Деятельность центров реагирования на компьютерные инциденты: опыт зарубежных стран

На сегодняшний день в мире создано много специальных организаций и экспертных групп, занимающихся изучением компьютерных инцидентов и регистрацией жалоб на преступные действия в Интернете, выступающих своеобразным «мостиком» между пользователями Интернет и специальными государственными организациями, занимающимися вопросами борьбы с киберпреступностью и интернет-мошенничеством, в частности.

Одним из ведущих центров в мире, безусловно, является Центр по жалобам в сети Интернет (Internet Crime Complaint Center — IC3), который находится в США и координирует работу государственных агентств, получая и исследуя жалобы на мошеннические и подозрительные действия в Интернет-пространстве с последующим перенаправлением этой информации федеральным, государственным, местным и международным правоохранительным органам для решения вопроса о возбуждении уголовных дел и уголовное преследование лиц, совершивших преступные действия в сети Интернет.

IC3 действует в тесном сотрудничестве с Центром исследования биловоротничковой преступности (National White Collar Crime Center-NW3C), Федеральном бюро расследования (the Federal Bureau of Investigation — FBI) и Бюро юридической помощи департамента Юстиции США (Bureau of Justice Assistance-BJA) [ 1].

Кроме IC3, мы можем выделить три основных вида экспертных групп, существующих в мире, и занимаются изучением компьютерных инцидентов, а именно:
1) компьютерные группы реагирования на чрезвычайные ситуации (Computer Emergency Response Team, CERT)
2) команды компьютерной безопасности по реагированию на инциденты (Computer Security Incident Response Team, CSIRT)
3) компьютерные команды экстренной готовности (Computer Emergency Readiness Team).

Кроме того, в мире уже созданы международные объединения CSIRT / CERT центров, такие как Forum of Incident Response and Security Teams (FIRST) — Коалиция центров реагирования на компьютерные инциденты; и Trusted Introducer — сообщество, объединяющее европейские команды реагирования на инциденты информационной безопасности.

Первый координационный центр CERT (CERT Coordination Center, CERT / CC) был создан в ноябре 1988 года в Институте программного обеспечения и технических наук (SEI) Университета Карнеги-Меллона (г. Питтсбург, США), после того, как так называемый «червь Морриса »поразил компьютеры Агентства по перспективным оборонным научно-исследовательским разработкам Министерства обороны США (Defense Advanced Research Projects Agency — DARPA) [2].

Необходимо отметить, что вопрос создания системы обмена информацией о кибератаках и киберугрозах через деятельность национальных центров реагирования на компьютерные инциденты остро стоит на повестке дня, о чем свидетельствуют недавние Указы Президентов России и США по этому вопросу.
Так, 15 января 2013 Президент России подписал Указ № 31с «О создание госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».

Все полномочия по созданию данной системы, разработке методики выявления атак, обмена информацией между государственными органами об инцидентах информационной безопасности, оценку степени защищенности критической информационной инфраструктуры возложены на ФСБ [8].

12 февраля 2013 президент США Барак Обама подписал указ «О мерах по укреплению кибербезопасности критических инфраструктур» (Executиve Order — Иmprovиng Crиtиcal Иnfrastructure Cybersecurиty) и «Директива об обеспечении безопасности и устойчивости критических инфраструктур» (Presиdentиal Polиcy Dиrectиve — Crиtиcal Иnfrastructure Securиty and Resиlиence) .

Данный Указ продолжил последовательно реализованную последние годы стратегию американских ведомств по повышению уровня защищенности американских критических инфраструктур. Данный указ состоит из 6 — ти направлений, которые будут реализовываться различными агентствами и федеральными структурами, одним из которых также является обмен информацией о киберугрозы [9].

Таким образом, опыт ведущих стран мира по собиранию, исследованию и обмена информацией о компьютерных инцидентах и киберугрозы вполне можно использовать и в Украине путем создания Базы данных интернет-инцидентов и Центра жалоб Интернет-преступности по аналогии с IC3 (Internet Crime Complaint Center — США) и RU CERT (Центр реагирования на компьютерные инциденты Российской Федерации) и др..

1. The Internet Crime Complaint Center (IC3) [the Electronic resource]. -Оfficial site. – the Mode of access: http://www.ic3.gov.
2. CERT Coordination Center (CERT/CC) [the Electronic resource]. -Оfficial site. – the Mode of access: http://www.cert.org/certcc.html.
3. United States Computer Emergency Readiness Team (US-CERT) [the Electronic resource]. — Оfficial site. – the Mode of access: http://www.us-cert.gov.
4. Центр реагирования на компьютерные инциденты Российской Федерации RU-CERT [Электронный ресурс]. — Официальный сайт. – Режим доступа: http://www.cert.ru.
5. Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB [Электронный ресурс]. — Официальный сайт. – Режим доступа: http://www.cert-gib.ru.
6. Компания Group-IB [Электронный ресурс]. – Официальный сайт. — Режим доступа: http://www.group-ib.ru/index.php/o-kompanii/15-o-group-ib
7. Центр реагирования на компьютерные инциденты в информационно-телекоммуникационных системах органов государственной власти Российской Федерации GOV-CERT.RU [Электронный ресурс]. – Официальный сайт. — Режим доступа: http://www.gov-cert.ru.
8. О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: Указ Президента РФ от 15.01.2013 № 31 с [Электронный ресурс]. – Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=140909
9. Executіve Order — Іmprovіng Crіtіcal Іnfrastructure Cybersecurіty 12.02.13// [the Electronic resource] – the Mode of access: http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity