Восемь российских центров реагирования на киберинциденты оказались исключены из Международного сообщества FIRST (Forum of Incident Response and Security Teams — Форум команд по обеспечению безопасности и реагирования на инциденты). В их числе — Центр мониторинга и реагирования на компьютерные атаки Банка России (ФинЦЕРТ), российский центр реагирования на компьютерные инциденты (RU-CERT), центры при «Лаборатории Касперского», BI.ZONE («дочка» Сбербанка), «Инфосистемы Джет», «Ростелеком-Солар», «Лаборатории информационной безопасности», «Инфосекьюрити» (входит в Softline).
Кроме того, FIRST приостановило сотрудничество с двумя белорусскими центрами.
Свое решение сообщество объяснило новыми американскими правилами экспортного контроля. При этом мера не затронула те российские компании, которые перенесли свой головной офис за рубеж, в том числе Group-IB.
FIRST появилось в 1990 году для борьбы с компьютерными угрозами. Целью сообщества было преодоление языковых барьеров, разницы в стандартах и т.п.
В состав FIRST входили 612 команд, в том числе Apple, IBM, BMW и др.
«Ростелеком-Солар» вступила в сообщество в июне 2021 года и отмечала, что это позволит компании получить доступ к международной базе актуальных инцидентов.
Как отмечает источник на рынке информационной безопасности, команды реагирования на инциденты работают в разных странах с разными организациями, и их опыт сильно различается, и FIRST позволяло консолидировать силы. По его словам, российские центры продолжат обмениваться данными друг с другом.
Другой источник назвал ситуацию «неприятной, но не критичной»: «FIRST хоть и полезный, но далеко не единственный источник данных о киберугрозах. Текущее положение должно привести к беспрецедентному сплочению ключевых отечественных игроков рынка информационной безопасности, в том числе обмену имеющейся у них информацией об угрозах».
Эксперт по кибербезопасности Алексей Лукацкий подтвердил, что российские центры продолжают работать, и их знания и опыт никуда не денутся. Но он назвал решение FIRST «тревожным звонком». Лукацкий допускает, что другие международные организации в сфере кибербезопасности могут последовать этому примеру. Так, международная ассоциация специалистов в области управления IT ISACA уже прекратила прием экзаменов российских специалистов. При этом американская компания SANS уже 1,5 года не позволяет российским специалистам в области кибербезопасности проходить обучение. По мнению Лукацкого, все это может осложнить прямой доступ к знаниям.
Представитель пресс-службы Банка России пообещал, что исключение из FIRST не повлияет на задачи и цели ФинЦЕРТ, поскольку он «обладает достаточным количеством источников информации о компьютерных атаках, а также взаимодействует со всеми CERT, расположенными на территории России и иных дружественных стран».
Представитель «Лаборатории Касперского» говорит о разочарованности из-за решения FIRST, так как «оно бьет по всему интернациональному сообществу экспертов и по всей индустрии информационной безопасности и ставит под сомнение основополагающий принцип доверия». «Мы категорически не согласны с решением FIRST и надеемся на конструктивное обсуждение этого вопроса», — говорит он.
Накануне глобальная ассоциация операторов связи и производителей оборудования GSMA исключила из своего состава российский «Мегафон». Оператор состоял в ассоциации с 1995 года. Аналитики связывают исключение «Мегафона» из ассоциации с санкциями в отношении бизнесмена Алишера Усманова, который основал USM Holdings. Структуры USM владеют 100% акций оператора.
