Но если такое разрешение получено, STIX 2.1 позволил бы передать данные в стандартной форме», — отметил он. У России есть огромное количество стран-партнеров, входящих в Организацию Договора о коллективной безопасности (ОДКБ), Содружество Независимых Государств (СНГ), Шанхайскую организацию сотрудничества (ШОС), Союз Бразилии, России, Индии, КНР и ЮАР (БРИКС), с которыми идет информационный обмен и подписано много соглашений с возможностью обмена данными об инцидентах. «Если этот обмен есть, он должен быть на стандартизованном языке. Поэтому, если мы откажемся от STIX 2.1, возникает вопрос, как мы будем общаться между собой. И ответа на него пока нет», — заключил источник.
Екатерина Ясакова, Анна Балашова