Служба реагирования на компьютерные инциденты рассказала о своей работе

25.03.2010

Служба реагирования на компьютерные инциденты рассказала о своей работе

Вопрос 1. Из каких соображений исходило АИС, принимая решение о создании данного Центра? Почему он создан именно в 2010 году, а не, к примеру, годом или двумя ранее?

Ответ:

Создание Службы реагирования на компьютерные инциденты явилось не сиюминутным решением, обусловленным какой-либо политической коньюктурой, а достаточно давно прорабатываемым вопросом.

Здесь необходимо отметить, что формирование подобных структур обусловлено социальными условиями в государстве. Здесь в расчет идет и техническое развитие в государстве сети Интернет, количество пользователей интернет-услуг, и заинтересованность государства в обеспечении безопасности предоставляемых услуг.

Исходя из этого можно отметить, что в последние годы АИС активно развивает государственный проект «электронное правительство». В его рамках юридические и физические лица начали получать «цифровую подпись» с использованием которой обеспечивается доступ к государственным услугам в режиме «он-лайн». Технологическое совершенствование провайдеров, которые начали предоставлять широкополосный интернет, повлекло за собой значительное увеличение в последние годы количество простых пользователей.

Соответственно, остро стали вставать вопросы обеспечения информационной безопасности, развития культуры общения пользователей в национальном сегменте сети Интернет.

В этой связи, с конца 2008 года Агентством начата подготовительная работа. В ее рамках осуществлен сбор и анализ мирового опыта в данной сфере, установлены контакты с аналогичными зарубежными Службами, в частности, Узбекистана, Южной Кореи, осуществлен обмен опытом.

На основании обобщенного опыта подготовлены предложения в Правительство, которые нашли поддержку.

В результате проведенной работы в декабре 2009 года идея создания Службы реагирования на компьютерные инциденты нашла свое практическое разрешение.

Вопрос 2. Что входит в сферу обязанностей сотрудников Центра, какими полномочиями они наделены? Какова кадровая численность, оснащенность? Планируется ли расширение центра, какие еще функции он будет выполнять?

Ответ:

14 декабря 2009 г. Агентством РК по информатизации и связи образована Служба по реагированию на компьютерные инциденты (CERT). Непосредственно целью Службы является профилактика и предотвращение различного рода угроз, связанных с использованием информационно-коммуникационных технологий. Применительно к национальному казахстанскому сегменту сети Интернет это означает, в первую очередь, оказание содействия пользователям, собственникам и владельцам общедоступных информационных ресурсов (интернет-ресурсов) и принятие мер, способствующих повышению уровня доверия и безопасности ИКТ.

В этой связи в задачи Службы входит прием и первичный анализ сообщений от пользователей Казнета в отношении обнаруженных ими в доменной зоне KZ или казахстанских хостингах интернет-ресурсов, содержащих вирусы или другой вредоносный код, программ, используемых для создания бот-сетей, или информации, явно нарушающей требования законодательства (пропаганда терроризма, порнография, нарушение авторских прав и т.п.). В рамках обозначенной компетенции CERT выступает контактной стороной для всех граждан, заинтересованных в чистоте и безопасности национального сегмента. Деятельность службы не предполагает дествий по блокировке интернет-ресурса, а лишь оповещение и содействие собственику или владельцу, оставляя за ним право окончательно решать как быть с размещенной информацией.

В задачи Службы также входит оказание технической консультативной поддержки правоохранительным органам.

Кадровый состав Службы находится в стадии формирования. К данному контингенту работников предъявляются достаточно жесткие требования с точки зрения профессиональной подготовки в сфере информатизации и информационной безопасности. К сожалению, в настоящее время работников необходимой квалификации не достаточно, но работа в данном направлении активно ведется.

Касаясь оснащенности Службы полагаем возможным сообщить, что в настоящее время завершается работа над созданием сайта, который будет являться не только средством для информирования пользователей об угрозах информационной безопасности, нести полезную для пользователей информацию по работе в сети, но и по сути являться средством обратной связи с национальными пользователями.

Вопрос 3. По каким критериям тот или иной ресурс попадает в «черный список» АИС, в каком нормативно-правовом акте они прописаны? Может ли центр по своему усмотрению прекратить существование какого-либо ресурса из «черного списка»? Сколько времени может понадобиться центру для закрытия, к примеру, радикального экстремистского сайта, на котором публикуются призывы к насильственному свержению власти и т.п.?

Ответ:

Необходимо отметить, что выражение «черный список» подразумевает динамический процесс работы с контентной угрозой (Контентная угроза - распространяемая в Интернете информация, восприятие или следование которой может нанести вред лицу, воспринявшему или последовавшему этой информации), к которым относятся материалы порнографического характера, а также экстремистской направленности.

Таким образом, фиксированного объема сайтов в казахстанском сегменте Интернета, подпадающего под нормы «черного списка» не существует.

Формирование т.н. «черного списка», подразумевает постоянный процесс работы с собственниками или администраторами сайтов, владельцами хостингов, но никак с не созданием и опубликованием некоего свода нежелательных для посещения ресурсов, что являлось бы своего рода «рекламой» для их владельцев, которая может провоцировать определенный интерес у отдельных категорий пользователей Интернета.

С ресурсами такого рода мы ведем профилактическую работу, а в случае, когда такие действия собственников интернет-ресурсов явно выходят за рамки закона, принимаем меры по закреплению факта нарушения и информирования правоохранительных органов.

Касаясь возможности Службы «по своему усмотрению прекратить существование какого-либо ресурса из «черного списка» необходимо отметить следующее.

В соответствии с законодательством Республики Казахстан (Закон «Об информатизации», статья 21) приостановление распространения информации по информационно-коммуникационным каналам возможно только на основании решения суда. Создаваемая Служба подобными полномочиями не наделена и ее деятельность не предполагает мероприятий по блокированию доступа к каким-либо Интернет-ресурсам.

Вместе с тем, собственники социальных сетей, как и Интернет-ресурсы другого формата, в обязаны соблюдать требования законодательства к распространяемой информации, о чем АИС будет информировать и настаивать в случае обнаружения фактов распространения в казахстанском сегменте вредоносного кода или противоправной информации.

Отдельно хотелось бы отметить, что законодательно определено, что решение суда о приостановлении или прекращении распространения продукции средств массовой информации, когда средством массовой информации является интернет-ресурс, имеет временные рамки (статья 21 Закона РК «Об информатизации»). В частности, приостановлении распространения продукции СМИ влечет запрет на использование доменного имени с тем же или дублирующим названием на срок не более трех месяцев. Прекращение распространения продукции СМИ влечет отмену регистрации доменного имени и запрет на использование в течение одного года доменного имени с тем же или дублирующим названием, регистрация которого ранее отменена решением суда.

Говоря о временных параметрах, можно отметить, что на основании судебного решения операторы связи, собственники интернет-ресурсов обладают возможностью приостановить либо прекратить распространение незаконной информации незамедлительно.

Вопрос 4. Как вы относитесь к идее общественного контроля за деятельностью центра?

Ответ:

В целом АИС всегда готово предоставить в установленном законодательством порядке информацию о направлениях своей деятельности.

В то же время, при оценке возможности доведения до общественности какой-либо информации о деятельности Службы Агентство исходит из следующего.

Вопросы информационной безопасности всегда носили и будут носить конфиденциальный характер.

Юридические лица, как правило, не заинтересованы в распространении информации в отношении компьютерных инцидентов, совершенных в их отношении, поскольку это подрывает имидж потерпевшей организации. В этой связи, распространение подобной информации будет осуществляться только с согласия этих пользователей.

Пользователи, которые сообщают о наличии в сети механизмов, незаконно функционирующих в сети Интернет (как было отмечено выше распространение программных продуктов, содержащих вирусы или другой вредоносный код, программ, используемых для создания бот-сетей, информации, явно нарушающей требования законодательства и т.д.) также заинтересованы в сохранении конфиденциальности.

Если Служба не обеспечит данный режим, то это не позволит обеспечить должный уровень взаимодействия с указанными категориями пользователей.

Кроме того, мы не можем делать достоянием гласности технические средства и методики, которые используются для обеспечения информационной безопасности поскольку это повысит уровень риска совершения правонарушения.

Как уже было отмечено, не будут публиковаться т.н. «черные списки».

Вопрос 5. Некоторые политологи связывают появление такого центра с попыткой властей создать информационную блокаду в сети оппозиционных политологов и бизнесменов, которые через интернет из-за рубежа пытаются воздействовать на казахстанскую аудиторию. Насколько правдоподобна эта точка зрения?

Ответ:

Как уже было отмечено выше, основные задачи CERT сводятся к созданию контактной стороны для всех граждан, заинтересованных в чистоте и безопасности национального сегмента, доведении до пользователей информации о существующих угрозах информационной безопасности.

Необходимо отметить, что создание Службы реагирования на компьютерные инциденты является обычной практикой во многих государствах.

Так в США уже сейчас существуют шесть центров быстрого реагирования на киберпреступления, которые планируется соединить друг с другом в единую федеральную сеть. Подобные структуры успешно функционируют в Южной Корее и Китайской Народной Республике, России и Узбекистане, европейских государствах.

Более того, наиболее технологически развитые государства уже сейчас начинают формирование систем раннего оповещения о проникновении злоумышленников, предполагающих достаточно серьезные вещи: просмотре и анализе трафика, проходящего через правительственные сети, а также предупреждении администраторов, если что-то пойдет не так.

В этой связи, увязывать мировую практику формирования системы информационной безопасности государства с «созданием информационной блокады» представляется некорректным.

Вопрос 6. Какие рычаги есть у АИС и центра для воздействия на деструктивные для Казахстана сайты, хостящиеся за пределами Казнета? С аналогичными центрами каких стран вы налаживаете сотрудничество?

Ответ:

Как уже было отмечено, основные усилия Агентства сконцентрированы на мониторинге деятельности Интернет-ресурсов, имеющих принадлежность к домену «KZ» или хостинг на территории РК. В отношении ресурсов расположенных за пределами РК нами налаживается взаимодействие и обмен информацией с соответствующими профильными зарубежными структурами.

В рамках разворачивания работы Службы планируется обеспечить взаимодействие с международными организациями INHOPE, другими службами реагирования (CSIRT) по указанным вопросам.