Количество киберпреступлений в России неуклонно растет. В 2024 году их число в нашей стране увеличилось на 13%, а удельный вес в общем количестве криминальных деяний достиг 40%. С подобными угрозами и кибератаками сталкиваются и сотрудники Федеральной службы исполнения наказаний РФ. Заместитель директора ФСИН Сергей Щербаков рассказал РИА Новости, как злоумышленники атакуют ведомственные системы, актуальна ли проблема колл-центров в пенитенциарных учреждениях, и как хакеры с помощью искусственного интеллекта пытаются выведать тайны службы.
– Сергей Валерьевич, насколько актуальна для ФСИН проблема кибератак и защиты информации?
– У нас ведется серьезная работа по укреплению кибербезопасности. Еще в 2022 году в центральном аппарате ФСИН и территориальных органах УИС (уголовно-исполнительной системы – ред.) в соответствии с указом президента №250 были созданы структурные подразделения и назначены ответственные лица, занимающиеся обеспечением информационной безопасности в учреждениях и органах УИС, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты.
– А сколько таких атак и инцидентов в год выявляется?
– В прошлом году зафиксировано более 600 значимых инцидентов, среди которых наиболее опасные – это 46 попыток внедрения вредоносного программного обеспечения в электронные системы ФСИН. Помимо этого, регистрируем более одной тысячи DDoS-атак и более 10 тысяч различных событий. По всем инцидентам принимаются меры по их локализации и разбору источников угроз.
Здесь можно констатировать целенаправленную работу против нашей системы. Такие атаки не совершаются группой студентов – это коллективы людей, иногда и сотрудников спецслужб иностранных государств, которые целенаправленно выбирают объектом атаки сетевую инфраструктуру ФСИН. Хакеры зачастую ищут и часто находят новые способы и средства атаки, о которых еще никому не известно, прощупывают сетевую инфраструктуру на предмет взлома. Наша задача – им противостоять, выстраивая защиту.
Именно поэтому для выявления и своевременного реагирования на инциденты информационной безопасности, а также оказания практической и методической помощи учреждениям и органам УИС во ФСИН создана дежурная служба информационной безопасности, которая круглосуточно мониторит ведомственную сеть УИС с использованием доступных средств по мониторингу компьютерных инцидентов, что позволяет распознать подозрительную активность на начальных этапах и принять своевременные меры для ее нейтрализации.
– Известно, откуда исходят эти атаки?
– Скажем так, география стран разнообразна. Сейчас все используют VPN-технологии, причем используют двойное-тройное туннелирование (конфиденциальность передачи трафика за счет сокрытия истинных адресов – ред.). И поэтому точно узнать местоположение злоумышленника практически невозможно – меры конфиденциальности они соблюдают.
Однако в случае целенаправленных атак мы обращаемся за помощью. Налажено взаимодействие с нашим регулятором – это Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России. Так, с прошлого года при круглосуточном дежурстве у сотрудников есть возможность установить прямую связь с центром по линии ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России – ред.). Как только специалисты обнаруживают подозрительную активность в системе, они ее фиксируют, заводят карточку инцидента, если угроза является серьезной, то данные передаются в НКЦКИ и начинается совместная работа по ее ликвидации.
– Какие данные интересуют чаще всего злоумышленников?
– Злоумышленники, анализируя трафик, пытаются понять, где происходит наибольшая сетевая активность. Это, например, базы данных, информация служебного характера – ДСП (для служебного пользования – ред.), потоки видеоданных и другое. Для защиты мы используем средства криптографии, есть отдельная защищенная сеть, построенная полностью на отечественном оборудовании. Соблюдаются все рекомендации регуляторов, что подтверждено результатами проверок ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Мы открыты для диалога и активно взаимодействуем со всеми российскими разработчиками средств защиты информации и отечественного оборудования.
На сегодняшний день наметилась тенденция автоматизации атак. То есть атаки все чаще осуществляют роботы (программы), а не люди. Кругом автоматизация. По факту, сталкиваемся с тем, что на стороне злоумышленников стоит тот самый искусственный интеллект. И мы на пороге новой эпохи противостояния. Это, конечно, не "Скайнет", как в фильме "Терминатор", но уже близко к этому. Злоумышленники используют скрипты, которые являются своеобразными полиморфными вирусами, которые изменяются – модернизируются в процессе эксплуатации. Заходя в систему, они не просто "бьют", куда вздумается, а четко идентифицируют свои цели: что это за база, какая система, как она работает, какие данные передает и так далее.
Приведу пример: есть такое средство безопасности как Honeypot – это ловушка, на которую злоумышленник или вирус должны попасться и отвлечься от реальной инфраструктуры. И она выглядит, как лакомый сервер, туда иногда даже выкладывают какие-то неважные документы. Раньше хакеры часто велись на такие ловушки, и потом хвастались в соцсетях, что взломали и смогли что-то там похитить. А на деле им подсовывали пустышку. Другое дело сейчас, когда ИИ обрабатывает информацию, анализирует, не ведут ли к этому серверу какие-то обращения, а есть ли активность, почему нет потока данных и так далее. И принимает решение, что нет, я туда не пойду, пойду дальше искать реальную базу. И это, действительно, проблема, в решении которой могут помочь новые средства безопасности, такие как платформы создания и распределения ложных данных.
– ФСИН в свою очередь использует технологии ИИ?
– Использовать искусственный интеллект просто как дань моде, я не считаю нужным. Но нам для начала нужно выстроить базовый контур безопасности, реализовать задачи по тактической и периметровой защите, отработать регламенты, а уже после обращать взор на более сложные решения.
– Не могу не спросить о такой проблеме, как колл-центры. Ведь это уже стало стереотипом, что мошенники из "службы безопасности" какого-либо банка звонят непременно из колонии. Как сейчас решается проблема звонков из мест заключения? И вообще, является ли сегодня эта тема для ФСИН проблемой?
– Такой проблемы сейчас нет. Примерно три года назад, еще до начала СВО, было выявлено несколько таких центров, где, по информации "Сбербанка", были обнаружены сим-карты, с которых и осуществлялись звонки. Оперативные подразделения тогда быстро отработали информацию и выявили, что колл-центров на территории учреждений УИС нет. Все подтвержденные случаи – единичные и не носили массового характера.
Нужно также понимать, что наши учреждения зачастую находятся в жилом секторе, в городах и поселках. Данные сотового оператора о местоположении sim-карт и sim-банков выдавали желаемое за действительное.
Действительно, в учреждениях УИС изымаются телефоны, сим-карты, другие гаджеты. Но это плановая работа. И говорить о том, что это носит повсеместный характер, и ФСИН является источником проблем, некорректно и неправильно. Есть, конечно же, единичные инциденты, которые фиксируются и пресекаются. Наличие телефона в учреждении у спецконтингента – это уже в целом серьезное нарушение. Не редко телефоны проносят родственники, правозащитники, адвокаты на встречах, применяя различные ухищрения, прячут их.
В указанном направлении деятельности есть над чем работать. Это решение задачи блокирования мобильной связи на территории учреждений. Эта задача уже сложнее, ведь мы должны локализовать зону блокирования только территорией учреждения, чтобы блокировка не распространялась за его пределы, например, на граждан. Такие средства интеллектуального блокирования есть, но они не дешевы. Именно они позволяют в текущее время добиться стопроцентного результата. Сейчас практически завершен эксперимент в СИЗО-1 и СИЗО-4 города Москвы, где мы тестировали разные подходы и добились практически 100% успеха.
– Какие задачи перед ФСИН в плане кибербезопасности вы видите в 2025 году?
– Во-первых, будем и дальше развивать защищенный сегмент нашей сети, усиливая безопасность, используя отечественное ПО и "железо". Лично я – приверженец политики импортозамещения. И в принципе, это в 309-м указе президента прописано и в поручениях правительства, и других документах. Сейчас мы должны все оборудование, что у нас еще осталось, зарубежного производства полностью заменить на отечественное. Тем более аналоги есть. Если, допустим, проседаем по каким-то там параметрам в части схем и серверов, то по средствам защиты информации наши отечественные производители уже закрыли все пробелы и могут обеспечить хороший уровень импортозамещения. А мы в свою очередь можем быть уверены в их надежности. Будем усиливать защиту нашей информационно-телекоммуникационной инфраструктуры с использованием отечественных средств криптографии.
Во-вторых, все сотрудники, которые задействованы в сфере ИТ, безопасности и связи, инженеры, должны будут пройти курс по информационной безопасности с обязательной сдачей зачета. Это в обязательном порядке я буду контролировать. Далее такой курс смогут пройти все желающие, от начинающего сотрудника, курсанта вуза и до руководителя территориального органа.
В-третьих, будем развивать круглосуточный мониторинговый центр безопасности, насыщать его современной техникой и технологиями. Например, в прошлом году нами закуплена система обнаружения вторжений.
– А что за система?
– Это разработка отечественной компании. Система IDS/IPS занимается анализом трафика, выявляя нестандартное поведение в сети на уровне пакетов, сигнализируя об отклонениях. Например, если идет какая-то передача информации там, где ее не должно быть, или время передачи не совпадает, или порт нестандартный, или неизвестный сетевой адрес. Вручную такое сделать невозможно. В структуре ФСИН больше 170 тысяч компьютеров. Сейчас такие системы установлены на центральный сегмент сети, но далее мы будем наращивать их количество, добираясь до региональных сетей.
Скорее всего, возьмем какие-то крупные регионы: Москва, Новосибирск, Красноярск, Санкт-Петербург, может быть, Ростов-на-Дону, Краснодар.
Таким образом, цель – построить единый защитный контур органов УИС, объединить все в единую сеть. В результате получим мониторинг событий по всей стране. И как только случится какая-то проблема, мы сможем оперативно отреагировать и решить ее, обеспечив базовые задачи: конфиденциальность, целостность, доступность.
– Для этого нужны специалисты. Их сейчас хватает в ФСИН?
– Как я уже говорил, у нас созданы структурные подразделения, занимающиеся обеспечением информационной безопасности. В настоящее время они укомплектованы специалистами, но потребность в них остается высокой.
Для решения этой задачи на базе Воронежского института ФСИН России осуществляется набор и подготовка высококвалифицированных специалистов в сфере информационной безопасности. Кроме того, в этом году на основании решения директора ФСИН России Аркадия Гостева увеличен набор обучающихся по программе специалитета "Информационная безопасность телекоммуникационных систем" на 25 штатных единиц. Я приглашаю всех абитуриентов попробовать свои силы и встать на защиту информационного пространства рядом с нами – плечом к плечу.
Потому что Воронежский институт – это единственный вуз, готовящий специалистов инженерно-технического профиля для уголовно-исполнительной системы, обладающих уникальными компетенциями в области информационной безопасности, инфокоммуникационных технологий, радиотехнических и телекоммуникационных систем. Я лично считаю, что за такими профессиями будущее.
В Воронеже хорошая материальная база, развернут современный киберполигон. Преподаватели могут подготовить хороших специалистов, имеющих практические навыки, знающих тенденции в области информационной безопасности. Поэтому мы подготовим людей не только для системы ФСИН, а на благо кибербезопасности страны.
Мы должны всегда держать руку на пульсе и идти в ногу со временем. Будь то в сфере обороны, будь то в сфере информационной защиты или противодействия другим угрозам национальной безопасности, таким как новый вид вооружения – БПЛА.
