Обновлял тут презентацию по построению национального центра мониторинга кибербезопасности и решил проанализировать, как регуляторы разных стран отреагировали на последние эпидемии WannaCry и Petya/Nyetya.
Традиционно американцы считаются законодателями мод в области кибербезопасности (хотя их, по их же словам, русские и китайские хакеры ломают в хвост и гриву). Как же отреагировали множественные американские государственные и отраслевые регуляторы, имеющие отношение к информационной безопасности? Получается такая картина:
- US-CERT - 12 мая появился полноценный бюллетень с описанием WannaCry, индикаторами компрометации, правилами YARA и т.п. Потом бюллетень многократно обновлялся. Про Petya американский государственный CERT отписался 1-го июля.
- ICS-CERT - 15 мая был опубликован бюллетень, посвященный обзору WannaCry применительно к промышленным системам. Про Petya ICS-CERT опубликовал бюллетень 30 июня, на день раньше US-CERT.
- NCCIC про WannyCry выпустил обзор 2 июня.
- ФБР - 13 мая опубликован бюллетень с индикаторами компрометации для WannaCry, а 3 июля для Petya .
- SEC (Комиссия по ценным бумагам) выпустила бюллютень про WannaCry 17 мая.
- FTC отметилась 15 мая заметкой про WannaCry в своем блоге; про Petya - молчок.
- АНБ публично выпустило бюллютень про WannaCry в первый рабочий день после начала эпидемии, 15 мая. Про Petya их бюллетеней не нашел.
- DHS опубликовал пресс-релиз про WannaCry в день начала эпидемии, 12 мая, а про Petya - 28 июня .
- FCC (Федеральная коммуникационная комиссия, аналог нашего Минкомсвязи) никак не отреагировала на WannaCry и Petya.
- FINRA никак не отреагировала на атаки шифровальщиков.
- ABA (Ассоциация американских банков) распространила среди своих членов бюллетень о Petya 5 июля, а о WannaCry - 15 мая.
- Различные ISAC (Innformation Sharing and Analysis Center) также распространили соответствующие уведомления о WannaCry и Petya/Nyetya (я получил анонсы от FS-ISAC, MS-ISAC, IT-ISAC).
В Старом Свете ситуация с уведомлениями была схожей - кто-то оперативно и публично уведомил пользователей, а кто-то промолчал и молчит до сих пор (возможно, делая рассылки по закрытым спискам или публикуя уведомления на закрытых порталах):
- Английский NCSC 13 мая отделался общими фразами о существовании WannaCry, но уже 14 мая выпустил два руководства по отражению WannaCry для домашних пользователей и малого бизнеса , а также для корпоративных заказчиков . Про Petya NCSC до сих пор ничего не написал, кроме упоминания в еженедельном обзоре событий безопасности.
- CPNI, занимающийся в Великобритании защитой критической инфраструктуры, публично никак не отреагировал на эпидемии шифровальщиков.
- Европейское агентство по ИБ ENISA отчиталось о WannaCry подробным отчетом 15 мая, а по Petya никакой информации нет до сих пор.
- Европейский CERT-EU выпустил первую версию бюллетеня по WannaCry в день начала эпидемии - 12 мая, а по Petya - 28 июня.
Уведомление ГосСОПКИ мне понравилось. Тут и индикаторы компрометации, и YARA-правила (от Касперского), и сигнатуры Snort (если не ошибаюсь, от Positive Technologies). А еще ГосСОПКА не чурается использовать международно признанные стандарты в области Threat Intelligence - YARA, TLP, хеши по SHA1/SHA256/MD5 (это вообще забавно, когда ГосСОПКА, созданная 8-м Центром ФСБ, активно насаждающем российские криптоалгоритмы, в своей работе использует алгоритмы западные, а точнее американские :-). Постепенно вырисовывается то, что осталось за рамками методических рекомендаций по созданию центров ГосСОПКИ, о чем я писал ранее.
Выводов из этой картины я бы мог сделать несколько:
- В России не хватает национальных CERTов, которые бы эффективно могли отрабатывать такие глобальные эпидемии и оперативно делиться со всеми (а не в рамках закрытого информационного обмена как у ГосСОПКА или FinCERT) информацией об индикаторах компрометации и способах нейтрализации угроз. С частными CERTами ситуация неочевидная - GIB-CERT вообще ничего на своем сайте не публикует (возможно рассылая информацию по платной подписке), а вот Лаборатория Касперского через свой промышленный ICS-CERT опубликовала отчет по WannaCry 14 мая.
- Регуляторы, устанавливающие требования по ИБ, практически никогда оперативно не выпускают уведомления о глобальных угрозах, запаздывая на несколько дней, а то и недель. Более того, они никогда (почему-то) не ссылаются на разработанные ими же документы, требования и рекомендации. То есть получается, что "бумажные требования" живут своей жизнью, имеющей мало общего с реальностью, а конкретные рекомендации даются без какой-либо привязки к ранее разработанным документам (и зачем они тогда нужны). В России исключением стала только ФСТЭК, которая в своем информационном сообщении сослалась на свои приказы с требованиями по защите.
- В России регуляторы по-прежнему не умеют коммуницировать с целевой аудиторией по вопросам ИБ. Я как-то про это уже писал и вижу, что ситуация с мертвой точки за это время так и не сдвинулась. А ведь и WannaCry и Petya/Nyetya могли стать отличными инфоповодами для регуляторов, которые могли бы обратить внимание аудиторию на существующие проблемы в ИБ и способы их решения; да и про собственный PR не забыть. Хотя про PR некоторые из них иногда помнят, а про помощь своим подопечным нет... :-(
- В России по-прежнему любят секретить все, что только можно. Закрытые рассылки, закрытые порталы, закрытые мероприятия, включая, онлайн... И ситуация лучше не становится. Тот же законопроект по безопасности критической инфраструктуры, принятый во втором чтении, в котором так и осталась норма об отнесении информации о мерах защиты и состоянии защищенности критических инфраструктур к гостайне. И зачем так закручивать гайки?