Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Как "дочкам" иностранных компаний обмениваться инцидентами с штаб-квартирами?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Думаю, многие уже видели заметку на РБК о том, что по мнению ФСБ данные о кибератаках на объекты КИИ утекают зарубеж, что может угрожать национальной безопасности России. Данное мнение было отражено в отзыве на законопроект о внесении изменений в КоАП в части добавления новых составов административных правонарушений в части критической информационной инфраструктуры. В нем предлагается ввести 7 новых составов правонарушений, которые вводят административную ответственность (до полумиллиона рублей) за:
  • нарушение порядка категорирования объектов КИИ
  • нарушение требований к созданию системы безопасности значимых объектов КИИ
  • нарушение требований по обеспечению безопасности значимых объектов КИИ
  • нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак в отношении значимых объектов КИИ (обратите внимание, наказать могут только в контексте значимых объектов, хотя информировать надо об инцидентах и на незначимых объектах)
  • нарушение порядка обмена информацией об инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
  • непредоставление или нарушение сроков предоставлении в ФСТЭК данных о категорировании объектов КИИ
  • непредоставление или нарушение сроков предоставления в ГосСОПКУ информации, предусмотренной законодательством (из шести типов информации четыре предоставляет ФСТЭК; этак и ее могут наказать, как недавно оштрафовали РКН).
Дело в том, что в 368-м приказе ФСБ "об утверждении порядка обмена...", в 11-м пункте, как раз запрещается обмениваться информацией об инцидентах с зарубежными организациями. Я не раз слышал от представителей НКЦКИ как они трактуют этот пункт - полный запрет. Об этом пишет и Валерий Комаров в своем блоге, приводя среди прочего и видеозапись, где Алексей Новиков из НКЦКИ прямо говорит о полном запрете передаче данных об инцидентах зарубеж.


Учитывая, что в НКЦКИ никто так ни разу и не обратился по поводу разрешения на передачу данных зарубеж, регулятор вполне очевидно негодует и грозит карами (до двухсот тысяч рублей за нарушение). И вот тут возникает несколько моментов, на которые я хотел бы обратить внимание:
  1. Из пунктов 11-12 не вытекает, что получать разрешение НКЦКИ надо на каждый инцидент и вроде бы можно получить его один раз. Но п.15 говорит о том, что НКЦКИ принимает решение по каждому инциденту отдельно.
  2. Про оперативность реагирования можно забыть. НКЦКИ берет 24 часа на принятие решения об отправке данных об инциденте зарубеж и еще 12 часов на то, чтобы переправить вам ответ из-за рубежа. Итого 36 часов. Оперативно, ничего не скажешь :-(
  3. Дальше больше. Взаимодействие с иностранными организациями ведется на... иностранном языке. При это взаимодействие с НКЦКИ ведется на русском языке. И возникает вопрос, кто будет осуществлять перевод информации об инциденте? Например, у нас в Cisco (хотя мы и не являемся субъектами КИИ) информирование об инцидентах ведется только на английском языке и во всех системах тикеты заводятся на английском (интересно, в азиатских компаниях на каком языке?).
  4. Банк России, активно стоящий на страже интересов вкладчиков, подписал соглашение с рядом Нацбанков СНГ о взаимном обмене информацией об инцидентах, например, с Арменией. Так вот получается, что ФинЦЕРТ является тоже нарушителем требований ФСБ, так как он передает данные своим коллегам в Армении (а также в ряде иных государств) напрямую, минуя НКЦКИ.
  5. У международных платежных систем (например, у Visa) существует требование об уведомлении об инцидентах в отношении компрометации данных платежных карт. Насколько я помню, схожее требование есть у SWIFT.
  6. Дальше больше. Информация об инциденте от субъекта КИИ его зарубежному "визави" передается не субъектом, а НКЦКИ в формате, установленным НКЦКИ. Пока эти форматы публично нигде не описаны и соответственно на повестке дня возникает простой вопрос. А как зарубежная организация сможет принять данные на русском языке да еще в формате, который нигде не описан и, вероятно, не совпадает с тем, что используется на предприятии за пределами России? Вы пробовали, будучи дочкой иностранной организации, получить документы ФСБ официальным путем? Ооооо, это я вам доложу та еще эпопея.
  7. Наконец, представьте себе, что вам от АНБ приходит информация об инциденте у вас внутри? Представили? Отложим в сторону эмоции. Вы вообще готовы к принятию такой информации извне (даже если отбросить в сторону репутацию нашей спецслужбы в мире)? К принятию IOCов да, но к карточкам с описанием инцидентов? Тут тоже есть сомнения, что процессы многих организаций вообще учитывают возможность приема данных об инцидентах извне, по внешним каналам. Да и чисто технически не совсем понятно, как это будет происходит.
Какой же ответ можно дать представительствам иностранных компаний, которым не повезло стать субъектами КИИ? Чего я не буду советовать:
  • Скрывать факт передачи инцидентов зарубеж.
  • Пытаться уйти от попадания под КИИ.
  • Путем "правильного" категорирования прийти к ситуации с отсутствием значимых объектов (на взаимодействие с ГосСОПКОЙ это все равно не влияет - уведомлять надо об инцидентах на любых объектах).
Что же тогда делать? Я бы посоветовал несколько вариантов:
  • Через Ассоциацию Европейского бизнеса, американскую торговую палату, российско-германскую внешнеторговую палату, франко-российскую торговую палату делать запросы в НКЦКИ и обсуждать с ним возможные пути решения проблем.
  • Создавать в России службу ИБ, которая могла бы взять на себя функции реагирования на инциденты, а в головную структуру, если и передавать что-то, то в одностороннем порядке (тогда это не будет считаться обменом и, формально, не попадет под ограничения в приказе ФСБ).
ЗЫ. У Валерия в заметке приводится интересный кейс с наказанием организации, которая опубликовала на сайте определенный материал, который не должен был распространяться за пределы РФ. Ну дальше можно фантазировать в меру своей испорченности :-(
Оцените материал:
Total votes: 33
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.