Рабочая группа по направлению «Информационная безопасность» национальной программы «Цифровая экономика» на заседании в пятницу, 29 ноября, рассмотрела концепцию создания системы раннего предупреждения о компьютерных атаках на телекоммуникационную инфраструктуру России. Это следует из материалов группы, копия которых есть у РБК, их подлинность подтвердил руководитель группы и президент компании InfoWatch Наталья Касперская.
Автор концепции — «Ростелеком». Как пояснила представитель компании Наталья Лезина, речь идет о создании на инфраструктуре операторов так называемых ханипотов (от англ. honeypot — «горшочек с медом») — специального софта, который имитирует работу уязвимого устройства или сервера. Обнаружив приманку, злоумышленники, вероятнее всего, попытаются проникнуть в сеть компании именно через нее. Программа записывает все действия хакеров на сервере, затем их анализируют специалисты по кибербезопасности. Также «Ростелеком» предложил наладить информационный обмен о новых методах кибератак между операторами связи.
Идея «Ростелекома» не предполагает государственного финансирования проекта, операторы установят системы сбора данных о кибератаках самостоятельно. Точную стоимость системы в компании не раскрывают, отмечая, что она зависит от метода реализации. По мнению руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, в масштабе бизнеса эти расходы будут не очень значительны, большая часть средств уйдет на подбор специалистов и на улучшение системы защиты на основании полученных данных.
По словам представителя «Ростелекома», рабочая группа «в целом одобрила идею». «Концепция верхнеуровнево обсуждалась с регуляторами и была представлена телеком-сообществу. Отзывы в целом положительные», — сказал он.
Крупнейшие операторы в целом также поддержали идею «Ростелекома». «На данный момент это только концепция, существует ряд открытых вопросов, но мы надеемся разрешить их совместно в рамках отрасли при более глубокой проработке», — заявил директор по предотвращению мошенничества и потерь доходов «МегаФона» Сергей Хренов. Представитель «ВымпелКома» добавил, что компания готовит свои комментарии и обязательно включится в проработку инициативы. Представитель МТС Алексей Меркутов сообщил, что компания готова рассматривать такого рода объединения, но «исключительно на паритетных началах с учетом интересов всех сторон».
Специалисты в сфере информационной безопасности называют телеком-операторов одними из наиболее заинтересованных пользователей ханипотов. Эксперт в области безопасности телекоммуникационных систем Positive Technologies Дмитрий Касымов говорит, что опорные сети операторов в принципе нельзя назвать защищенными. «При проведении аудитов безопасности мы выявляем множество уязвимостей, которые позволяют злоумышленникам оставить абонентов без связи, прослушать их разговоры и перехватить SMS, пользоваться услугами связи за их счет и даже обойти системы тарификации оператора. Эти недостатки безопасности уже эксплуатируются хакерами, в том числе для кражи денег с банковских счетов абонентов», — объяснил он.
При этом опасность для телеком-операторов могут представлять и сами ханипоты, отмечала ранее «Лаборатория Касперского». Степень угрозы зависит от сложности установленной технологии. Например, приманка верхнего уровня — это реальная зараженная система, для которой специалисты используют дополнительные меры защиты. Но при правильной настройке ханипота риск можно нивелировать. «Лаборатория Касперского» оказывает услуги по установке ханипотов двум европейским операторам. «Мы разворачиваем софт (ханипоты и управляющие сервера), поддерживаем инфраструктуру и отдаем заказчикам статистику и вредоносные программы, которые попадают на ханипоты. Заказчики же предоставляют нам IP-пространство и вычислительные мощности, чтобы это все запустить», — рассказал Юрий Наместников.
Ранее «Лаборатория Касперского» опубликовала результаты исследования международной хакерской активности, проведенного с помощью 50 ханипотов по всему миру. Согласно документу, ловушки фиксировали около 20 тыс. атак каждые 15 минут, при этом чаще всего сервера атакуют из Китая (30%), Бразилии (19%), Египта (12%), России (11%) и США (8%).
Владислав Скобелев