Участники российского рынка кибербезопасности предложили Минцифры создать единую платформу для сбора информации об инцидентах и обмена экспертизой по отражению кибератак. Однако проблемой могут стать договоры о неразглашении, которые поставщики заключают с клиентами.
Участники рынка хотят обмениваться данными о скомпрометированных банковских картах, учётных записях, вредоносных программах, чтобы оперативно бороться со злоумышленниками.
Источник в компании кибербеза отмечает, что систему должно запустить государство, а её наполнением займутся профильные компании.
В Минцифры пояснили, что пока идею обсуждают с другими ведомствами и окончательное решение не принято.
В России уже работает подобная платформа. Это система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которую контролирует ФСБ, и Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), входящий в ЦБ. Однако ГосСОПКА «не открыта для бизнес-сообщества».
Директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин говорит, что для реагирования на новые инциденты в первую очередь необходимы индикаторы компрометации, описания техник и тактик атак и детектирующих правил.
Глава отдела продуктов компании «Код безопасности» Павел Коростелев соглашается, что создание платформы может повысить оперативность реагирования на актуальные угрозы. По его словам, компании смогут делиться необходимыми данными, например, какой софт используют злоумышленники или с каких IP-адресов они приходят. Однако Коростелев видит проблему в том, что участники платформы будут скрывать данные об инцидентах.
Региональный директор Group-IB в России и СНГ Валерий Баулин говорит, что технической информацией о кибератаках и преступных группах располагают не только профильные вендоры, но и подразделения информационной безопасности, мониторинга и реагирования банков, телеком-операторов, промышленных предприятий и так далее. Однако она «является коммерческой ценностью самих же вендоров и стоит для конечного потребителя достаточно дорого».
По мнению Баулина, главная сложность кроется в регулировании информационного обмена, так как ему препятствуют соглашения о неразглашении и законодательные ограничения.
В настоящее время российские компании кибербеза запускают собственные платформы bug bounty. Так, BI.ZONE запустила публичную программу, в рамках которой будет выплачивать независимым исследователям до 300 тысяч рублей в зависимости от критичности и вероятности использования обнаруженной уязвимости. Ранее аналогичная программа The Standoff 365 появилась у компании Positive Technologies.
Между тем Минцифры в ближайшее время создаст реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры.
