Международное сообщество FIRST (Forum of Incident Response and Security Teams — Форум команд по обеспечению безопасности и реагирования на инциденты), которое занимается обобщением накопленных знаний о кибератаках из разных стран и позволяет своим участникам обмениваться опытом, приостановило сотрудничество с восемью российскими центрами реагирования на компьютерные инциденты. Это следует из информации на сайте FIRST. Среди них Центр мониторинга и реагирования на компьютерные атаки Банка России (ФинЦЕРТ), Российский центр реагирования на компьютерные инциденты (RU-CERT), центры при «Лаборатории Касперского», BI.ZONE («дочка» Сбербанка), «Инфосистемы Джет», «Ростелеком-Солар», «Лаборатории информационной безопасности», «Инфосекьюрити» (входит в Softline).
Как сообщалось в Telegram-канале «Инфосекьюрити», FIRST также приостановило сотрудничество с двумя белорусскими центрами. Решение было аргументировано новыми американскими правилами экспортного контроля. Мера не затронула те российские компании, которые перенесли свой головной офис за рубеж, в частности Group-IB.
Что дает сотрудничество с FIRST
FIRST было создано в 1990 году в ответ на распространение компьютерных угроз: когда в ноябре 1988 года в мире начал распространяться один из первых интернет-червей, реакция на него в начале была не скоординированной, создание организации должно было помочь преодолеть языковые барьеры, разницу в стандартах и т.п.
Group-IB предложила создать центр по борьбе с утечкой данных россиян Технологии и медиа
www.adv.rbc.ru
До сих пор в сообщество входили 612 команд, в том числе Apple, IBM, BMW и др. Например, «Ростелеком-Солар», став участником FIRST в июне 2021 года, указывала, что новый статус даст компании доступ к международной базе актуальных инцидентов. Это должно было усилить проактивную защиту заказчиков от международных киберугроз, а также помочь оперативно обмениваться с участниками FIRST собственными данными об атаках.
Команды реагирования на инциденты работают в разных странах с разными организациями, и их опыт сильно различается, объяснил РБК источник на рынке информационной безопасности. «Если один из участников рынка зафиксировал атаку, но не сообщил о ней, это не позволит другим игрокам подготовиться и предотвратить ее. FIRST позволяло консолидировать силы», — рассказал собеседник. Он отметил, что российские центры продолжат обмениваться данными друг с другом.