Коммерческая услуга
Роскомнадзор (РКН) планирует создать национальную систему защиты российских ресурсов от DDoS-атак, идущих из-за рубежа. Об этом Forbes рассказал источник, близкий к РКН, и подтвердил источник, близкий к администрации президента (АП). Источник, близкий к РКН, отметил, что национальная система может появиться осенью 2022 года: к этому моменту ведомство намерено обновить оборудование для глубокой фильтрации трафика (Deep Packet Inspection, DPI), которое используется для исполнения закона о суверенном интернете. Сейчас Роскомнадзор обсуждает детали проекта с поставщиком оборудования, отметил собеседник Forbes, близкий к РКН.
Закон о суверенном интернете вступил в силу 1 ноября 2019 года, он предполагает, что в России функционирует инфраструктура, которая обеспечивает бесперебойную работу российского сегмента интернета даже в случае отключения страны от глобальной сети и кибератак.
В первые дни после начала «спецоперации»* России на Украине стало понятно, что российская IT-инфраструктура оказалась не готова к кибератакам, потому что временно переставал работать даже официальный сайт Кремля, говорит источник, близкий к АП. Поэтому власти сейчас прорабатывают разные сценарии защиты российского сегмента интернета от внешних угроз на национальном уровне, добавил он.
В DPI-оборудование, которое используется для исполнения закона о суверенном интернете, уже заложен функционал защиты от DDoS-атак, рассказал источник Forbes в компании по информационной безопасности. Однако Главный радиочастотный центр (ГРЧЦ, подведомственное учреждение Роскомнадзора) пока разработал для него лишь несколько сигнатур (образцов видов атак), на которые должно среагировать оборудование, поэтому обеспечить качественную защиту не получается, добавил собеседник Forbes. По его словам, около месяца назад Минцифры предложило федеральным органам исполнительной власти обратиться в ГРЧЦ для установки оборудования и защиты собственных ресурсов от DDoS-атак. В Минцифры перенаправили запрос Forbes в РКН. Представитель Роскомнадзора отказался от комментариев.
В марте 2022 года Минцифры рассказывало, что фиксирует «беспрецедентные кибератаки» на сайты органов власти, поэтому начнет работу по фильтрации зарубежного трафика. Позже ведомство написало письмо в Центробанк, в котором предложило банкам помощь в борьбе с DDoS-атаками из-за рубежа: «организовать работу по фильтрации зарубежного трафика с использованием технических средств противодействия угрозам». В письме Минцифры говорилось, что банки могут направить в ЦБ список информационных систем, которые могут потенциально подвергнуться DDoS-атакам.
Технически реализовать защиту от внешних DDoS-атак на действующем DPI-оборудовании возможно, но возникает вопрос о том, возможно ли масштабировать такую систему на все каналы связи на территории России, говорит эксперт в области информационной безопасности Алексей Лукацкий. По его словам, РКН придется защищать отечественные компании от двух видов DDoS-атак. В первом случае хакеры отправляют на сайт большие объемы «мусорного» трафика — в этом случае существующее оборудование для суверенного интернета не поможет, отметил Лукацкий. «Для борьбы с такими атаками сейчас используются специальные центры мониторинга (очистки), и для централизованной защиты Роскомнадзору придется создавать такие центры самостоятельно», — считает эксперт. Во втором случае DDoS-атаки проводятся с помощью уязвимостей в веб-приложениях, и для борьбы с ними DPI-оборудование необходимо будет «научить» идентифицировать такие атаки, добавил Лукацкий.
Часть компаний по-прежнему остается без защиты от DDoS-атак, продолжает Лукацкий, поскольку это дорого стоит. Роскомнадзор мог бы обязать операторов связи фильтровать «мусорный» трафик, однако операторы откажутся предоставлять эту коммерческую услугу бесплатно на национальном уровне, заключил эксперт.
Рост трафика
Помимо создания национальной системы для защиты от DDoS-атак, Роскомнадзор планирует модернизировать инфраструктуру для суверенного интернета — усилить пропускную способность DPI-оборудования, рассказал Forbes источник, близкий к сотовому оператору, и подтвердил собеседник, близкий к РКН. Главная задача модернизации оборудования — чтобы в нем поместилось больше сигнатур для распознавания трафика с заблокированных ресурсов, отметил источник, близкий к сотовому оператору. С помощью этого оборудования власти, в частности, замедляли трафик Twitter и блокируют доступ к Facebook и Instagram (соцсети принадлежат Meta, которая признана в России экстремистской и запрещена).
При этом ведомство не хочет вкладывать дополнительные деньги в обновление оборудования, а хочет получить его «в рамках действующих контрактов», отметил источник, близкий к РКН. Однако из-за санкций и проблем с логистикой стоимость производства такого оборудования выросла примерно на 40%, добавил источник, близкий к РКН. Для исполнения закона о суверенном интернете Роскомнадзор предоставляет операторам оборудование от поставщика DPI-систем RDP.ru (принадлежит «Ростелекому»). Представитель RDP.ru не ответил на запрос Forbes.
Действующее оборудование для суверенного интернета может одновременно фильтровать до 100 Гб трафика в секунду, РКН хочет увеличить пропускную способность в несколько раз, пояснил собеседник Forbes, близкий к РКН.
Решение увеличить пропускную способность DPI-оборудования может быть связано с общим ростом трафика у операторов связи, рассказал гендиректор аналитического агентства TelecomDaily Денис Кусков. Он отметил, что по итогам 2021 года объем трафика вырос на 31%, по сравнению с 2020 годом, в основном за счет увеличения потребления видеоконтента. Однако в 2022 году из-за ухода с российского рынка множества зарубежных интернет-сервисов и отмены безлимитных тарифов у операторов связи значительного роста трафика не будет, считает Кусков.
Как хакеры атаковали Россию
После начала «спецоперации» российские компании из различных отраслей столкнулись с атаками на свои сайты. Если раньше специалисты фиксировали десятки атак в месяц, то сейчас их число достигает нескольких сотен тысяч в неделю, рассказывал в конце марта директор экспертного центра безопасности Positive Technologies Алексей Новиков.
26 февраля 2022 года в Минцифры зафиксировали более 50 DDoS-атак мощностью более 1 Тбайт и ряд «профессиональных целевых атак» на портал госуслуг, сообщили на следующий день в пресс-службе ведомства. В Минцифры признали, что у пользователей могут возникать проблемы с доступностью сайта, и отметили, что атаки на компании обслуживают специалисты по кибербезопасности внутри коммерческих организаций.
Хакеры атаковали сайты СМИ, арбитражных судов, Госмониторинга. О сбоях и замедленной работе Системы быстрых платежей (СБП) из-за DDoS-атак также сообщал Центробанк. Под атаку также попали сайт холдинга «Мираторг», службы доставки Boxberry, электрозарядных станций и другие компании.
Ответственность за атаки на интернет-провайдеров и российские правительственные сайты взяла на себя хакерская группировка Anonymous, которая вскоре после начала «спецоперации» объявила российскому правительству кибервойну.
Злоумышленники ориентировались строго по российским IP-адресам, а судя по поведению хакеров в ходе атаки, иногда совсем не представляли, чьи ресурсы им попались, писал ранее Forbes.
* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 53 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.