Практика защиты КИИ в эпоху VUCA
Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ (вступил в силу 1 января 2018 года) ввел понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также утвердил их обязанности по обеспечению безопасности объектов КИИ, поставив перед российскими директорами по ИБ целый круг новых задач. Большинство организаций, на которые он распространяется, только начали приводить свои системы в соответствие его требованиям. Своими наблюдениями и рекомендациями в этой связи делится Евгений АКИМОВ, директор по кибербезопасности концерна «Калашников».
Ваши предприятия подпадают под действие ФЗ 187. Какова практика реализации его требований?
Для нас, как и других оборонных предприятий, данный закон чрезвычайно актуален. Наш опыт по реализации его требований наиболее применим в промышленности и отчасти в энергетике. Нормативная документация закона достаточно прогрессивна – явно учтен опыт реализации закона о персональных данных (ПДн): методология более совершенна и, несмотря на отдельные шероховатости, в целом ее использование вызывает куда меньше вопросов, чем было при выходе нормативных требований по защите ПДн. В частности, все субъекты КИИ должны определить и категорировать свои объекты КИИ по четырем уровням значимости – 1, 2, 3 и незначимые. В зависимости от этого необходимо реализовать разный набор защитных мер. В этих рекомендациях нет ничего, что режет глаз, кажется совсем уж нелогичным или вовсе избыточным. Причем если в предыдущие годы то или иное предприятие серьезно занималось кибербезопасностью своих систем, может оказаться, что делать практически ничего и не придется – почти все требуемые механизмы уже реализованы.
Однако стоит помнить: подключение к Государственной системе предотвращения компьютерных атак (ГосСОПКА) – теперь обязанность всех субъектов КИИ. До ФЗ 187 такого требования не было. Но это продиктовано изменениями в ландшафте угроз, своеобразное веление времени. В одиночку уже очень сложно, практически невозможно обеспечивать должный уровень киберзащиты. Без глубокого понимания, чем заняты хакерские группировки, какие методы они применяют, невозможно им грамотно противостоять. А для этого необходимо консолидировать усилия всего сообщества, обмениваться соответствующей информацией. Близкий аналог в финансовой отрасли – это FinCERT, там решаются те же задачи.
Насколько уже эффективна ГосСОПКА?
ГосСОПКа – потенциально мощный ресурс, однако качество и скорость распространения информации зависит от того, какая информация в него подается участниками. Например, состав подаваемой в него информации пока слабо регламентирован. Предписывается сообщать о «значимых инцидентах» – а что такое «значимый», не раскрывается, каждый определяет это самостоятельно .
К началу лета к ГосСОПКЕ подключилось около двух тысяч компаний. Мы же в информационном обмене с ней около двух месяцев. Когда это информационное взаимодействие заработает максимально эффективно? Это зависит не только от числа охваченных организаций и качества передаваемой ими информации – суперважно, как они эту информацию будут внутри себя обрабатывать и насколько быстро смогут ее поставлять участникам в обезличенном виде. Ведь ценность должна быть как раз в получении превентивной информации о векторе готовящейся или уже идущей атаки. Опыт взаимодействия с Ростехом показывает, что на момент получения от них информации об атаках обычно мы уже сами с ней столкнулись. Идеальный сценарий может быть таким: у нас атака, мы определяем, что это. Например, неизвестный ранее вирус, понимаем, что он не распознается стандартными средствами. Выделяем тело вируса, сигнатуру шлем в ГосСОПКу – и уже в течение часа все подключенные получают данную сигнатуру. Пока же от атаки до получения всеми участниками информации о ней может пройти чуть ли не двое суток. Однако и в таком режиме эти сведения очень полезны.
Пока же о серьезной автоматизации подачи данных в ГосСОПКУ речи не идет – они собираются по принципу «дайте хоть что-то, хоть в каком-то виде». Есть приказ ФСБ, регламентирующий, что в качестве канала связи может использоваться и электронная почта, и телефонный звонок. Если есть система управления инцидентами, то можно выдавать сразу информацию из нее, некоторые уже так и работают. Постепенно люди втягиваются – появляются средства автоматизации, устанавливаются защищенные каналы, и понятно, что в скором времени подавляющее большинство участников перейдет на автоматизированную подачу.
Ну а для тех, кто только еще планирует выполнение этого требования ФЗ 187, скажу: ничего страшного нет. Связываетесь с НКЦКИ ФСБ – им можно писать и звонить, там работают очень контактные сотрудники, у которых действительно «горят глаза». Отправляется заявку через сайт, обсуждается регламент: в него вписываются технические факты, в том числе список внешних IP-адресов. Причем там не нужны ни подписи первых лиц, ни печати – это технический документ, со стороны организации его подписывает руководитель подразделения, ответственного за кибербезопасность. По этому регламенту сразу можно работать: передавать информацию несложно, а получать, повторюсь, всегда полезно. Как только появится возможность автоматизации подачи и получения сведений, это будет и более эффективно, и менее трудозатратно.
Как вы выполняли категорирование систем?
Обнаружились некоторые новые для нас подходы. Чтобы определить категорию, необходимо рассмотреть показатели значимости. Есть показатели значимости по которым, что называется, есть вопросы.
Среди них, например, снижение отчислений в бюджет. Если налоги компании превышают определенный процент всех налогов субъекта федерации, а в результате инцидента в некоей ИТ-системе может остановиться работа предприятия, а с нею вместе налоговые платежи, то такая система относится к высокому классу значимости. Или еще один показатель значимости, связанный со срывом международных договоров.
Нюанс в том, что репутационные риски никак не учитываются, что кажется в данных ситуациях неоправданным. Ведь если от компании уходят клиенты, потому что она ненадежный партнер, то и отчисления в бюджет неминуемо упадут. А если клиенты зарубежные, то и международный договор может быть под угрозой.
Другой показатель значимости для предприятий с государственным участием – снижение прибыльности на определенный процент, что тоже вполне может быть связано с репутационными рисками. Поэтому мы считаем разумным дополнить перечень показателей значимости соответствующими параметрами, связанными с репутационными рисками.
А можно проводить категорирование самостоятельно?
Да, мне известны такие случаи, но чаще всего это организации, где ИТ-направление не очень сильно развито. Поэтому для организаций активно использующий ИТ, я бы рекомендовал все же пригласить консультантов – некоторый опыт они уже имеют, а это очень важно.
Кроме того, категорирование делается эпизодически, под него нужно специально обучать сотрудников, скорее всего даже специально взять в штат – на проект уходит несколько человеко-месяцев, выдернуть имеющего сотрудника из текучки на полгода-год очень сложно. Чем их «загрузить» после? Но повторное категорирование через три года мы, скорее всего, будем проводить уже самостоятельно.
Когда начнутся массовые проекты по реализации требований закона?
В следующем году. Раньше было просто нереально, поскольку у крупных предприятий в основном годовой цикл бюджетирования, и мы не исключение. В 2018 вышел закон, бюджет на категорирование заложили на 2019, значит бюджет на реализацию мер – на 2020 и более поздние годы.
Пока по реализации технических мер есть в основном предварительные оценки и наработки. Я уверен: большую часть необходимого можно сделать без титанических усилий. Конечно, останутся отдельные вопросы, к которым неясно как и подступиться, но если в целом реализовать 80% требуемых систем защиты, то уровень безопасности резко подскочит. Судя по публичным выступлениям представителей ФСТЭК, в ведомстве понимают, что большинству организаций потребуется не менее трех лет на внедрение полного комплекса мер.
При этом ч.3 статьи 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» предусматривает ответственность за нарушение правил эксплуатации средств обработки информации объектов КИИ. Защита – это ведь не только техника, это и процессы, и люди, которые за всем этим следят, инструкции, которые не только существуют, но и выполняются. Однако понятно, что даже наличие и работоспособность всего перечисленного не дают гарантий, что не будет инцидентов. Риск все равно есть. Получается парадоксальная ситуация: руководитель может принять все меры в соответствии с законом, а защита все равно оказалась проломленной. Какой в этой связи будет правоприменительная практика, пока можно только предполагать. На сегодняшний день уже есть первые решения судов по ст. 274.1, по 1 и 2 частям, где речь идет об организации вирусных и иных атак на объекты КИИ.
Сколько будет стоить реализация требований ФЗ 187?
Тем, кто не занимался всерьез кибербезопасностью, придется вкладываться по полной. Но и тем, кто занимался, тоже рано радоваться. Ведь когда предприятие оценивает риски, оно обычно рассматривает их применительно к себе самому, а риски для города, граждан, для окружающей среды, для госинститутов или оценивает как низкие, или вовсе не принимает во внимание. Теперь же их придется брать в расчет в соответствии с законом, и это может повлечь множество изменений в системе обеспечения кибербезопасности.
Еще один момент - очень часто требования законодательства воспринимаются поставщиками продуктов и услуг в первую очередь как возможность заработать. Так, если компания приглашает консультанта для категорирования, который является и поставщиком решений, то он стремится завысить категории так, чтобы защищать было дорого и сложно. Могут быть завышены требования к средствам защиты. Поэтому для подобной работы желательно брать консультантов из одной компании, а в качестве потенциальных поставщиков рассматривать совершенно другие.
Затраты на реализацию ФЗ 187 – это еще один пример применения принципа Парето: 80% проблем можно закрыть 20% ресурсов, главное – их правильно приоритизировать. Конечно, те, кто сможет сразу выделить эти самые 20 и 80%, молодцы. Но и 70 и 30% тоже очень неплохой результат. Именно к таким показателям надо стремиться в 2020 году. Оставшийся круг не совсем понятных и дорогих задач по защите пока лучше отложить – пройдет год, и станет ясно, что и среди них есть простор для оптимизации.
Можете ли вы оценить свои риски в деньгах?
Ущерб с точки зрения бизнеса – это понятная характеристика, и ее можно оценить. Но риск ведь это не только ущерб – это и вероятность нападения, а значит, и наша защищенность от него. Так вот оценить вероятность атаки нереально. В последние годы было несколько успешных атак, против которых не эффективны имеющиеся средства защиты В большинстве они связаны с необнаруженными на момент атаки уязвимостями приложений, так называемого zero day. Инструменты взлома продаются в DarkNet за десятки тысяч долларов за штуку. Кто и когда решит разыграть против нас такую карту, достоверно предсказать невозможно.
Таким образом, я очень скептически отношусь к количественной оценке рисков. Однако фиксация потенциального размера ущерба все равно вещь очень полезная, затраты на ИБ надо соотносить хотя бы с ним: то есть они должны быть в разы, а лучше в десятки раз меньше, чем потенциальный максимальный ущерб. Чем ниже вероятность атаки, тем ниже должны быть расходы.
Но есть и исключение – банковская деятельность: там украсть деньги пытаются практически постоянно и исходя из того, что в прошлом месяца было, к примеру, 200 атак, то вряд ли в следующем их будет 2 или 20 000.
Но хакерство все больше набирает обороты – такой способ наживы очень привлекателен, особенно для молодых людей.
Да, есть люди, как правило молодежь, пробующие свои силы в этом преступном деле Не обязательно это кража денег, могут быть и другие мотивы: самоутверждение, популяризация каких-то идей и т.п.
Есть и профессиональные группы, чья основная цель – деньги. Они более предсказуемы, но и более опасны, Как правило они знают, что у вас есть защита: если кибернападение выглядит слишком сложным, они могут пройти мимо в поисках менее защищенных жертв.
Есть и прогосударственные кибергруппы, их цели не связаны с обогащением – они обязаны выполнять полученные задания. Они непредсказуемы и наиболее опасны. Службы, которые занимаются расследованием инцидентов в России, сообщают, что в последнее время виден тренд роста именно таких «плохих парней», что и понятно – кибервойска имеют все ведущие государства мира.
На последнем BIS SUMMIT обсуждалась набирающая популярность аббревиатура VUCA — акроним английских слов volatility (нестабильность), uncertainty (неопределенность), complexity (сложность) и ambiguity (неоднозначность). Думаю, это очень своевременно: мир находится именно в таких условиях, и всем нам расслабляться нельзя.
Опубликовано 07.11.2019