Как разные мировые и отечественные регуляторы отреагировали на WannaCry и Petya/Nyetya
|
20 июля 2017 |
|
Обновлял тут презентацию по построению национального центра мониторинга
кибербезопасности и решил проанализировать, как регуляторы разных стран
отреагировали на последние эпидемии WannaCry и Petya/Nyetya.
Традиционно американцы считаются законодателями мод в области
кибербезопасности (хотя их, по их же словам, русские и китайские хакеры
ломают в хвост и гриву). Как же отреагировали множественные американские
государственные и отраслевые регуляторы, имеющие отношение к
информационной безопасности? Получается такая картина:
- US-CERT - 12 мая появился
полноценный бюллетень с описанием WannaCry, индикаторами компрометации,
правилами YARA и т.п. Потом бюллетень многократно обновлялся. Про Petya
американский государственный CERT отписался 1-го июля.
- ICS-CERT - 15 мая был опубликован бюллетень, посвященный обзору WannaCry применительно к промышленным системам. Про Petya ICS-CERT опубликовал бюллетень 30 июня, на день раньше US-CERT.
- NCCIC про WannyCry выпустил обзор 2 июня.
- ФБР - 13 мая опубликован бюллетень с индикаторами компрометации для WannaCry, а 3 июля для Petya.
- SEC (Комиссия по ценным бумагам) выпустила бюллютень про WannaCry 17 мая.
- FTC отметилась 15 мая заметкой про WannaCry в своем блоге; про Petya - молчок.
- АНБ публично выпустило бюллютень про WannaCry в первый рабочий день после начала эпидемии, 15 мая. Про Petya их бюллетеней не нашел.
- DHS опубликовал пресс-релиз про WannaCry в день начала эпидемии, 12 мая, а про Petya - 28 июня.
- FCC (Федеральная коммуникационная комиссия, аналог нашего Минкомсвязи) никак не отреагировала на WannaCry и Petya.
- FINRA никак не отреагировала на атаки шифровальщиков.
- ABA (Ассоциация американских банков) распространила среди своих членов бюллетень о Petya 5 июля, а о WannaCry - 15 мая.
- Различные ISAC (Innformation Sharing and Analysis Center) также
распространили соответствующие уведомления о WannaCry и Petya/Nyetya (я
получил анонсы от FS-ISAC, MS-ISAC, IT-ISAC).
В Старом Свете ситуация с уведомлениями была схожей - кто-то оперативно и
публично уведомил пользователей, а кто-то промолчал и молчит до сих пор
(возможно, делая рассылки по закрытым спискам или публикуя уведомления
на закрытых порталах):
- Английский NCSC 13 мая отделался общими фразами о существовании WannaCry, но уже 14 мая выпустил два руководства по отражению WannaCry для домашних пользователей и малого бизнеса, а также для корпоративных заказчиков. Про Petya NCSC до сих пор ничего не написал, кроме упоминания в еженедельном обзоре событий безопасности.
- CPNI, занимающийся в Великобритании защитой критической
инфраструктуры, публично никак не отреагировал на эпидемии
шифровальщиков.
- Европейское агентство по ИБ ENISA отчиталось о WannaCry подробным отчетом 15 мая, а по Petya никакой информации нет до сих пор.
- Европейский CERT-EU выпустил первую версию бюллетеня по WannaCry в день начала эпидемии - 12 мая, а по Petya - 28 июня.
Отечественные регуляторы оказались не хуже, а местами и лучше импортных.
ГосСОПКА отчиталась по WannaCry в тот же день (по словам очевидцев -
сам не видел их уведомления). По Petya ГосСОПКА разослала уведомление 27-го июня (я первоначально искал новости на gov-cert.ru,
но там ничего нет и цель этого сайта мне не совсем понятна). МВД молчит
до сих пор, а ФСТЭК объединила WannaCry и Petya в своем информационном сообщении от 2-го июля. ЦБ разместил у себя на сайте краткие анонсы по WannaCry 19 мая, а по Petya - 28 июня (с
указанием, что детальные уведомления были разосланы в день начала
эпидемий всем подключившимся к информационному обмену с FinCERT). Другие
регуляторы (МинЭнерго, Минкомсвязь, МЧС и другие) никак не
отреагировали на глобальные киберугрозы, которые затронули многие
российские компании, включая и критические инфраструктуры.
Уведомление ГосСОПКИ мне понравилось. Тут и индикаторы компрометации, и
YARA-правила (от Касперского), и сигнатуры Snort (если не ошибаюсь, от
Positive Technologies). А еще ГосСОПКА не чурается использовать
международно признанные стандарты в области Threat Intelligence - YARA,
TLP, хеши по SHA1/SHA256/MD5 (это вообще забавно, когда ГосСОПКА,
созданная 8-м Центром ФСБ, активно насаждающем российские
криптоалгоритмы, в своей работе использует алгоритмы западные, а точнее
американские :-). Постепенно вырисовывается то, что осталось за рамками
методических рекомендаций по созданию центров ГосСОПКИ, о чем я писал ранее.
Выводов из этой картины я бы мог сделать несколько:
- В России не хватает национальных CERTов, которые бы эффективно могли
отрабатывать такие глобальные эпидемии и оперативно делиться со всеми
(а не в рамках закрытого информационного обмена как у ГосСОПКА или
FinCERT) информацией об индикаторах компрометации и способах
нейтрализации угроз. С частными CERTами ситуация неочевидная - GIB-CERT
вообще ничего на своем сайте не публикует (возможно рассылая информацию
по платной подписке), а вот Лаборатория Касперского через свой
промышленный ICS-CERT опубликовала отчет по WannaCry 14 мая.
- Регуляторы, устанавливающие требования по ИБ, практически никогда
оперативно не выпускают уведомления о глобальных угрозах, запаздывая на
несколько дней, а то и недель. Более того, они никогда (почему-то) не
ссылаются на разработанные ими же документы, требования и рекомендации.
То есть получается, что "бумажные требования" живут своей жизнью,
имеющей мало общего с реальностью, а конкретные рекомендации даются без
какой-либо привязки к ранее разработанным документам (и зачем они тогда
нужны). В России исключением стала только ФСТЭК, которая в своем
информационном сообщении сослалась на свои приказы с требованиями по
защите.
- В России регуляторы по-прежнему не умеют коммуницировать с целевой аудиторией по вопросам ИБ. Я как-то про это уже писал
и вижу, что ситуация с мертвой точки за это время так и не сдвинулась. А
ведь и WannaCry и Petya/Nyetya могли стать отличными инфоповодами для
регуляторов, которые могли бы обратить внимание аудиторию на
существующие проблемы в ИБ и способы их решения; да и про собственный PR
не забыть. Хотя про PR некоторые из них иногда помнят, а про помощь
своим подопечным нет... :-(
- В России по-прежнему любят секретить все, что только можно. Закрытые
рассылки, закрытые порталы, закрытые мероприятия, включая, онлайн... И
ситуация лучше не становится. Тот же законопроект по безопасности
критической инфраструктуры, принятый во втором чтении, в котором так и
осталась норма об отнесении информации о мерах защиты и состоянии
защищенности критических инфраструктур к гостайне. И зачем так
закручивать гайки?
Источник
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.