Национальную систему защиты от DDoS-атак, которую еще в прошлом году планировал создать Роскомнадзор (РКН), ведомство будет делать при содействии «Ростелекома». Подведомственный РКН Главный радиочастотный центр заключил договор на выполнение соответствующих работ на сумму почти 1,5 млрд рублей с неназванным единственным поставщиком, которым, по информации Forbes, является «Ростелеком». Впрочем, эксперты считают, что эффективность такой системы может быть «умеренной» из-за того, что она будет работать на основе сети одного магистрального провайдера, пусть и крупнейшего
«Неконкурентная закупка»
Главный радиочастотный центр (ГРЧЦ), подведомственный Роскомнадзору, провел закупку у единственного поставщика на выполнение работ по созданию Национальной системы противодействия DDoS-атакам (атак на сервер по модели «отказ в обслуживании»). На это обратил внимание Telegram-канал «Летопись суверенного Рунета». Цена договора, заключенного 25 мая со сроком исполнения не позднее 12 марта 2024 года, составляет 1 млрд 425 млн рублей, однако кто выступает этим поставщиком, не раскрывается.В числе указанных в закупке целей — создание Национальной системы противодействия DDoS-атакам, координационного центра по защите от DDoS-атак, модификация разработанного ПО централизованной системы управления оборудованием ТСПУ. ТСПУ — это технические средства противодействия угрозам, оборудование, которое Роскомнадзор размещает в рамках закона о «суверенном интернете» на сетях связи операторов и позволяет ему фильтровать трафик и блокировать запрещенные в России интернет-ресурсы.
Речь идет про доработку существующего у ГРЧЦ софта ТСПУ, считает руководитель практики «Антимонопольное право и государственный заказ» компании «Лемчик, Крупский и партнеры» Артем Константинов. У ГРЧЦ не оставалось выбора, кроме как провести неконкурентную закупку у того лица, которое ранее передало ему неисключительную лицензию на софт без права переработки, рассуждает он. «Такая практика действительно распространена», — отмечает юрист, добавляя, что сам договор должен был быть выложен не позднее трех дней с даты его подписания, заключает он.
Закупка включает не просто оказание услуг по созданию системы противодействия DDoS-атакам на ТСПУ: заказчик уже имеет установленную систему ТСПУ, которая используется им на основании лицензионного соглашения, обращает внимание партнер Digital & Analogue Partners Екатерина Смирнова. «То есть поставщик обладает исключительными правами на ПО, закупаемое ГРЧЦ. Поэтому договор заключен с единственным поставщиком. Насколько законно объединение заказчиком в один лот на почти 1,5 млрд рублей доработка лицензионного софта и оказание услуг по созданию системы противодействия DDoS-атакам, сказать сложно, поскольку мы не видим техзадания по заключенному договору, — продолжает она. — При этом, если рынок данных услуг является действительно конкурентным и участники рынка полагают, что создание системы защиты и доработка ПО могут эффективно закупаться по отдельности, у них есть все законные основания обжаловать закупку в антимонопольном органе».
Магистральная защита
ГРЧЦ тестировал систему защиты от DDoS-атак весь прошлый год в части блокировки отдельных IP-адресов, которые используют для атак. Центр перешел к использованию технологии DPI (deep packet inspection, глубокое пакетное исследование трафика), поясняет руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его словам, что предполагается создать в рамках национальной системы защиты от DDoS-атак, до конца неясно. «Если речь идет о внедрении DPI в программу защиты от DDoS, то это обоснованное решение, хотя о размере бюджета можно поспорить», — добавляет эксперт, по мнению которого внедрение технологии DPI должно стоить несколько больше, «поэтому и возникают вопросы о реализации».Системы противодействия DDoS-атакам подразделяются на облачные и магистральные, последние работают на сети телеком-оператора, объясняет собеседник Forbes на рынке информационной безопасности. Судя по всему система, которую предлагает создать ГРЧЦ, будет магистрального типа: по информации двух источников Forbes на этом рынке, поставщиком системы должен выступить «Ростелеком». В «Ростелекоме» отказались от комментариев.
«С вероятностью 90% это делается на основе сети «Ростелекома» с использованием ТСПУ как меры подавления, — рассуждает руководитель одной из компаний в сфере кибербезопасности. — У ТСПУ контрмеры — это блокировка по IP-адресу. Источник — это списки IP-адресов Solar JSOC (центра мониторинга и реагирования на инциденты кибербезопасности) в «Ростелекоме», скорее всего». По его мнению, анти-DDoS на сети оператора — это «не сильно рабочее решение», так как сеть даже самого большого оператора сосредоточена в одном регионе и не геораспределена, поэтому серьезных атак выдержать не сможет. В любом случае, по его словам, такие действия — это лучше, чем вообще ничего не делать, но результативность этого мероприятия собеседник Forbes оценивает как «умеренную».
Такую услугу сможет физически оказать только магистральный провайдер, а их не так много, размышляет ведущий инженер CorpSoft24 Михаил Сергеев. «Наиболее полную защиту может предложить только самый крупный из них. Например, «ТрансТелеКом» имеет около 76 000 км магистральных сетей связи, а «Ростелеком» — более 500 000 км сетей, поэтому нет никакого сомнения, что заказ уйдет в «Ростелеком», — рассуждает эксперт. По оценке «ТМТ Консалтинг», на рынке магистральных сетей в России «Ростелеком» занимает около четверти рынка, являясь при этом лидером.
Однако эксперты указывают на то, что защита от DDoS на базе инфраструктуры от магистрального провайдера может уступать облачной. Существуют разные виды DDoS-атак, к самым популярным, используемым в 2023 году, относятся «забивание канала» (amplification) и «атака на веб-приложение», объясняет Сергеев. «В первом случае интернет-канал «утилизируется» на 100%, можно провести аналогию с автомобильными пробками: злоумышленник выводит на узкую дорогу тысячи машин, и вы не можете проехать, потому что все стоит, — продолжает он. — Во втором злоумышленник создает множество «тяжелых» запросов к сервису, каждый запрос потребляет определенное количество ресурсов. Так как ресурсы ограничены, это приводит к их окончанию, и новые запросы уже не могут обрабатываться». По словам Сергеева, защиту от первого типа атак может осуществлять магистральный провайдер, а для второго требуется участие уже облачного. «Для эффективной защиты требуется пропускать трафик через прокси-сервер облачного провайдера, который фильтрует трафик и использует различные технологии, например, WAF (Web Application Firewall), и на сервер пропускает только легитимный трафик», — заключает он.
Натиск растет
О планах властей по созданию национальной системы противодействия DDoS-атакам ранее уже сообщалось. Так, в апреле 2022 года стало известно, что Роскомнадзор намерен модернизировать оборудование, которое использует для исполнения закона о суверенном интернете, и на его базе создать такую систему. Это идея возникла после того, как российские компании не смогли справиться с массовыми хакерскими атаками, с которыми они столкнулись после начала «спецоперации»* на Украине. Источник, близкий к РКН, рассказывал тогда Forbes, что национальная система может появиться осенью 2022 года: к этому моменту ведомство намерено было обновить для этих целей оборудование для глубокой фильтрации трафика (DPI).Кроме того, создание национальной системы противодействия DDoS-атакам предусматривает и «Стратегия развития отрасли связи в России на 2024-2035 годы».
По данным «Лаборатории Касперского», в 2022 году в России наблюдался существенный рост DDoS-атак по сравнению с показателями 2021 года, их количество увеличилось примерно на 60-70%. Самая мощная DDoS-атака 2022 года достигла 760 Гбит/с, что почти в два раза превышает самую мощную атаку предыдущего года, а самый продолжительный DDoS длился 2000 часов, то есть почти три месяца, рассказывали в «РТК-Солар».
Эксперты Swordfish Security, которая оказывает услуги в области кибербезопасности, осенью 2022 года прогнозировали, что число кибератак на российские организации в целом вырастет в 2023 году минимум на 50%. Они отмечали, что атаки будут характеризоваться в том числе хорошей организацией и участием в них большого числа хакерских группировок и отдельных хакеров, а также автоматизацией, то есть использованием технологий искусственного интеллекта и машинного обучения. «В настоящее время хакерство превратилось в бизнес с многомиллиардным оборотом, институциональной иерархией и бюджетом на исследования и разработку», — констатировала компания.
Прогноз Swordfish Security подтверждается: по итогам I квартала 2023 года объем DDoS-атак в России вырос более чем на 50% по сравнению с прошлым годом, с 226 100 за аналогичный период прошлого года до 384 800, подсчитали в вендоре решений для кибербезопасности DDoS-Guard.
