В последние годы количество атак на цифровые ресурсы резко возросло. Как поделился статистикой в своем докладе представитель Минцифры Ростовской области на , только в Ростовской области за 2022 год было отражено свыше 900 DDoS-атак, выявлено около 2 000 инцидентов информационной безопасности и заблокировано более 250 хакерских проникновений. Подобная активность злоумышленников связана как с общей цифровизацией, так и с геополитической обстановкой. Без центра мониторинга регион рискует не успевать реагировать на такие массовые угрозы.
Многие кибератаки нацелены на важные объекты – от систем управления городским транспортом до больниц и объектов энергетики. Последствия успешной атаки на такие системы могут быть серьёзными, например сбой работы служб или утечка конфиденциальных данных. Региональный центр мониторинга информационной безопасности (РЦМ ИБ) необходим, чтобы удерживать «оборону» на местном уровне: своевременно обнаруживать попытки проникновения в сети органов власти и объектов критической информационной инфраструктуры (КИИ) и предотвращать их. Таким образом, он защищает и региональную экономику, и безопасность граждан.
Что такое региональный центр мониторинга информационной безопасностиРЦМ ИБ – это специализированное подразделение, отвечающее за круглосуточное наблюдение за состоянием информационных систем региона и реагирование на киберинциденты. Проще говоря, это своего рода «кибер-дозор» региона, который 24/7 следит за атаками и сразу принимает меры для их отражения. Эксперты центра собирают и анализируют данные с различных устройств в сети, выявляя подозрительную активность, и при обнаружении угрозы действуют на опережение, чтобы предотвратить атаку. Таким образом, РЦМ ИБ выполняет функции Security Operations Center (SOC) на региональном уровне.
В различных учреждениях часто используются разрозненные системы защиты, что не позволяло сформировать целостное представление о текущей ситуации до создания соответствующего центра. РЦМ ИБ позволяет собрать информацию обо всех инцидентах в одном месте и координировать ответные действия. Специалисты центра обмениваются данными между собой и, при необходимости, привлекают федеральные структуры, что значительно повышает эффективность борьбы с киберугрозами. В итоге, удаётся быстрее нейтрализовать атаки и минимизировать ущерб.
На федеральном уровне введены нормативы по обеспечению кибербезопасности. В частности, после принятия закона о безопасности критической информационной инфраструктуры (187-ФЗ) регионы обязаны категорировать объекты КИИ и обеспечивать их защиту. Создание РЦМ ИБ – логичный шаг для выполнения этих требований. Он позволяет централизованно реализовывать меры, предусмотренные государственными программами в сфере информационной безопасности. Например, в рамках национального проекта «Цифровая экономика» многие регионы запланировали открытие таких центров.
Основные задачи регионального центра мониторинга информационной безопасности- Мониторинг и обнаружение угроз. Центр непрерывно (в режиме 24/7) отслеживает события безопасности в сетях органов власти и важных учреждений региона. Это позволяет как можно раньше заметить попытки взлома или вирусные атаки.
- Анализ инцидентов. Если выявляется подозрительное событие, аналитики центра оценивают его – есть ли реальная угроза, каков характер атаки и степень опасности.
- Реагирование и локализация. При подтверждении киберинцидента специалисты немедленно предпринимают шаги для его устранения: блокируют вредоносный трафик, отключают поражённые узлы, устанавливают защитные патчи и и проводят иные мероприятия согласно плана реагирования на инцидент.
- Предотвращение и профилактика. Центр не только реагирует на инциденты, но и исследует их причины, чтобы не допустить повторения. По итогам расследований разрабатываются рекомендации для усиления защиты систем в будущем.
- Консультация и поддержка. Региональный SOC часто служит методическим центром – помогает другим учреждениям настроить средства защиты, обучает сотрудников основам кибербезопасности и распространяет лучшие практики.
Примером РЦМ ИБ является подразделение, созданное в структуре ГБУ РО «Региональный центр информационных систем» Ростовской области. Этот центр мониторинга и реагирования на инциденты обслуживает информационные системы органов власти Ростовской области, выступая единым пунктом наблюдения и защиты от кибератак в регионе.
Как устроен региональный центр мониторинга информационной безопасности (на примере Ростовской области)В Ростовской области региональный центр мониторинга информационной безопасности развёрнут на базе ГБУ РО «Региональный центр информационных систем» (РЦИС). По сути, РЦИС – это областная ИТ-служба, а центр мониторинга ИБ является её частью. В центре сформирована команда специалистов по кибербезопасности. Используются сертифицированные программные продукты и отечественные решения для анализа трафика, обнаружения вторжений и сбора логов со всего ИТ-периметра Правительства области. При выявлении инцидента информация о нем поступает дежурной смене, и та незамедлительно приступает к реагированию.
Ростовский центр активно сотрудничает с федеральными органами, отвечающими за кибербезопасность. Например, налажено взаимодействие с Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам. Это помогает в обмене опытом и контроле за защитой объектов КИИ. Кроме того, центр интегрирован с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак (ГосСОПКА). Через Национальный координационный центр по компьютерным инцидентам (НКЦКИ) передаются сведения о наиболее серьёзных атаках, и при необходимости привлекаются ресурсы ФСБ для отражения угроз федерального уровня. Таким образом, региональный SOC не действует в одиночку, а является элементом общей сети кибербезопасности страны.
Примеры из других регионовОпыт создания центров мониторинга ИБ успешно реализуется и в других регионах России. Вот два показательных примера:
- Приморский край. В Приморье работает круглосуточный центр мониторинга ИБ. Он обеспечивает защиту областных информационных ресурсов, отслеживая попытки вторжений и вирусные инциденты. с его помощью было выявлено более 45 млн. вредоносных, скомпрометированных или зараженных доменов и IP-адресов, отражено более 2 млн. атак на веб-ресурсы Правительства Приморского края.
- Краснодарский край. В Краснодарском крае Центр мониторинга информационной безопасности на базе краевого Центра информационных технологий. Он стал узловым звеном ГосСОПКА для органов власти Кубани. Результаты не заставили себя ждать: уже через пару лет количество киберинцидентов в регионе удалось снизить в 7 раз (сравнивая показатели 2024 года с 2022-м). Другими словами, благодаря работе центра число успешных атак существенно упало. Опыт Краснодарского края показывает, что наличие собственного SOC сильно повышает киберустойчивость региона и снижает ущерб от атак.
Стоит добавить, что аналогичные центры создаются и в других субъектах РФ – от Московской и Саратовской областей до республик Казань (Татарстан) и др. Везде цель одна: защитить региональные информационные системы и данные жителей от новых киберугроз.
Аутсорс без создания структурыСоздание полноценного регионального центра мониторинга ИБ — ресурсоёмкий и длительный процесс, особенно с учётом дефицита профильных специалистов. Альтернативой или временным решением для многих регионов становится аутсорсинг. Такую модель уже применяют крупные ИТ-компании и органы власти. Это демонстрирует жизнеспособность модели, когда стартовые ИБ-функции в регионе поручаются сторонним экспертам, а со временем центр выстраивается уже внутри региона, опираясь и дополняя внешний опыт.
ПерспективыПерспективы развития подобных центров весьма обнадеживающие. С каждым годом растёт объем локальных данных и сервисов, которые нужно защищать – от электронных услуг для населения до элементов «умных городов». Региональные центры будут расширять свои возможности: внедрять отечественные решения безопасности, использовать элементы искусственного интеллекта для анализа аномалий, совершенствовать системы оповещения. В Ростовской области, например, в 2023 году было начато внедрение новых методов работы центра мониторинга в ответ на возросший уровень атак, подобные шаги позволяют оставаться на шаг впереди злоумышленников.
ЗаключениеПоложительный опыт Ростовской области, Приморского края и Краснодарского края подтверждает, что такие центры значительно снижают количество ИБ-инцидентов и повышают устойчивость регионов к атакам. Таким образом мы можем определить ключевые шаги по созданию РЦМ ИБ:
- Провести оценку текущих рисков и критических точек в региональной ИТ-инфраструктуре.
- Определить модель запуска — собственный центр или временный аутсорсинг с последующим переходом на внутренние мощности.
- Организовать техническую базу и интеграцию с федеральными системами.
- Подготовить и обучить штат специалистов, а также закрепить ответственных в подключённых структурах.
- Внедрить постоянный мониторинг и процедуру оптимизации мер защиты.
Такая последовательность позволит региону выстроить эффективную систему киберзащиты и быть готовым к отражению даже самых сложных атак.
Источник:
