По информации издания «Коммерсантъ», 21 января 2021 года Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) выпустил специальные рекомендации для руководителей и владельцев объектов критической информационной инфраструктуры РФ. НКЦКИ советует повысить защищенность информационных ресурсов на фоне возможных «ответных» хакерских атак со стороны США.
Американские власти считают хакеров из России причастными к недавнему взлому SolarWinds. Тогда были скомпрометированы сети минфина, Национального управления по телекоммуникациям и информации, Госдепа, министерства внутренней безопасности, министерство финансов и министерство торговли США. Российские власти все обвинения отрицают.
В рекомендации НКЦКИ не уточняется, какие системы и организации находятся под угрозой. В список объектов критической информационной инфраструктуры (КИИ) РФ входят: система госорганов, предприятия оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта и кредитно-финансовой сферы (банки, другие кредитные организации и фонды, биржи).
НКЦКИ дал ряд советов для объектов КИИ, чтобы они смогли соблюдать Закон «О безопасности критической информационной инфраструктуры» (N 187-ФЗ) и не пострадать от ожидаемых кибератак:
- привести в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты;
- проинформировать сотрудников о возможных фишинговых атаках с использованием методов социальной инженерии;
- провести аудит сетевых средств защиты информации и антивирусных средств, убедитесь в их корректной настройке и функционировании на всех значимых узлах сети;
- избегать использования сторонних DNS-серверов;
- использовать многофакторную аутентификацию для удаленного доступа в сеть организации;
- определить перечень доверенного программного обеспечения для доступа в сеть организации и ограничьте использование не входящих в него средств;
- удостовериться в корректном журналировании сетевых и системных событий на важных элементах информационной инфраструктуры, организуйте их сбор и централизованное хранение;
- удостовериться в наличии и корректной периодичности создания резервных копий данных для важных элементов информационной инфраструктуры;
- удостовериться в корректности имеющихся политик разграничения прав доступа для устройств в сети;
- ограничить доступ к сервисам во внутренней сети средствами межсетевого экранирования, при необходимости предоставления общего доступа к ним организуйте его через демилитаризованную зону;
- для работы с внешними ресурсами, в том числе в сети Интернет, использовать терминальный доступ через внутренний сервис организации;
- обновить пароли всех пользователей в соответствии с парольной политикой;
- обеспечить анализ входящей и исходящей электронной почты средствами антивирусной защиты;
- осуществлять мониторинг безопасности систем с повышенной бдительностью;
- следить за наличием необходимых обновлений безопасности для Вашего программного обеспечения.
По данным NBC, представитель администрации США пояснил, что профильные ведомства страны могут нанести ответный удар в любое время по тем, кто совершил кибератаку на американские компании и государственные учреждения.
20 января этого года Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds. Оказалось, что злоумышленники следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения.
13 января 2021 года на Хабре была опубликована статья «Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…», в которой автор рассказал про успешное проникновение внутрь локальной сети РЖД и то, как он получил доступ к системе наружного наблюдения и внутренним сервисам компании. Через некоторое время автор статьи пояснил, что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости.
Эксперты по информационной безопасности пояснили, что этот взлом продемонстрировал две основные проблемы инфраструктуры ОАО «РЖД»: отсутствие систем обнаружения вторжения и внутрисетевых брандмауэров (firеwall), пресекающих доступ из одного сегмента сети в другой, а также большое число оборудования и сервисов с дефолтными паролями или вовсе без оных. Все это является признаками отсутствующей политики информационной безопасности или контроля за ее соблюдением.
