Россия усиливает кибербезопасность: учет IP-адресов для борьбы с атаками

В новом наборе действий по борьбе с кибермошенничеством планируется применение системы регистрации государственных IP-адресов. Провайдеры обязаны будут передавать информацию о расположении сетевых адресов. Специалисты говорят, что эти данные могут быть полезны для предотвращения кибератак.

Информация будет использоваться для надзора за началом трафика и ограничения доступа к ВАТС с иностранными IP, применяемыми мошенниками.

Создание реестра стран, владеющих IP-адресами, представляет собой средство, способное применяться в различных целях, воздействие которого на цифровую среду является двояким, утверждает Юрий Силаев, руководитель лаборатории доверенного искусственного интеллекта РТУ МИРЭА.

Эксперт считает, что такая система может оказать положительное воздействие на область кибербезопасности по нескольким направлениям. В первую очередь, подобная система способствует эффективной фильтрации трафика на национальном уровне. Зная страну, которой принадлежит IP-адрес, можно блокировать доступ с территорий, где центры киберпреступности или где часто совершаются массированные атаки, как, например, DDoS-атаки.

По мнению специалиста, это повышает устойчивость важной информационной инфраструктуры страны к внешним воздействиям. Кроме того, это помогает в борьбе с мошенничеством и фишингом, так как многие подобные ресурсы размещаются за рубежом. Для обычного пользователя это означает меньшую вероятность столкнуться с вредоносным контентом извне.

Согласно законопроекту, сбор и хранение данных поручены Роскомнадзору, а управляющей системой - Радиочастотная служба.

Андрей Воробьев, руководитель "Координационного центра доменов .RU/.РФ", отмечает, что зарубежные геосервисы используют неточные или устаревшие данные. Например, о Крыме и новых регионах России, показываемых в составе Украины. Это приводит к ошибкам в определении местоположения и, следовательно, к ограничению доступа для российских пользователей в борьбе с зарубежными DoS-атаками.

Собственная проёмная база упрощает контроль за потоками в сети и помогает лучше обнаруживать инциденты - от утечек данных до кибератак.

Однако Юрий Силаев предупреждает, что централизованный сбор данных о IP-адресах несёт серьёзные риски. Например, возникает угроза создания единой точки отказа. В случае взлома такой базы данных злоумышленники получат доступ к картам всей сетевой инфраструктуры страны, что может быть использовано для более точных и разрушительных атак.

Силаев также указывает на другую опасность - угрозу приватности. Хотя IP-адрес сам по себе не является личными данными в чистом виде, в соединении с другими данными он позволяет определить личность пользователя и отследить его активность в сети.

"Кроме того, существует операционная угроза - ошибки в такой базе данных могут вызвать масштабные блокировки законных ресурсов и нарушение работы целых сегментов интернета", - добавляет эксперт.

Федор Дбар, бизнес-лидер компании "Код Безопасности", отмечает, что такая концепция способствует увеличению киберзащиты, поскольку привязка IP-адреса к определенной стране выступает важным фактором анализа.

Совместно с другой информацией эта система позволяет выявлять необычные элементы в трафике или поведении, оценивать угрозы и обнаруживать возможные атаки. Это не передовая технология, но значимый фактор усиления защитных мер, прибавляет Дбар.

При этом специалист отмечает, что централизованный сбор информации об IP-адресах несет небольшие риски, поскольку эти данные уже доступны всем.

"Однако на данный момент отсутствует общий, регулируемый Россией реестр с проверенными данными. Без такого официального источника всегда присутствует опасность скомпрометировать или использовать неверную информацию", - подчеркивает Дбар.

Подобные решения имеются в различных вариантах и в других странах. Например, в Китае функционирует метод "Великий китайский файрвол", который является типичным образцом глубоко интегрированной системы фильтрации трафика на основе геолокации IP-адресов.

"Многие государства, включая США и страны Европы, не обладают такой централизованной государственной базой, однако активно используют коммерческие и полугосударственные системы для мониторинга и блокировки вредоносного трафика в рамках национальных центров кибербезопасности. К примеру, NCSC в Великобритании. Основное различие часто заключается в целях применения: в западных странах основной акцент, как правило, делается на противодействии именно кибератакам, а не на контроле над информационным потоком", - заключает Юрий Силаев.