Семінар з ІБ 14.11.2014. Результати

19/11/2014

За ініціативи Державного центру захисту інформаційно-телекомунікаційних систем Держспецзв’язку (далі – ДЦЗ ІТС), керуючись дорученням Віце-прем’єр-міністра України – міністра регіонального розвитку, будівництва та житлово-комунального господарства України від 07.11.2014 № 40493/1/1-14, фахівцями Команди реагування на комп’ютерні надзвичайні події України CERT-UA (що функціонує на базі ДЦЗ ІТС) 14.11.2014 вжито заходів з проведення практичного семінару з інформаційної безпеки для представників центральних органів виконавчої влади України, а також Адміністрації Президента України, Верховної Ради України, Генеральної прокуратури України і Ради національної безпеки і оборони України.

Загалом участь у заході взяли 110 представників органів державної влади України; загальна кількість представлених відомств склала 75. Тривалість заходу – 3 години 20 хвилин.

Перелік висвітлених питань, а також стислі висновки по кожному з них наведено нижче.

 

1. Загальна інформація щодо CERTUA

Учасників проінформовано про місце, роль, місію, функціональні обов’язки та технічні можливості CERT-UA. Надано коротку статистику щодо інцидентів інформаційної безпеки, а також загроз (атак), інтенсивність яких підвищилася у період з січня по листопад 2014 року (зокрема, цілеспрямовані зломи комп’ютерних мереж та відомчих інформаційно-телекомунікаційних систем, випадки шпигунської і/або розвідувальної діяльності, здійснюваної за допомогою спеціалізованого програмного забезпечення, масові ураження шкідливими програмами, реалізовані за допомогою електронної пошти і SMS-повідомлень, DDoS-атаки та удосконалення механізмів їх реалізації). Окрім зазначеного ще раз розтлумачено вимоги наказу Адміністрації Держспецзв’язку від 10.06.2008 № 94 і наголошено на необхідності оперативного інформування про несанкціоновані дії спрямовані проти державних інформаційних ресурсів, комп’ютерних мереж і систем .

 

 

2. Оцінка стану захищеності державних інформаційних ресурсів (Оцінка)

Присутніх повідомлено про вимоги наказу Адміністрації Держспецзв’язку від 04.07.2008 № 112, відповідно до якого ДЦЗ ІТС здійснює безоплатне оцінювання стану захищеності відомчих комп’ютерних систем і мереж (аудит інформаційної безпеки) на предмет виявлення технічних вразливостей та аналізу можливості їх експлуатації зловмисниками з метою порушення штатного режиму функціонування. Зроблено акцент на відсутності будь-яких негативних наслідків від проведення Оцінки (з метою уникнення випадків випадкової асоціації заходів з Оцінки з такими заходами, як «інспекція» та «перевірка») і наголошено на дотриманні ДЦЗ ІТС принципу нерозголошення третім особам інформації, отриманої по результатам проведеної Оцінки. Присутнім рекомендовано взяти до уваги, що у січні кожного року формується річний план проведення Оцінок і що відповідно до наказу № 112, у разі виявлення бажання щодо проведення Оцінки, відомство має письмово звернутись з приводу зазначеного до Голови Держспецзв’язку (шаблон запиту може бути наданий окремо). На мал. 1 відображено деяку інформацію стосовно Оцінки.

 

Picture1

Мал. 1

 

3. Безпечність електронного поштового обміну

На прикладі комп’ютерних інцидентів, що мали місце цього року і були пов’язані з витоком інформації в результаті злому електронних поштових скриньок і/або поштових серверів, фахівцями CERT-UA представлено основні недоліки, що допускаються при налаштуваннях серверного обладнання і побудові самого процесу обміну електронними повідомленнями. З огляду на зазначене учасникам семінару рекомендовано вжити заходів з убезпечення процесу обміну електронними повідомленнями, а саме:

 

— використовувати виключно ті поштові протоколи, що підтримують шифрування даних;

— впровадити шифрування електронних повідомлень за допомогою існуючого відкритого програмного забезпечення (GnuPG).

 

«Модель загроз» для електронної пошти, у розрізі основних векторів атак, відображено на мал. 2.

 

Picture3

Мал. 2

 

4. Програмне забезпечення іноземного виробництва

Беручи до уваги факт забезпечення відомчих інформаційно-телекомунікаційних систем, а також мереж об’єктів критичної інформаційної інфраструктури України, програмним забезпеченням іноземного виробництва (навіть, незважаючи на наявність експертного висновку), фахівцями CERT-UA рекомендовано вживати поступових заходів щодо адаптації використання програмного забезпечення з відкритим кодом для забезпечення роботи існуючих інформаційно-технологічних процесів. Системи і/або мережі, в яких обробляється інформація «підвищеної конфіденційності» (наприклад, все, що стосується бухгалтерського обліку тощо) рекомендовано відключити від мережі Інтернет та інших суміжних мереж.

 

5. Оперативне інформування про інциденти

Під час підготовки і проведення семінару було ініційовано процес оновлення контактних даних (ПІБ, email, телефон) осіб, безпосередньо відповідальних за адміністрування і технічне супроводження відомчих інформаційно-телекомунікаційних систем (далі – ІТС). Зазначене є вкрай необхідним для створення у CERT-UA можливості щодо термінового інформування про загрози інформаційній безпеці державних інформаційних ресурсів. До кінця листопада 2014 року планується створити список розсилки, а як основний канал інформування буде використовуватись електронна пошта. У зв’язку із зазначеним ще раз наголошуємо на необхідності надання до CERT-UA актуальних контактних даних. Після створення повного списку розсилки буде ініційовано процес впровадження принципу обов’язкового шифрування електронних повідомлень, які стосуються оперативного інформування. На першому етапі планується: визначити перелік використовуваного для електронного поштового обміну програмного забезпечення, розробити і розповсюдити інструкції з налаштування, а також провести генерацію і обмін публічними ключами (сертифікатами), необхідними для шифрування комунікації.

 

6. Система контролю мережевих загроз IP Guard

Під час заходу продемонстровано систему пасивного контролю мережевих загроз IP Guard, основний принцип якої полягає у накопиченні і централізованій обробці інформації про факти компрометації комп’ютерних мереж і/або засобів обчислювальної техніки. Основною сутністю системи є IP-адреса, а критерієм скомпрометованості IP-адреси може бути факт її використання:

 

 — некоректно налаштованим серверним або іншим обладнанням;

 — для розсилання, маршрутизації СПАМу;

 — для проведення DDoS-атак, в т.ч. на інформаційні ресурси органів державної влади;

 — комп’ютерами, ураженими шкідливим програмним забезпеченням.

 

Так як, відповідно до проведеного CERT-UA дослідження, близько 40% комп’ютерних мереж органів державної влади України є скомпрометованими, учасників заохочено до реєстрації в системі IP Guard, а також наголошено на необхідності відповідальної обробки даних системи з метою вжиття заходів щодо виявлення вразливостей і/або уражених шкідливими програмами комп’ютерів, розміщених в локальних обчислювальних мережах органів державної влади. Відповідно до технічного рішення IP Guard, відповідальний системний адміністратор отримуватиме інформацію (звіти) з системи IP Guard лише для переліку публічних IP-адрес, які знаходяться в зоні відповідальності відомства.

Кабінет Міністрів України планується регулярно інформувати щодо якості обробки відповідальними особами даних IP Guard, а також про інтегральний рівень зменшення/збільшення кількості скомпрометованих IP-адрес в органах державної влади України.

 

Picture4

Мал. 3

 

7. Центр контролю мережевих аномалій

Під час проведення заходу фахівці CERT-UA і учасники семінару дійшли згоди щодо фактичної неможливості виявлення загроз інформаційній безпеки  в комп’ютерних мережах органів державної влади України в режимі реального часу. В свою чергу, CERT-UA, отримуючи кожен день інформацію щодо серверів управління бот-мережами, цільових уражень та інших кібератак фактично не має змоги оперативно виявити та ліквідувати загрози.

З метою практичного вирішення цього проблемного питання фахівцями CERT-UA розроблено і впроваджено в експлуатацію Центр контролю мережевих аномалій. Для повноцінної експлуатації зазначеної системи, як розподіленого механізму колективної безпеки, існує нагальна необхідність в розміщенні і налаштуванні в межах відомчих локальних обчислювальних мереж з доступом до Інтернет сенсорів (одного серверу/комп’ютера з відповідним програмним забезпеченням), а також забезпечення надходження на нього (дзеркалювання) всіх інформаційних потоків, які циркулюють у комп’ютерній мережі відомства. Призначенням Центру контролю мережевих аномалій буде: віддалене оперативне, в режимі реального часу, оновлення сигнатур аномалій, а також отримання з сенсорів повідомлень про виявлення тієї чи іншою загрози відповідно до сигнатури. Одразу зазначимо, що CERT-UA технологічно не матиме доступу до інформаційних потоків відомства. Також звертаємо увагу на те, що роль сенсору може використовувати будь-який сервер/комп’ютер (або віртуальна машина), а програмне забезпечення (засіб виявлення мережевих вторгнень) є безкоштовним open-source продуктом. Фахівцями CERT-UA в робочому порядку буде надано необхідну консультативно-методичну і практичну допомогу з питань налаштування і розгортання сенсорів.

 

Picture5

Мал. 4

 

8. Стандарти з інформаційної безпеки

Наприкінці заходу увагу учасників було звернено на доцільність забезпечення відповідності процесу управління інформаційною безпекою в органах державної влади існуючим профільним стандартам, зокрема ISO/IEC27001. В цьому зв’язку фахівцями CERT-UA на базі згаданого стандарту заплановано розробити перелік адаптованих рекомендацій, виконання яких дозволить підвищити рівень захищеності інформаційно-телекомунікаційних систем органів державної влади України (актуальна картина незахищеності відомчих ІТС відображена на мал. 5).

 

Picture2

Мал. 5

 

Поряд із зазначеним, фахівцями CERT-UA розробляються і будуть додатково розміщені на веб-сайті cert.gov.ua технічні регламенти безпечного налаштування апаратного і програмного забезпечення, а також рекомендації щодо дій при виявленні конкретних мережевих загроз.