Роскомнадзор анонсировал целый ряд мер по части усиления безопасности информационной инфраструктуры России.
После заседания «Научно-технического совета по вопросам информационной безопасности российских систем и ресурсов» на базе Главного радиочастотного центра (ФГУП «ГРЧЦ») надзорное ведомство рассказало о трёх главных направлениях в этом вопросе.
Сначала надзорное ведомство рассказало о планах по борьбе с кибератаками. По сведениям РКН, в 2022 году в 1,5 раза выросло количество и мощность DDoS-атак, а их продолжительность увеличилась с 1 до 10 часов. Для защиты от них в прошлом году начали применять технические средства Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора. По словам РКН, с их использованием отражено более 40 крупных атак на ключевые российские отраслевые и ведомственные сегменты.
Участники совета в ГРЧЦ пришли к выводу, что «необходимо оперативно создать национальную систему мер для защиты от DDoS-атак». Система должна обеспечить защиту российской инфраструктуры от всех видов такого рода атак из-за рубежа на трансграничных переходах. Помимо создания системы до конца года предстоит организовать обмен информацией об атаках и способах защиты между крупнейшими российскими компаниями в области кибербезопасности.
Далее Роскомнадзор поведал о планах по сканированию уязвимостей российских систем и сервисов. Ведомство хочет на базе своего ЦМУ создать отечественную доверенную систему сканирования, которая позволит выявить уязвимости российских информационных ресурсов, предоставляя возможность их оперативного устранения:
«С целью защиты российских систем одновременно планируется принять меры по ограничению сканирования зарубежными сервисами российского сегмента интернета».
Якобы «в зарубежном сегменте интернета функционируют более 10 сервисов, которые постоянно сканируют и выявляют уязвимости в том числе в Рунете», утверждает Роскомнадзор:
«Эта информация используется злоумышленниками для компьютерных атак на российскую инфраструктуру».
По словам одного из технических специалистов «Роскомсвободы», есть публичные сервисы, которые сканируют Сеть на предмет уязвимостей, а есть непубличные — чаще всего они принадлежат правительствам разных государств. Принцип работы сканнеров примерно такой: берётся определённый диапазон IP-адресов, и «роботы лазят по всем этим айпишникам, проверяют компьютеры и сервера». После этого боты проверяют порты этих компьютеров и серверов, ищут — «какие там сервисы?» Затем пассивным способом, то есть - не взламывая эти сервисы, по некоторым характеристикам они пытаются понять, какие там есть уязвимости.
«Эта работа происходит постоянно, – отмечает наш технический специалист. – Роботы от нескольких десятков основных компаний и государств просто бесконечно «перебирают» интернет, отыскивая и фиксируя данные об уязвимостях. Есть публичные базы, которые можно посмотреть и увидеть — что и на каких айпишниках находится, какие сервисы там крутятся, какие проблемы там могут быть. Иногда этим занимаются специальные центры, и если они нашли какую-то проблему, то связываются с владельцами этих серверов (госорганизациями, банками, крупными компаниями, etc), и говорят: «Наши роботы нашли на ваших айпишниках сервер, на котором есть уязвимость. Наша задача — вас предупредить». Уже после этого специалисты той компании, в которую они обратились, делают какие-то выводы и работают над устранением проблемы».
Исходя же из пресс-релиза надзорного ведомства можно сделать вывод, что Роскомнадзор до сего момента ничем таким не занимался, рассуждает эксперт.
Препятствование же в том, чтоб позволить иностранным сервисам сканировать российский сегмент интернета может означать что угодно — от того, что власти не хотят позволить иностранным хакерам получить данные об уязвимостях до желания «сделать так, потому что могут».
«Или они могут рассуждать так…. Если мы напишем плохого робота, а у «частников» из-за границы будет хороший, все будут пользоваться их роботом. А мы-то хотим, чтоб пользовались нашим. Такая логика тут может быть... Ещё это может быть целесообразно на случай, если «враждебный мир отключит нас от интернета», а мы будем со своими роботами жить в нашем уютном Чебурнете», – иронизирует эксперт.
«Да тут, как обычно, с три короба наплетено. Этих «сканирующих сервисов» — сотни тысяч, и им, как правило, вообще наплевать на географию», – утверждает другой технический эксперт «Роскомсвободы».
Блогер и IT-специалист Илья Вайцман, в свою очередь, говорит следующее:
«Да ничего особенного. Внезапно™ оказалось, например, что пользователи облачных и сетевых 1С, например, не накатили апдейт, вышедший еще год назад — и их вот на днях сломали («Ашан» и другие). Подозреваю, что и остальные большие утечки имеют схожую природу.
Вот и решили на госуровне искать дыры, чтобы требовать (не понимаю, в каком порядке) их ликвидации. Идея понятная и, в целом, разумная, но пока нет правового механизма реализации».
Третьим направлением улучшения работы по кибербезопасности Роскомнадзор видит в предоставлении «достоверной информации о страновой принадлежности IP-адресов».
РКН заявил, что создаст «на базе ЦМУ российскую доверенную систему верификации страновой принадлежности сетевых адресов» под предлогом того, что она «позволит владельцам российских информационных систем использовать доверенный источник информации и обеспечит корректную работу российских информационных ресурсов и доступ к ним граждан».
«Что касается уточнения геолокации IP, то тут давно форменный всемирный балаган, – считает Вайцман. – Данные о распределении IP по сетям обновляются нерегулярно и некачественно. Некоторые пользователи «обратных VPN», которым надо в РФ, отмечали, что по данным российских и не только сервисов они находятся в ...Иране! Соответственно, «фиг им, а не госуслуги». Видимо (совершенно точно), такая же проблема есть и внутри РФ, когда условных воронежцев определяют иностранцами, вот и задергались. Раньше это никого не парило, а когда начали тотальное огораживание Рунета, то вылезла проблема».
Один из технических специалистов «Роскомсвободы» тоже считает, что это своего рода инвентаризация IP-адресов, поскольку до сего дня никто ничего в этом вопросе не изучал, не учитывал, и не всегда можно определить уже, кому в данный момент тот или иной IP принадлежит. Но, в то же время, эта инициатива может быть одним из звеньев работы по вышеобозначенному сканированию уязвимостей.
Другой наш эксперт говорит:
«По поводу «страновой принадлежности»... Это они хотят создать свой maxmind-db (aka geoip) «с нескучными обоями» (отсылка к истории с Bolgenos)».
На вопрос, могут ли потом базы IP использоваться для нарушения работы VPN-сервисов, которые подменяют сетевые адреса на иностранные, наши специалисты думают, что вряд ли. Об этом же говорит и Илья Вайцман:
«Я не думаю, что речь идет о блокировке IP узлов VPN, потому что в такой схеме проще сделать «по-туркменски»: обрубить внешний доступ вообще, оставив только белый список разрешенных сервисов».
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.