Объекты КИИ: эшелонированная защита от кибератак

Директор по развитию продуктов для защиты информации в АСУ ТП, InfoWatch ARMA

"Мы в InfoWatch ARMA сторонники комплексного подхода, который заключается в применении одного комплекса защиты информации для различных отраслей".

С началом пандемии эксперты отмечают рост кибератак во всех отраслях экономики. Повышенное внимание хакеров наблюдалось также к объектам критической инфраструктуры, системам жизнеобеспечения и госуправления. О том, как менялись в этом году векторы атак, каналы утечек, какие ошибки допускались чаще всего специалистами по ИБ и как обеспечить безопасность АСУ ТП рассказывает Игорь Душа, директор по развитию продуктов для защиты информации в АСУ ТП, InfoWatch ARMA.

Есть ли внутри КИИ разных отраслей отличия по характеру атак? Например, транспорт и ТЭК.

Начнем с того, что все атаки можно поделить на целевые (APT) и нецелевые. Нецелевые атаки (или массовые) одинаковы по своей природе. По-прежнему основными источниками угроз нецелевых атак для предприятий всех отраслей промышленности остаются Интернет, съемные носители и электронная почта. Атаки на ОТ-сети продолжают идти со стороны корпоративного сегмента. Примером тому служит лавина вирусов-шифровальщиков, которая была зафиксирована в первом полугодии 2020 года, когда предприятия вынуждены были перестраивать процессы и переходить на удаленный режим работы. Вот некоторые из них. В апреле 2020 года была совершена атака на португальскую энергетическую компанию EDP с кражей конфиденциальной информации о счетах, договорах, транзакциях, клиентах, партнерах, произведенная с помощью шифровальщика Ragnar Locker. Киберпреступники потребовали выкуп в размере $10,9 млн. В июне этого же года с помощью вируса Sodinikibi зашифровали системные файлы бразильской энергетической компании Light S.A. Требование выкупа составило $7 млн в криптовалюте Monero, потом сумму удвоили.

Целевые атаки для каждой отрасли действительно будут различаться. Но нужно заметить, что их отличие становится сильным только на последних стадиях реализации атаки. Это хорошо видно на примере визуализации стадий атак по MITRE ATT&CK (это общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT). Первые этапы: разведки, проникновения, закрепления на атакуемом объекте – будут мало отличаться друг от друга, и даже больше – могут быть идентичны при схожей архитектуре и оборудовании.

Отличия же будут относиться к поздней стадии атак – стадии выполнения вредоносного воздействия (прим. – impact по MITRE), поскольку эта стадия будет зависеть от оборудования, архитектуры системы, найденных или купленных злоумышленником уязвимостях и других факторов.

Важно отметить, что именно из-за схожести атак в разных отраслях на первых этапах проведения возможна защита типовыми средствами защиты информации. Естественно, СЗИ будет отличаться для различных по своей структуре систем, например банковских и АСУ ТП. А вот защита что в металлургической, что в химической отрасли может быть основана на одних и тех же продуктах. Мы в InfoWatch ARMA сторонники комплексного подхода, который заключается в применении одного комплекса защиты информации для различных отраслей. При этом настройка и место применения комплекса уже будет различаться от системы к системе, что и позволит учесть уникальные особенности системы и возможные нюансы в проведении атаки.

Какие наиболее частые ошибки при защите КИИ совершаются техническими специалистами компаний?

Типовые ошибки, как правило, происходят на этапе присвоения объекту категорий значимости. Компаний, которые завершили внедрение по результатам категорирования на сегодняшний день недостаточно, чтобы говорить о типовых ошибках на последующих этапах. Более того, после завершения категорирования чаще всего заказчикам помогают интеграторы информационной безопасности, имеющие значительный опыт внедрения решений по защите информации, что уменьшает количество совершаемых заказчиками ошибок.

Если говорить про компании, которые самостоятельно закупают и внедряют средства защиты, то мы можем рассказать об ошибках, наблюдавшихся на этапах проектирования и внедрения средств защиты информации. Некоторые из них были связаны с тем, что заказчики упускали из виду требования безопасности или особенности эксплуатации систем защиты информации. Одной из таких особенностей для промышленных систем можно считать необходимость дополнительного тестирования СЗИ перед внедрением и обновлением. Соответственно, необходимо предусмотреть стенд для тестирования и отдельное время для его проведения. Другие ошибки связаны с планированием работ по сопровождению системы. Например, заказчики забывали рассчитать загрузку персонала при сопровождении системы и оказывались в ситуации, что эксплуатировать систему после внедрения будет некому. Ну и наконец, уже классическая ошибка в информационной безопасности – после внедрения не довести дело до конца и оставить систему защиты без настройки. Установленная, но ненастроенная система, конечно, не приносит ровным счетом никакой пользы.

Кто должен создавать систему эшелонированной защиты: компания или внешний подрядчик?

Создание системы защиты информации чаще всего передается внешнему подрядчику потому, что часто в самой компании-заказчике недостаточно экспертизы для проведения подобных работ с учетом всех требований обеспечения безопасности информации. Но процесс создания такой системы невозможно представить без участия заказчика. И вот почему. Каждая отрасль, мы даже не говорим сейчас о каждой компании в отрасли, сильно отличаются друг от друга инфраструктурой, организационными внутренними процессами, бизнес-целями и задачами, которые непосредственно влияют на то, какой должна быть система информационной безопасности в компании. Важно понимать, что эффективная система защиты состоит как из технических мер, так и организационных. Поэтому в данном вопросе важна синергия взаимодействия заказчика и внешнего подрядчика.

Каких эшелонов сегодня достаточно, чтобы обеспечить защиту информации в АСУ ТП с учетом того, что растет число удаленных подключений к промышленной сети и заметно выросла активность киберпреступников?

Значительное число рубежей защиты определено в приказе ФСТЭК России от 25 декабря 2017 г. № 239, и они будут весьма эффективны при корректном внедрении и при этом сбалансированными. Мы при общении с заказчиком подразумеваем в первую очередь средства для построения эшелонированной защиты, которые необходимы практически всем. Такие как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты и создания замкнутой защищенной среды (ограничение программных средств, съемных носителей, информационных потоков) и средства для автоматизации по работе с событиями и инцидентами.

Важно, что для защиты АСУ ТП выбирать нужно специализированные промышленные решения – например, не обычные, а промышленные межсетевые экраны, чтобы уменьшать количество ложных срабатываний, поддерживать специализированные промышленные протоколы и аппаратные платформы.

При этом выбор средств и механизмов защиты должен определяться в соответствии с актуальными угрозами безопасности информации.

На рынке ИБ есть много предложений от вендоров. Как выбрать действительно подходящее решение и не пожалеть о выборе через несколько месяцев?

На самом деле выбор средств защиты не так велик, как хотелось бы. Уже хотя бы по той причине, что не все решения удовлетворяют базовым потребностям заказчиков и современным реалиям. Для того чтобы не пожалеть о вложенных средствах, как минимум необходимо учитывать тенденции на импортозамещение в КИИ. Заказчику следует изучить рынок средств защиты, сравнить их на предмет соответствия требованиям технических подразделений заказчика. Ну и конечно, нужно протестировать средства защиты у себя. Сейчас практически все вендоры предлагают возможность тестирования своих средств.

Замечу, что задачи ИБ часто могут быть решены с помощью различных средств и систем. Например, для промышленных систем автоматизации часто стоит задача выбора СЗИ для установки на АРМ и серверы. Мы в InfoWatch ARMA сторонники подхода создания замкнутой защищенной среды, которая позволяет эффективно противодействовать современным угрозам в условиях дефицита специалистов информационной безопасности. Поэтому в данной задаче предложили бы средства для ограничения программной среды и средства контроля подключаемых носителей информации.

Перевести нашу инфраструктуру на полностью отечественное ПО и оборудование сегодня невозможно. Состояние нашей промышленности не позволит выполнить указ президента. Однако Наталья Касперская просит не отодвигать на три года обязательные сроки перехода на отечественное оборудование и софт. Просим прокомментировать эту ситуацию.

Кибербезопасность промышленных предприятий – вопрос национальной безопасности. Можно привести множество примеров в подтверждение того, как легко потерять цифровой и государственный суверенитет, если будет реализована кибератака на промышленное предприятие с объектами КИИ или зарубежный вендор решит воспользоваться рычагом давления и просто дистанционно отключит промышленное оборудование. Это особенно хорошо видно сегодня, когда мы испытываем на себе влияние внешнеполитических санкций. Остановка производственных процессов может привести к блэкауту, как в Венесуэлле, например, когда выработка электроэнергии прекратилась в 18 из 23 штатов. Другой пример – дистанционный контроль со стороны зарубежного вендора: 8–14 августа 2008 года, (протокол заседания ГосДумы РФ № 23 от 27.01.2017) во время грузино-осетинского конфликта был час Ч, когда все немецкие, американские, японские автоматические линии с числовым программным управлением, завезенные в РФ и установленные в оборонно-промышленном комплексе, были демонстративно остановлены производителями.

В связи с этим мы считаем, что задача перехода на отечественное ПО в КИИ очень важна и актуальна. Уже была проделана долгая и сложная работа, направленная на исключение фактора технологической зависимости российского бизнеса. Сроки же должны быть выбраны как с учетом озвученных проблем, так и реализуемости перехода. Но что однозначно, выполнение текущей программы цифровизации всех отраслей экономики уже должно учитывать требования по переходу на отечественные программные решения.

Риск обнаружить угрозу слишком поздно, чтобы ее можно было предотвратить, возрос во время пандемии. На что нужно обратить внимание при выборе СЗИ специалистам, чтобы реагировать быстро?

Когда мы создавали нашу систему, приоритетом стало именно ускорение реакции на инциденты ИБ. Очевидно, что важно не только реагирование на сам факт возникновения события, но и наличие защиты для предотвращения последствий. Поэтому немаловажным является уже упомянутая концепция замкнутой защищенной среды. Из чего она складывается? Во-первых, необходимо обеспечить кибербезопасность промышленных сетей и максимально повысить их наблюдаемость: обнаруживать вредоносы и их блокировать, анализировать промышленные протоколы с возможностью на глубоком уровне разбирать их до команд, контролировать несанкционированные действия пользователей. Во-вторых, защищать рабочие станции и серверы АСУ ТП: контролировать целостность файлов, блокировать программное обеспечение по белому списку и контролировать съемные носители. Если же инцидент реализован, то нужно максимально быстро локализовать его. Для этого необходимо использовать средства автоматизации реакции на инциденты, а также интегрировать продукты безопасности.

Сегодня эффективная система защиты информации заключается в скорости реакции и предполагает наличие единого центра сбора событий и их автоматическая корреляция в инциденты, которые специалисты ИБ могут расследовать в режиме «единого окна» независимо от территориального распределения команд. Увеличить скорость реакции на инцидент позволяет, например, настройка автоматической реакции, в том числе блокировки угрозы и ее источника на всех СЗИ, подключенных к системе защите.

Конечно, на промышленном предприятии уже установлены средства защиты и особенно сейчас, когда промышленность вынуждена смещать фокус в контроль операционных затрат, не до того, чтобы еще больше расширять инфраструктуру. Поэтому важно, чтобы средства защиты были интегрированы между собой и обменивались данными и событиями. Ну и конечно, интегрированность продуктов предполагает, что можно выгодно и довольно быстро масштабировать функционал в зависимости от изменений в инфраструктуре под задачи информационной безопасности.

Подводя итог, скажу, что такой комплексный подход позволяет построить грамотную систему безопасности в соответствии с техническими требованиями ФСТЭК России Приказ № 239.

Слабый уровень защиты веб-приложений на объектах КИИ способствовал росту атак злоумышленников в 2020 году. Насколько выросли риски утечек?

Развитие новых угроз для объектов критической информационной инфраструктуры во многом связано с новой реальностью, вызванной пандемией. Периметр многих организаций, который и так серьезно размылся в последние годы, в 2020 году, когда сотни миллионов сотрудников по всему миру надолго перешли на удаленную работу, стал еще более трудно контролируемым, поскольку многие компании вынуждены были принести безопасность в жертву производительности удаленных сотрудников. Отсюда рост числа атак, нацеленных на таких сотрудников, с перспективой проникнуть в информационные системы организаций.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 30.12.2020

Информационная безопасность АСУ ТП Киберугрозы Software (ПО компьютера)

Предыдущая
Кибератака века: Microsoft отрицает взлом своих систем

Следующая
Group-IB: итоги года и прогноз о главных киберугрозах

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30