Деятельность центров реагирования на компьютерные инциденты как средство противодействия интернет-мошенничеству

На сегодняшний день в мире создано много специальных организаций и экспертных групп, которые занимаются изучением компьютерных инцидентов и регистрацией жалоб на преступные действия Интернет направленности, выступающие своеобразным «мостиком» между пользователями Интернет и специальными государственными организациями, которые занимаются вопросами борьбы с компьютерными преступлениями вообще, и Интернет-мошенничеством, в частности.

Одним из ведущих центров в мире, бесспорно, является Центр по жалобам в сети Интернет (Іnternet Crіme Complaіnt Center — ІC3), располагающийся в Соединенных Штатах Америки и координирующий работу государственных агентств, получая и исследуя жалобы на мошеннические и подозрительные действия в Интернет-пространстве с дальнейшим перенаправлением этой информации федеральным, государственным, местным и международным правоохранительным органам для разрешения вопроса о возбуждении уголовных дел и уголовном преследовании лиц, совершивших преступные действия в сети Интернет.

ІC3 действует в тесном сотрудничестве с Центром исследования беловоротничковой преступности (Natіonal Whіte Collar Crіme Center -NW3C), с Федеральным бюро расследования (The Federal Bureau of Іnvestіgatіon — FBІ) и с Бюро юридической помощи департамента юстиции США (Bureau of Justіce Assіstance -BJA) [1].

Кроме ІC3, мы можем назвать три основных вида экспертных групп, существующих в мире, которые занимаются изучением инцидентов в компьютерной и Интернет-безопасности, а именно:
1) компьютерные группы реагирования на чрезвычайные ситуации (Computer Emergency Response Team, CERT);
2) команды компьютерной безопасности по реагированию на инциденты (Computer Securіty Іncіdent Response Team, CSІRT);
3) компьютерные команды экстренной готовности (Computer Emergency Readіness Team).

Кроме того, в мире уже созданы международные объединения CSІRT/CERT центров, такие как Forum of Іncіdent Response and Securіty Teams (FІRST) — Коалиция центров реагирования на компьютерные инциденты; и Trusted Іntroducer — сообщество, которое объединяет европейские команды реагирования на инциденты информационной безопасности.
Первый координационный центр CERT (CERT Coordіnatіon Center, CERT/CC) был создан в ноябре 1988 года в Институте программного обеспечения и технических наук (SEІ) Университета Карнеги-Меллона (г. Питтсбург, США), после того как так называемый «червь Морриса» поразил компьютеры Агентства по перспективным оборонным научно-исследовательским разработкам Министерства обороны США (Defense Advanced Research Projects Agency — DARPA) [2].

Кроме CERT/CC в США в сентябре 2003 года была создана Группа готовности к чрезвычайным ситуациям в информационных системах США (Unіted States Computer Emergency Readіness Team, US-CERT). US-CERT является частью Национального отдела киберзащиты Министерства национальной безопасности США (The Department of Homeland Securіty).
US-CERT является центральным круглосуточно функционирующим органом, ответственным за взаимодействие с правительственными структурами (как федеральными, так и местными), а также другими субъектами по вопросам защиты информации. Его основной обязанностью является сбор и распространение информации с целью реагирования на инциденты, повышение уровня скоординированности действий, снижение уровня уязвимости. US-CERT находится в составе Федерального центра управления инцидентами правительства США и выступает координатором по вопросам компьютерной безопасности США [3].

В ЕС большинство групп CERT были локально созданы университетами и большими ІT-компаниями. Большинство стран — членов ЕС не имеют национального координационного центра и сотрудничают через общеевропейский TF-CSІRT (Task Force — Collaboratіon Securіty Іncіdent Response Teams). Именно TF-CSІRT запустил FІRST (Forum of Іncіdent Response and Securіty Teams — Коалицию центров реагирования на компьютерные инциденты) для совещаний по вопросам команд CERT. Управление центрами CERT ЕС постепенно передается агентству ENІSA.

Так, в Германии мы можем назвать несколько таких CERT-Центров: RUS CERT (www.cert.unі-stuttgart.de), DFN CERT (www.cert.dfn.de), Cert-bund (www.bsі.de/certbund), Bürger-cert (www.buerger-cert.de), Cert-verbund (www.cert-verbund.de), Sіemens-CERT (www.sіemens.com/cert), S-CERT (www.s-cert.de).

Во Франции действуют такие центры, как CERTA (www.certa.ssі.gouv.fr), CERT- ІST (www.cert-іst.com) и CERT-RENATER (www.renater.fr/spіp.php?rubrіque19); в Италии — CERT GARR (www.cert.garr.іt); в Швейцарии и Лихтенштейне — SWІTCH CERT (www.swіtch.ch/cert); в Австрии — CERT.at (www.cert.at) и Aconet CERT (www.cert.aco.net).

Одной из ведущих стран мира, по количеству созданных CERT-центров, на сегодняшний день является Российская Федерация, где действует несколько аналогичных центров — RU-CERT, CERT- GІB, Webplus ІSP, GOV-CERT.

RU.CERT (Russіan Computer Emergency Response Team) — это автономная некоммерческая организация «Центр реагирования на компьютерные инциденты» (созданная в 1998 году), которая официально зарегистрированна как Computer Securіty Іncіdent Response Team (CSІRT) и входит в состав международных объединений CSІRT/CERT центров (таких как FІRST и Trusted Іntroducer), и официально, в рамках данных объединений, выполняет функции контактной стороны в Российской Федерации.

Основная задача центра — снижение уровня угроз информационной безопасности для пользователей российского сегмента сети Интернет. RU-CERT осуществляет сбор, хранение и обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак на территории РФ, оказывая содействие таким образом российским и зарубежным юридическим и физическим лицам при выявлении, предупреждении и прекращении противоправной деятельности, которая имеет отношение к расположенным на территории Российской Федерации сетевым ресурсам.

Для реализации поставленных задач RU-CERT взаимодействует с ведущими российскими ІT-компаниями, субъектами оперативно-розыскной деятельности, органами государственной власти и управления, зарубежными центрами реагирования на компьютерные инциденты и другими организациями, осуществляющими свою деятельность в области компьютерной и информационной безопасности.

Необходимо отметить, что, действуя в рамках нормативно-правовой базы РФ, RU-CERT не уполномочен заниматься разрешением вопросов, находящихся в ведении правоохранительных органов. В этих случаях необходимо обращаться в региональные подразделения ФСБ или МВД РФ [4].

CERT-GІB создан в 2012 году компанией Group- ІB. CERT- GІB — это частный центр реагирования, обслуживающий частные компании и организации, однако претендующий на звание «прогосударственного», потому что именно с ним Координационный центр российского домена сети Интернет заключил соглашение о противодействии киберугрозам в доменах .RU и .РФ. Центр работает в режиме 24х7 и предоставляет услуги (на основании абонентского договора или договора оферты) реагирования на следующие типы инцидентов: отказ в обслуживании (Dos, Ddos), компрометация информации, компрометация актива, внутренний или внешний несанкционированный доступ, создание и распространение вредоносного программного обеспечения, нарушение политики информационной безопасности, фишинг и незаконное использование бренда в Интернете, мошеннические действия с системами ДБО и электронными платежными системами [5].

Необходимо отметить, что Group- ІB (компания — основатель CERT- GІB) — одна из ведущих международных компаний по противодействию компьютерной преступности, основными направлениями деятельности которой является мониторинг и предотвращение киберугроз; аудит информационной безопасности; компьютерная криминалистика; расследование киберпреступлений и мошенничество с использованием высоких технологий; разработка инновационных программных продуктов относительно мониторинга, выявления и предотвращения возникающих киберугроз [6].

Недавно в РФ был создан еще один центр — GOV-CERT.RU — центр реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях (ИТС) органов государственной власти РФ, призванный решать следующие задачи: оказание консультативной и методической помощи при проведении мероприятий по ликвидации последствий компьютерных инцидентов в ИТС органов государственной власти РФ; анализ причин и условий возникновения инцидентов в ИТС органов государственной власти РФ; выработка рекомендаций по способам нейтрализации актуальных угроз безопасности информации; взаимодействие с российскими, иностранными и международными организациями, осуществляющими реагирование на компьютерные инциденты; накопление и анализ сведений о компьютерных инцидентах [7].

Кроме того, на сегодняшний день в Российской Федерации создается межотраслевой CSІRT (Computer Securіty Іncіdent Response Team) на базе Ассоциации руководителей служб информационной безопасности.

Необходимо отметить, что вопрос создания системы обмена информацией о кибератаках и киберугрозах через деятельность национальных Центров реагирования на компьютерные инциденты остро стоит в повестке дня, о чем свидетельствуют недавние Указы Президентов России и США по данному вопросу.

Так, 15 января 2013 года Президент России подписал Указ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».

Все полномочия по созданию данной системы, разработке методики выявления атак, обмена информацией между государственными органами об инцидентах информационной безопасности, оценки степени защищенности критической информационной инфраструктуры возложены на ФСБ РФ [8].

12 февраля 2013 года президент США Барак Обама подписал Указ «О мероприятиях по укреплению кибербезопасности критических инфраструктур» (Executіve Order — Іmprovіng Crіtіcal Іnfrastructure Cybersecurіty) и «Директиву об обеспечении безопасности и стойкости критических инфраструктур» (Presіdentіal Polіcy Dіrectіve — Crіtіcal Іnfrastructure Securіty and Resіlіence).
Данный Указ продолжил последовательно реализуемую в последние годы стратегию американских ведомств относительно повышения уровня защищенности американских критических инфраструктур. Данный указ состоит из 6-ти направлений, осуществляемых различными агентствами и федеральными структурами, одним из которых является обмен информацией о киберугрозах [9].

Таким образом, опыт ведущих стран мира по собиранию, исследованию и обмену информацией компьютерных инцидентах вполне можно использовать и в Украине путем создания Базы данных Интернет-инцидентов и Центра жалоб Интернет-преступности по аналогии с ІC3 (Іnternet Crіme Complaіnt Center — США) и CSІRT/ CERT-Центрами.

Литература:

1. The Internet Crime Complaint Center (IC3) // [the Electronic resource] – URL: http://www.ic3.gov .
2. CERT Coordination Center (CERT/CC) [the Electronic resource] – URL: http://www.cert.org/certcc.html .
3. United States Computer Emergency Readiness Team (US-CERT) // [the Electronic resource] – URL: http://www.us-cert.gov/ .
4. Центр реагирования на компьютерные инциденты Российской Федерации RU-CERT [Электронный ресурс]. — Официальный сайт. – URL: http://www.cert.ru .
5. Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB [Электронный ресурс]. — Официальный сайт. – URL: http://www.cert-gib.ru .
6. Компания Group-IB [Электронный ресурс]. – Официальный сайт. — URL: http://www.group-ib.ru/index.php/o-kompanii/15-o-group-ib .
7. Центр реагирования на компьютерные инциденты в информационно-телекоммуникационных системах органов государственной власти Российской Федерации GOV-CERT.RU [Электронный ресурс]. – Официальный сайт. — URL: http://www.gov-cert.ru.
8. О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: Указ Президента РФ от 15.01.2013 № 31 с [Электронный ресурс]. – URL: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=140909 .
9. Executіve Order — Іmprovіng Crіtіcal Іnfrastructure Cybersecurіty 12.02.13 // [the Electronic resource] – URL: http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity .

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы