Кибербезопасность

Цифровая трансформация способствует повышению качества и эффективности государственного управления, оптимизации финансовых и кадровых ресурсов.
В условиях растущей цифровой взаимозависимости, ускоренной пандемией COVID-19, и усложнения ландшафта угроз возрастает необходимость обеспечения безопасности технологической инфраструктуры государственных институтов и защиты персональных данных граждан.

По оценкам Всемирного экономического форума (ВЭФ), в 2020 г. общее количество выявленных вредоносных программ увеличилось на 358%, программ-вымогателей – на 435%. Как отмечают эксперты организации, 95% проблем в сфере кибербезопасности связаны с человеческим фактором. При этом мировой дефицит специалистов в области кибербезопасности составляет 3,5 млн человек.

Согласно результатам анализа Check Point Research, в 2021 г. количество кибератак на корпоративные сети в неделю выросло на 50% (по сравнению с 2020 г.). Средний международный показатель составил 925 кибератак в неделю на организацию. Самый значительный рост количества кибератак зафиксирован в Европейском регионе.

Количество кибератак на организации в неделю по регионам (2020 vs 2021)

2020 год

2021 год

Африка

АТР

Латинская Америка

Европа

Северная Америка

Источник: Доклад Check Point Research

Отношение граждан ЕС к вопросам кибербезопасности

Думают, что могут защитить себя от киберугроз52%

Считают, что риск стать жертвой киберпреступности растет76%

Уверены в краже их данных46%

Источник: Опрос Special Eurobarometer 499, январь 2020 г.

Основные объекты кибератак

В соответствии с данными^[1] Европейского агентства по кибербезопасности (European Union Agency for Cybersecurity, ENISA) основными объектами кибератак в 2021 г. стали: государственные административные учреждения (198 инцидентов), провайдеры цифровых услуг (152 инцидента), медицинские учреждения (143 инцидента), финансовый и банковский сектор (97 инцидентов), транспортный сектор (54 инцидента). Среди наиболее распространенных видов кибератак – программы-вымогатели (ransomware), криптоджекинг (сryptojacking)^[2], утечки данных (data breaches), вредоносное ПО (malware), дезинформация (disinformation), пользовательские ошибки (non-malicious threats), угрозы доступности и целостности информации (threats against availability and integrity), атаки на поставщиков цифровых услуг (supply-chain attacks).

Динамика появления новых цифровых угроз превышает возможности организаций по их предотвращению, об этом говорится в исследовании IBM «Финансовые последствия утечки данных в 2021 г.»^[3] (Cost of a Data Breach Report 2021). Переход на удалённый режим работы в условиях пандемии COVID-19 был осуществлен в ущерб интересам информационной безопасности организаций. В 2021 г. средний финансовый ущерб от утечки данных составил 4,2 млн долл. США (за один инцидент) – рекордный показатель за последние 17 лет.

^[1] Результаты за период с апреля 2020 г. по июль 2021 г.

^[2] Криптоджекинг – несанкционированное использование устройств для генерации криптовалюты.

^[3] В основе исследования – анализ данных утечек более 500 компаний в период с мая 2020 г. по март 2021 г. Всего организация проанализировала около 100 тысяч нарушений.

Подходы к оценке эффективности политики в области кибербезопасности

Подходы к оценке эффективности политики в области кибербезопасности, как и сама исследовательская область, находятся в стадии становления. На данный момент не существует общепринятого определения понятия «кибербезопасность» (cybersecurity). В рамках системы ООН используется определение Международного союза электросвязи (МСЭ). Эксперты организации рассматривают кибербезопасность как совокупность средств и технологий, стратегий и руководящих принципов, которые могут быть использованы для защиты информационных, технических, кадровых ресурсов организации в цифровой среде. Другие международные организации^[1] используют термин «информационная безопасность» (information security) как безопасность информации во всех ее формах и на любых носителях. В фокусе внимания Организации экономического сотрудничества и развития (ОЭСР) – оценка цифровой безопасности (digital security): анализ экономических и социальных последствий киберугроз.

Концептуальные подходы государств и международных организаций могут различаться, однако главной целью политики в сфере кибербезопасности остается обеспечение конфиденциальности, целостности и доступности информации («триада информационной безопасности^[2]»).

^{^[1]} Международный стандарт ISO/IEC 27001:2013

^[2] Перечень ключевых принципов информационной безопасности постоянно обновляется. В 2002 г. ОЭСР опубликовала модель информационной безопасности, состоящую из девяти принципов. Международный стандарт ISO/IEC 27001:2013 содержит 10 основополагающих принципов.

Рекомендации МСЭ по повышению уровня цифровой безопасности государств

Международный союз электросвязи (МСЭ) отмечает повышение уровня кибербезопасности государств во всем мире. Согласно показателям Глобального индекса кибербезопасности^[1] (Global Cybersecurity Index, GCI), к концу 2020 г. 127 стран утвердили национальные стратегии информационной безопасности, 142 – провели информационные кампании по вопросам кибербезопасности. Лидеры рейтинга – США (100 баллов), Эстония (99,48), Великобритания и Саудовская Аравия (по 99,54 балла); Южная Корея, Сингапур и Испания (98,52 балла); Россия, ОАЭ и Малайзия (98,06 балла).

Правовые меры

В 167 странах действует законодательство в области кибербезопасности
В 133 странах существуют законы о защите персональных данных
В 97 странах разработаны правовые механизмы защиты критической инфраструктуры

Технические меры

В 131 стране функционируют Национальные центры информационной безопасности
В 101 стране действуют механизмы защиты детей от распространения незаконной информации в Интернете

Организационные меры

В 127 станах разработаны национальные стратегии в области кибербезопасности
В 98 странах актуализированы национальные стратегии в области кибербезопасности
60% из вышеуказанных 98 стран проводят оценку эффективности реализации стратегий в области кибербезопасности

Развитие профессионального потенциала

В 142 странах провели информационные кампании по вопросам кибербезопасности
В 94 странах запущены научно-исследовательские программы в области кибербезопасности

Международное сотрудничество

90 стран имеют двусторонние соглашения в области кибербезопасности
112 стран участвуют в многосторонних инициативах в области кибербезопасности
В 2020–2021 гг. 140 стран приняли участие в международных мероприятиях, таких как конференции по кибербезопасности, образовательные семинары.

Несмотря на достигнутый прогресс, остаются области, требующие дальнейшего улучшения – модернизация средств защиты критической инфраструктуры в соответствии с новыми киберугрозами, усиление правового регулирования работы с персональными данными, повышение общего уровня цифровой грамотности.

Среди ключевых рекомендаций МСЭ по повышению уровня цифровой безопасности государств: регулярный мониторинг эффективности реализации стратегии в области кибербезопасности, улучшение ресурсной базы национальных центров информационной безопасности, необходимость активизации международного сотрудничества и обмена лучшими практиками противодействия цифровым угрозам.

^[1] Глобальный индекс кибербезопасности (Global Cybersecurity Index, GCI) впервые опубликован Международным союзом электросвязи (МСЭ) в 2015 г. и обновляется раз в два года. Задача проекта – оценка системы информационной безопасности 193 государств – членов МСЭ по 5 ключевым направлениям: правовые меры, технические меры, организационные меры, развитие профессионального потенциала и международное сотрудничество.

Кибербезопасность – Кейсы

Счетный суд Австрийской Республики
(Austrian Court of Audit)

Кейс
Описание

ВОА: Счетный суд Австрийской Республики (Austrian Court of Audit)

Название: Координация усилий в сфере кибербезопасности (Coordination of Cyber-Security)

Дата: 22/04/2022

Ссылка: Перейти

В 2021 г. ВОА провел аудит эффективности систем кибербезопасности в ряде федеральных ведомств Австрии (Федеральная канцелярия, Министерство внутренних дел, Министерство обороны и Министерство иностранных дел). В фокусе внимания ВОА была оценка нормативной базы, стратегического и операционного управления в области кибербезопасности.

ВОА выявил ряд недостатков, в частности, отсутствие планов по операционному управлению инцидентами в области кибербезопасности и недостаточно эффективная система управления рисками.

ВОА подчеркнул необходимость улучшения стратегии ведомств в области информационной безопасности и рекомендовал создать постоянную группу реагирования на вызовы в киберпространстве, а также центр реагирования на чрезвычайные ситуации.

Национальное контрольно-ревизионное управление Великобритании
(UK National Audit Office)

Кейс
Описание

ВОА: Национальное контрольно-ревизионное управление Великобритании (UK National Audit Office)

Название: Руководство для аудиторских комитетов в сфере кибербезопасности и оценке рисков информационных систем (Cyber and information security: Good practice guide)

Дата: 28/10/2021

Ссылка: Перейти

ВОА Великобритании подготовил Руководство для аудиторских комитетов в сфере проверки услуг в области кибербезопаности и оценки рисков использования информационных систем на основе актуальных требований правительства. В качестве ключевых вопросов, на которые требуется обратить внимание при аудите подобных систем и услуг указываются:

общий подход организации к вопросам кибербезопасности и управления рисками;
ресурсы, необходимые для обеспечения кибербезопасности;
отдельные вопросы, в частности - управления рисками в сфере информационной безопасности и данных, безопасность сетей, управление нештатными ситуациями, защита от вредоносного ПО, удаленная работа сотрудников и т.д.;

смежные области, в частности – облачные сервисы, исследования и разработка новых технологий.

Управление Генерального аудитора Дании
(Auditor General Office of Denmark)

Кейс
Описание

ВОА: Управление Генерального аудитора Дании (Auditor General Office of Denmark)

Название: Отчет о соответствии государственных ведомств двадцати минимальным техническим требованиям в сфере информационной безопасности (Five government authorities’ compliance with 20 technical minimum information security requirements)

Дата: 15/01/2022

Ссылка: Перейти

По итогам результате аудиторской проверки, проведенной Управлением генерального аудитора Дании в 2021 г., аудиторы пришли к выводу, что Министерство финансов, Министерство юстиции, Министерство здравоохранения, Министерство климата, энергетики и ЖКХ и Министерство продовольствия, сельского и рыбного хозяйства не обеспечили соблюдение
20-ти технических минимальных требований к информационной безопасности, которые должны были быть выполнены к 1 января 2020 г.

Европейская счетная палата
(European Court of Audits)

ВОА: Европейская счетная палата (European Court of Audits)

Название: Вопросы кибербезопасности в институтах, органах и агентствах ЕС: общий уровень готовности не соответствует угрозам (Special report: Cybersecurity of EU institutions, bodies and agencies: Level of preparedness overall not commensurate with the threats)

Дата: 29/03/2022

Ссылка: Перейти

В связи с многочисленными случаями хакерских атак на информационные системы Европейского союза, Европейская счетная палата провела аудит эффективности политики информационной безопасности институтов ЕС в период с января 2018 г. по октябрь 2021 г. Особое внимание в рамках аудита было уделено деятельности Агентства ЕС по кибербезопасности (European Union Agency for Cybersecurity, ENISA) и Группы реагирования на инциденты информационной безопасности ЕС (Computer Emergency Response Team, CERT-EU). По оценкам Европейской счетной палаты, уровень устойчивости информационных систем ЕС различается в зависимости от ведомства и в целом не соответствует текущим масштабам киберугроз. В частности, только 58% ведомств ЕС имеют согласованную на уровне своего руководства стратегию в области информационной безопасности. В качестве причин неподготовленности институтов ЕС к киберугрозам указаны:

отсутствие системы оценки устойчивости информационных систем или ее непоследовательность;
устаревшие корпоративные практики в области кибербезопасности;
отсутствие системного обучения сотрудников по вопросам информационной безопасности, а также программ повышения квалификации для специалистов профильных подразделений;
недостаточно разработанная система управления информационной безопасностью ведомств и выборочная оценка рисков;
неравномерность финансирования программ по повышению уровня кибербезопасности в институтах ЕС;

отсутствие внешнего аудита систем информационной безопасности у ряда ведомств.

Европейская счетная палата призвала институты ЕС более слаженно координировать работу информационных систем и последовательно подходить к разработке стратегий в области кибербезопасности. Европейской комиссии рекомендовано ввести обязательные правила кибербезопасности, увеличить финансирование Группы реагирования на инциденты информационной безопасности и способствовать межведомственному сотрудничеству по данному вопросу.

Контактный комитет высших органов аудита Евросоюза
(Contact Committee of the Supreme Audit Institutions of the European Union)

Кейс
Описание

ВОА: Контактный комитет высших органов аудита Евросоюза (Contact Committee of the Supreme Audit Institutions of the European Union)

Название: Компендиум по аудиту: Кибербезопасности в ЕС и странах-членах союза (Audit Compendium: Cybersecurity in the EU and its member states)

Дата: 07/12/2020

Ссылка: Перейти

7 декабря 2020 г. Контактный комитет высших органов аудита Евросоюза опубликовал Компендиум по аудиту систем кибербезопасности ЕС. Основанный на результатах исследований, проведенных высшими органами аудита стран – членов ЕС, сборник посвящен проблеме устойчивости критически важных информационных систем и цифровой инфраструктуры ЕС к информационным атакам.

В нем представлена справочная информация о проблеме кибербезопасности, стратегических инициативах ЕС и нормативно-правовой базе; обозначены основные вызовы и риски, с которыми сталкиваются граждане и государства ЕС в результате ненадлежащего использования цифровых данных.

В основу исследования легли результаты 12 проверок, проведенных контрольными ведомствами стран – членов ЕС и Европейской счетной палатой по вопросам, связанным с кибербезопасностью. Результаты проверок позволили выявить уязвимость цифровой инфраструктуры и систем хранения персональных данных (Эстония, Франция, Швеция), недостаточность ресурсного обеспечения и эффективности управления системой информационной безопасности (Ирландия, Латвия, Финляндия), несоответствия установленным европейскими регламентами стандартам безопасности (Польша, Португалия).

Государственное контрольное управление США
(Government Accountability Office of the United States, GAO U.S.)

Кейс
Описание

ВОА: Государственное контрольное управление США (Government Accountability Office of the United States, GAO U.S.)

Название: Реакция федеральных органов государственной власти на инциденты с участием сетей SolarWinds и Microsoft Exchange (Federal Response to SolarWinds and Microsoft Exchange Incidents)

Дата: 13/01/2022

Ссылка: Перейти

ВОА США в 2022 г. проанализировал меры, которые федеральные агентства предприняли в ответ на хакерские атаки сетей SolarWinds и Microsoft Exchange. В январе 2019 г. сеть SolarWinds – компании из Техаса по разработке программного обеспечения, чьи услуги широко использует федеральное правительство США – подверглась взлому. В марте 2021 г. компания Microsoft сообщила об использовании уязвимостей для получения незаконного доступа к нескольким версиям Microsoft Exchange Server. Данные попытки взлома стали одними из наиболее масштабных хакерских атак, которые когда-либо проводились против федерального правительства и частного сектора США. ВОА отмечает, что по итогам хакерских атак федеральные агентства США пришли к нескольким выводам:

координация с компаниями частного сектора способствовала повышению эффективности предпринятых мер по реагированию на инциденты;
создание централизованной площадки для диалога между государственными учреждениями, а также компаниями из частного сектора улучшило координацию между всеми заинтересованными сторонами;
обмен информацией между федеральными агентствами зачастую осуществлялся медленно и занимал длительное время;

процесс сбора доказательств носил ограниченный характер из-за различий в практике хранения данных в разных ведомствах.

Государственное контрольно-ревизионное управление Финляндии
(National Audit Office of Finland)

ВОА: Государственное контрольно-ревизионное управление Финляндии (National Audit Office of Finland)

Название: Отчет об исполнении рекомендаций по итогам аудита процесса организации кибер-безопасности (Supplement to the follow-up report: Organizing cyber protection)

Дата: 12/04/2022

Ссылка: Перейти

В 2022 г. ВОА Финляндии провел оценку качества исполнения своих рекомендаций по повышению эффективности мер кибербезопасности, подготовленных по итогам аудита Министерства финансов в 2017 г. ВОА пришел к выводу, что рекомендации были выполнены частично.

ВОА отметил, что некоторые операционные процессы по внедрению мер кибербезопасности необходимо улучшить и предоставил объекту аудита рекомендации по повышению их эффективности:

Министерству финансов рекомендовано учитывать вопросы кибербезопасности на всех этапах финансирования и «жизненного цикла» государственных проектов в сфере цифровизации;

Также предложено установить постоянно действующий канал связи и обменом данными об угрозах и возможных противоправных действиях в цифровой среде между министерством и профильными ведомствами.

Кибербезопасность

Кибербезопасность

Количество кибератак на организации в неделю по регионам (2020 vs 2021)

2020 год

2021 год

Африка

АТР

Латинская Америка

Европа

Северная Америка

Отношение граждан ЕС к вопросам кибербезопасности

Кибербезопасность – Кейсы

Счетный суд Австрийской Республики
(Austrian Court of Audit)

Национальное контрольно-ревизионное управление Великобритании
(UK National Audit Office)

Управление Генерального аудитора Дании
(Auditor General Office of Denmark)

Европейская счетная палата
(European Court of Audits)

Контактный комитет высших органов аудита Евросоюза
(Contact Committee of the Supreme Audit Institutions of the European Union)

Государственное контрольное управление США
(Government Accountability Office of the United States, GAO U.S.)

Государственное контрольно-ревизионное управление Финляндии
(National Audit Office of Finland)

Кейсы и лучшие практики

Цифровая инфраструктура

Технологии анализа данных

Компетенции и повышение потенциала сотрудников

Кибербезопасность

Технологии искусственного интеллекта (ИИ)

Информация

Кейсы