Прошлая неделя у меня прошла под знаком CSIRT/CERT. Сначала я ездил в одну из стран СНГ и делал презентацию для национального CERTа. Потом мне попалась парочка презентаций о том, как устроены группы реагирования на инциденты в Cisco (CSIRT) и в НАТО (CIRC). Попутно почтовый ящик пополнился несколькими уведомлениями от FS-ISAC и IT-ISAC (обычно раз-два в неделю, а тут каждый день, а то и по паре раз на дню). И наконец, в АРБ прошло собрание по поводу заработавшего недавно при Банке России центра мониторинга и реагирования на атаки в кредитно-финансовой сфере FinCERT.
Пока никаких официальных документов и правил игры Банк России нигде не озвучивал, можно пофантазировать о том... нет, не о том, как будет работать FinCERT (это знает только Банк России), а о том, что хотелось бы увидеть от Банка России на выходе.
Если вспомнить, какие вообще сервисы может оказывать центр реагирования на инциденты, то список будет достаточно большой.
И вот от того, как будет выстроен и как формализован данный сервис, зависит то, будут ли им пользоваться банки. Ведь сервис этот зависит именно от двухсторонней связи "Банк России - кредитные организации". Самостоятельно ЦБ не сможет в настоящий момент предоставлять сведения об инцидентах - он с ними почти не сталкивается, не работая с юрлицами и физлицами напрямую. Максимум, о чем он может сообщать - это об инцидентах на свой сайт и инфраструктуру, т.е. о технических атаках. Логические атаки на финансовые инструменты ЦБ может получать только извне - от самих банков. Есть, конечно, еще вариант, что такие сведения он может получать от других CERTов/CSIRTов, но от каких? От ГосСОПКИ?.. Маловероятно. Остаются только банки как поставщики информации.
Чтобы банки отдавали сведения в ЦБ (помимо 203-й формы, которая уходит в ДНПС), они должны иметь подробное описание предоставляемых FinCERT сервисов.
Что им может быть интересно? Я бы, на месте банка, хотел получить от FinCERTа ответы на следующие вопросы:
Пока никаких официальных документов и правил игры Банк России нигде не озвучивал, можно пофантазировать о том... нет, не о том, как будет работать FinCERT (это знает только Банк России), а о том, что хотелось бы увидеть от Банка России на выходе.
Если вспомнить, какие вообще сервисы может оказывать центр реагирования на инциденты, то список будет достаточно большой.
 |
| Сервисы CSIRT по версии Университета Карнеги-Меллона |
Вспоминая, о чем неоднократно говорили представители Банка России на разных мероприятиях, можно предположить, что FinCERT будет в первую очередь уведомлять заинтересованные стороны об атаках, опираясь как на собственные данные, так и на данные, получаемые от банков, которые будут присылать в FinCERT информацию об инцидентах, которые у них происходили.
 |
| Высокоуровневая схема информационных потоков в сервисе уведомлений |
Чтобы банки отдавали сведения в ЦБ (помимо 203-й формы, которая уходит в ДНПС), они должны иметь подробное описание предоставляемых FinCERT сервисов.
Что им может быть интересно? Я бы, на месте банка, хотел получить от FinCERTа ответы на следующие вопросы:
- Есть ли четкий перечень информации интересной FinCERTу? Как она соотносится с 203-й формой отчетности?
- Какие детали по каждой атаке нужны FinCERTу? IP/DNS-адреса? Имена файлов? Паспортные данные дропперов? Имена фирм-однодневок?
- С какой частотой передавать данные?
- Время работы FinCERT? 8х5 или 24х7? Если 8х5, то в каком часовом поясе находится FinCERT и как он будет взаимодействовать с банками в других часовых поясах?
- Каким способом передавать данные? E-mail (с указанием единого адреса центра, а не отдельных его сотрудников), Web-сайт, телефон, KliKO, ПТК ПСД или еще что-то?
- Каков формат передачи данных? Может быть есть уже проработанные формы/отчеты об инцидентах? При получении от FinCERT ответной реакции в виде уведомлений об атаках, хотелось бы иметь также унифицированный и заранее определенный формат получения данных, чтобы можно было легко автоматизировать процесс его подключения к собственным системам защиты, например, МСЭ, IDS, антифроду и т.п.
- Как защищаются данные в процессе передачи и хранения в FinCERT?
- Как гарантируется защита данных от передачи информации об инцидентах в СМИ?
- Будет ли передаваться информация об инцидентах в надзор Банка России? А в МВД? А в ГосСОПКУ? При каких условиях и в каком объеме?
- Кто от имени банка имеет право передавать данные об инцидентах?
- Как подтверждается получение FinCERTом данных? Если требуется ответная реакция FinCERT, то есть ли SLA для нее?
- Как хранятся полученные данные и кто имеет к ним доступ?
Без ответов на эти вопросы FinCERT может и не взлететь, как мне кажется. В отличие от 203-й формы передается достаточно чувствительная и детальная информация, утечка которой может серьезно повлиять на репутацию банка и его финансовые показатели. Поэтому банк должен быть не только уверен в том, что переданная им информация будет получена, обработана и не уйдет наружу, но и то, что на основе этой информации (а также информации от других банков) будет регулярно приходить обратная связь. Односторонняя связь, к сожалению, сводит на нет весь интерес взаимодействия с CERT/CSIRT. Могу это утверждать, имея опыт работы с нашим CSIRT и с IT-ISAC, в который входит Cisco и через который американские ИТ-компании обмениваются информацией об угрозах.
ЗЫ. Аналогичные вопросы, кстати, будут актуальны и для ГосСОПКИ, когда она заработает в полную силу.
2 коммент.:
Я не очень сведущий человек в этой теме, но пообщавшись с ИБ из банков, узнал любопытную весчь. Оказывается иб-сотрудники банков и раньше отправляли отчеты по иб-инцидентам в ЦБ по e-mail. Что за человек в ЦБ сидел и читал отчеты, как и куда вносили отчеты, того мне не ведомо. Будут ли отличия от того что было, что сейчас есть и как на самом деле должно быть, тоже любопытствую.
Отправить комментарий