11.7.17

Как разные мировые и отечественные регуляторы отреагировали на WannaCry и Petya/Nyetya

Обновлял тут презентацию по построению национального центра мониторинга кибербезопасности и решил проанализировать, как регуляторы разных стран отреагировали на последние эпидемии WannaCry и Petya/Nyetya.


Традиционно американцы считаются законодателями мод в области кибербезопасности (хотя их, по их же словам, русские и китайские хакеры ломают в хвост и гриву). Как же отреагировали множественные американские государственные и отраслевые регуляторы, имеющие отношение к информационной безопасности? Получается такая картина:
  • US-CERT - 12 мая появился полноценный бюллетень с описанием WannaCry, индикаторами компрометации, правилами YARA и т.п. Потом бюллетень многократно обновлялся. Про Petya американский государственный CERT отписался 1-го июля.
  • ICS-CERT - 15 мая был опубликован бюллетень, посвященный обзору WannaCry применительно к промышленным системам. Про Petya ICS-CERT опубликовал бюллетень 30 июня, на день раньше US-CERT.
  • NCCIC про WannyCry выпустил обзор 2 июня.
  • ФБР - 13 мая опубликован бюллетень с индикаторами компрометации для WannaCry, а 3 июля для Petya.
  • SEC (Комиссия по ценным бумагам) выпустила бюллютень про WannaCry 17 мая.
  • FTC отметилась 15 мая заметкой про WannaCry в своем блоге; про Petya - молчок.
  • АНБ публично выпустило бюллютень про WannaCry в первый рабочий день после начала эпидемии, 15 мая. Про Petya их бюллетеней не нашел.
  • DHS опубликовал пресс-релиз про WannaCry в день начала эпидемии, 12 мая, а про Petya - 28 июня.
  • FCC (Федеральная коммуникационная комиссия, аналог нашего Минкомсвязи) никак не отреагировала на WannaCry и Petya.
  • FINRA никак не отреагировала на атаки шифровальщиков.
  • ABA (Ассоциация американских банков) распространила среди своих членов бюллетень о Petya 5 июля, а о WannaCry - 15 мая.
  • Различные ISAC (Innformation Sharing and Analysis Center) также распространили соответствующие уведомления о WannaCry и Petya/Nyetya (я получил анонсы от FS-ISAC, MS-ISAC, IT-ISAC).

В Старом Свете ситуация с уведомлениями была схожей - кто-то оперативно и публично уведомил пользователей, а кто-то промолчал и молчит до сих пор (возможно, делая рассылки по закрытым спискам или публикуя уведомления на закрытых порталах):
  • Английский NCSC 13 мая отделался общими фразами о существовании WannaCry, но уже 14 мая выпустил два руководства по отражению WannaCry для домашних пользователей и малого бизнеса, а также для корпоративных заказчиков. Про Petya NCSC до сих пор ничего не написал, кроме упоминания в еженедельном обзоре событий безопасности.
  • CPNI, занимающийся в Великобритании защитой критической инфраструктуры, публично никак не отреагировал на эпидемии шифровальщиков.
  • Европейское агентство по ИБ ENISA отчиталось о WannaCry подробным отчетом 15 мая, а по Petya никакой информации нет до сих пор.
  • Европейский CERT-EU выпустил первую версию бюллетеня по WannaCry в день начала эпидемии - 12 мая, а по Petya - 28 июня.
Отечественные регуляторы оказались не хуже, а местами и лучше импортных. ГосСОПКА отчиталась по WannaCry в тот же день (по словам очевидцев - сам не видел их уведомления). По Petya  ГосСОПКА разослала уведомление 27-го июня (я первоначально искал новости на gov-cert.ru, но там ничего нет и цель этого сайта мне не совсем понятна). МВД молчит до сих пор, а ФСТЭК объединила WannaCry и Petya в своем информационном сообщении от 2-го июля. ЦБ разместил у себя на сайте краткие анонсы по WannaCry 19 мая, а по Petya - 28 июня (с указанием, что детальные уведомления были разосланы в день начала эпидемий всем подключившимся к информационному обмену с FinCERT). Другие регуляторы (МинЭнерго, Минкомсвязь, МЧС и другие) никак не отреагировали на глобальные киберугрозы, которые затронули многие российские компании, включая и критические инфраструктуры.

Уведомление ГосСОПКИ мне понравилось. Тут и индикаторы компрометации, и YARA-правила (от Касперского), и сигнатуры Snort (если не ошибаюсь, от Positive Technologies). А еще ГосСОПКА не чурается использовать международно признанные стандарты в области Threat Intelligence - YARA, TLP, хеши по SHA1/SHA256/MD5 (это вообще забавно, когда ГосСОПКА, созданная 8-м Центром ФСБ, активно насаждающем российские криптоалгоритмы, в своей работе использует алгоритмы западные, а точнее американские :-). Постепенно вырисовывается то, что осталось за рамками методических рекомендаций по созданию центров ГосСОПКИ, о чем я писал ранее.

Выводов из этой картины я бы мог сделать несколько:
  1. В России не хватает национальных CERTов, которые бы эффективно могли отрабатывать такие глобальные эпидемии и оперативно делиться со всеми (а не в рамках закрытого информационного обмена как у ГосСОПКА или FinCERT) информацией об индикаторах компрометации и способах нейтрализации угроз. С частными CERTами ситуация неочевидная - GIB-CERT вообще ничего на своем сайте не публикует (возможно рассылая информацию по платной подписке), а вот Лаборатория Касперского через свой промышленный ICS-CERT опубликовала отчет по WannaCry 14 мая.
  2. Регуляторы, устанавливающие требования по ИБ, практически никогда оперативно не выпускают уведомления о глобальных угрозах, запаздывая на несколько дней, а то и недель. Более того, они никогда (почему-то) не ссылаются на разработанные ими же документы, требования и рекомендации. То есть получается, что "бумажные требования" живут своей жизнью, имеющей мало общего с реальностью, а конкретные рекомендации даются без какой-либо привязки к ранее разработанным документам (и зачем они тогда нужны). В России исключением стала только ФСТЭК, которая в своем информационном сообщении сослалась на свои приказы с требованиями по защите.
  3. В России регуляторы по-прежнему не умеют коммуницировать с целевой аудиторией по вопросам ИБ. Я как-то про это уже писал и вижу, что ситуация с мертвой точки за это время так и не сдвинулась. А ведь и WannaCry и Petya/Nyetya могли стать отличными инфоповодами для регуляторов, которые могли бы обратить внимание аудиторию на существующие проблемы в ИБ и способы их решения; да и про собственный PR не забыть. Хотя про PR некоторые из них иногда помнят, а про помощь своим подопечным нет... :-(
  4. В России по-прежнему любят секретить все, что только можно. Закрытые рассылки, закрытые порталы, закрытые мероприятия, включая, онлайн... И ситуация лучше не становится. Тот же законопроект по безопасности критической инфраструктуры, принятый во втором чтении, в котором так и осталась норма об отнесении информации о мерах защиты и состоянии защищенности критических инфраструктур к гостайне. И зачем так закручивать гайки?