КИИ-объекты под прикрытием

Промышленность получила отечественный продукт для защиты от кибератак и отсрочку по внедрению таких решений

Владельцам критической информационной инфраструктуры (КИИ) могут на три года продлить период, в течение которого они должны перейти на преимущественное использование российского софта. Эксперты считают, что с внедрением эффективных мер по кибербезопасности стоит поторопиться, поскольку число уязвимостей и нападений хакеров растет.


ТРЕБОВАНИЯ ПО-НОВОМУ

Сроки переориентации на российское для КИИ регулятор предлагает перенести на январь 2024 года для программного обеспечения (ПО) и на январь 2025 года в части оборудования. Проект указа президента размещен для публичного обсуждения. Еще нынешним летом переход на отечественное ПО в промышленности предполагался в начале 2021 и 2022 года соответственно.

Владельцы КИИ заявляли о сложностях такого перехода, с этим можно связать предложения о переносе, рассказал RSpectr директор по развитию продуктов для защиты информации в автоматизированных системах управления технологическими процессами (АСУ ТП) InfoWatch ARMA Игорь Душа.

Игорь Душа, InfoWatch ARMA:

– Замена в новые указанные сроки выглядит реалистично для многих отраслей и вновь создаваемых объектов. Однако для находящихся в эксплуатации и для тех, у которых до этого момента не запланирована модернизация, вопрос о переносе ПО остается актуальным.

На пресс-конференции в ТАСС эксперт напомнил, что необходимость защиты КИИ определена ФЗ-187, а требования по методологии и техническим мерам – приказами ФСТЭК России №235 и №239.

Последний приказ регулятора №35 от 15 сентября 2020 года отметила президент компании InfoWatch Наталья Касперская. Согласно документу, с 1 января 2023 года прикладное ПО должно соответствовать новым требованиям, которые подразумевают в том числе анализ кода программ и выявление его уязвимостей. Сегодня исходный код корпоративного софта не защищается и не проверяется, подчеркнула Н.Касперская.

Профильный закон также предписывает со следующего года закончить присвоение категорий значимости элементам производственной инфраструктуры для определения того или иного уровня защиты.

Подавляющее число объектов КИИ – это АСУ ТП, отметил начальник отдела информационной безопасности (ИБ) «Мосэнерго» Сергей Козленок.

В промышленности значительное количество субъектов уже завершили процесс категорирования, рассказал RSpectr руководитель отдела развития систем защиты АСУ ТП InfoWatch ARMA Андрей Юршев. Эксперт сослался на пояснительную записку к внесенному в ноябре законопроекту, в которой сказано, что 

более чем 5 тыс. субъектов КИИ уже определили свыше 50 тыс. принадлежащих им объектов КИИ 

По 1,7 тыс. не соблюдены сроки представления сведений о результатах категорирования, согласно документу.

Андрей Юршев, InfoWatch ARMA:

– Для коммерческих организаций сроки предоставления перечня объектов, подлежащих категорированию, рекомендованные. Некоторые организации будут до последнего момента эксплуатировать эту законодательную возможность, но большинство ответственно относятся к указанным рекомендациям и, хотя еще и не подали необходимые перечни, такую работу ведут.

ФСТЭК уже ответил на все возможные вопросы, связанные с этой процедурой, и пора организовывать системы защиты, отметил в беседе с RSpectr С.Козленок.

Категорирование объектов – перманентный процесс, поскольку оборудование постоянно модернизируется, объяснил RSpectr начальник отдела ИБ департамента безопасности межрегиональной распределительной сетевой компании «Россети Волги» Александр Науменко.


РОСТ ИНЦИДЕНТОВ

В 2020 году признаны опасными 53% всех выявленных уязвимостей, рассказала президент компании InfoWatch Наталья Касперская со ссылкой на данные Международной системы оценки уязвимостей CVSS (Common Vulnerability Scoring System). В АСУ ТП за первые шесть месяцев 2020 года обнаружено 365 новых уязвимостей, отмечен десятипроцентный рост в сравнении с первым полугодием 2019 года.

 

Н.Касперская констатировала, что технологии в секторе ТЭК почти все иностранного производства. Зарубежные IT «молчаливо вползают» в отечественную индустриальную инфраструктуру без предупреждения, если предприятие получает оборудование от поставщика со встроенным интернетом, объяснила эксперт.

Наталья Касперская, InfoWatch:

– Удаленная техподдержка означает контроль над инфраструктурой. При таком дистанционном наблюдении со стороны производителя происходит отключение оборудования в любой момент по причинам несоблюдения условий эксплуатации, санкций и т.д.

Президент InfoWatch напомнила, что, например, в 2019 году австрийский поставщик отключил «Газпрому» компрессоры LMF удаленно, через спутник.

Кроме производителей, на IT-инфраструктуру оказывают влияние и киберпреступники. Громкие атаки происходят практически ежемесячно:

  • Январь 2020 года. Атака на Picanol Group в Бельгии, Румынии и Китае. Нарушена работа заводов, 2,3 тыс. сотрудников остались без работы.
  • Февраль 2020 года. Целевые атаки на промышленность Азербайджана. Троянец удаленного доступа PoetRAT имел целью вывести из строя Scada-системы, связанные с ветряными турбинами.
  • Апрель 2020 года. Атака на португальскую энергетическую компанию EDP. С помощью шифровальщика Ragnar Locker произошла кража конфиденциальной информации о счетах, договорах, транзакциях, клиентах.
  • Май 2020 года. В результате атаки на металлургический концерн BlueScope пострадали производственные операции в Австралии.
  • Июнь 2020 года. Атака на бразильскую энергокомпанию Light S.A. Вирус Sodinikibi зашифровал системные файлы.

 По словам И.Души, статистика об инцидентах ИБ в КИИ в России, как и зарубежных странах, является объектом гостайны. Но судя по открытым данным, по числу случаев лидирует электроэнергетика. Эксперт считает, что это вполне предсказуемо, учитывая непростую геополитическую ситуацию.

Наталья Касперская, InfoWatch:

– В оборонном бюджете США 2020 года инвестиции в кибербезопасность составляют 9,6 млрд долларов, из которых 3,7 млрд предназначены для киберопераций. Зарубежное вредоносное ПО размещается в отечественных системах для «сдерживания» России.


ПРОБЛЕМЫ, РИСКИ И РЕШЕНИЯ

Главная проблема в обеспечении безопасности АСУ ТП – их совместимость с выбранным средством защиты информации (СЗИ), уверен С.Козленок. Важно не повлиять на технологический процесс, который первостепенен, объяснил эксперт.

Нельзя смешивать две сети – корпоративную и технологическую, говорит Н.Касперская. С точки зрения ИБ это абсолютный нонсенс и дополнительная возможность для атак.

Технологи на производствах, как правило, недооценивают угрозы, сетует президент InfoWatch. В промышленности плохо «понимают» киберриски, в том числе и потому, что больше думают о функциональности, а не о безопасности.

По словам Н.Касперской, в индустрии отсутствуют:

– общие требования к ИБ,

– единые стандарты: умные технологии используют разную архитектуру, протоколы и ПО.

С.Козленок считает, что в последнее время ситуация изменилась. По его словам, еще пять-семь лет назад проблемы ИБ волновали только безопасников, а сегодня многие вендоры АСУ ТП приняли в штат разработчиков по ИБ и получили соответствующие лицензии на ведение такой деятельности.

Сергей Козленок, «Мосэнерго»:

– Единственным минусом остается инертность в отношениях заказчика и исполнителя. Попытка внесения любых изменений или отклонение от стандартных конфигураций, предложенных разработчиком, приводит к длительным дискуссиям. Не так давно мы согласовывали возможность использования отзеркаленного трафика на одном из коммутаторов из состава АСУ ТП. Эти переговоры шли около полугода. Надо помнить, что защита всегда отстает от нападающей стороны, и в этой ситуации трата времени на подобного рода взаимодействия непозволительна.

По словам Н.Касперской, в ускоренной цифровизации производства тоже есть минусы: сторонники быстрых перемен торопятся и создают почву для утечек информации. И.Душа отметил лоскутное построение системы защиты из-за быстрой цифровой трансформации.

А.Науменко рассказал, что в структуре «Россетей» система по работе с угрозами была выстроена давно, но она была ориентирована на традиционные технологические нарушения, связанные с погодными условиями, ЧС и т.д. Программа цифровой трансформации энергетической компании, рассчитанная до 2030 года, подразумевает создание центров управления безопасностью.

Поскольку число уязвимостей будет расти, и они являются отражением человеческого фактора, С.Козленок предложил задумываться об ИБ не на этапе внедрения, а при проектировании АСУ ТП и таким образом перейти к безопасному жизненному циклу построения систем. Для достижения цели программистов надо обучать культуре написания безопасного кода и его анализу, заключил он.

Н.Касперская обратила внимание, что в России нет широкой практики применения отечественного ПО:

– из-за максимальной привязки клиента к вендору, что затрудняет смену производителя;

– по причине недоверия к российскому, что, конечно, является стереотипом.

В ноябре 2020 года InfoWatch ARMA выпустила решения для обеспечения кибербезопасности АСУ ТП. Разработчики утверждают, что продукт для защиты промышленных объектов имеет преимущество перед зарубежными кейсами.

Игорь Душа, InfoWatch ARMA:

– Атаки через корпоративный сегмент и доставка вредоносных программ через USB остаются основными киберинцидентами в промышленности. Из-за разрозненности СЗИ многие нападения остаются незамеченными, а недостаток квалифицированных ИБ-кадров лишает промышленные предприятия возможности разобраться в огромном количестве информации, поступающей со средств мониторинга.

InfoWatch ARMA дает возможность объединить ИБ-события со СЗИ, выстроить процесс управления инцидентами и автоматизировать реакцию на них. Базовые функции системы, такие как фильтрация на прикладном уровне промышленных протоколов, ограничение запускаемого программного обеспечения и подключаемых съемных носителей, позволяют создать замкнутую среду функционирования АСУ ТП и реализовать несколько эшелонов защиты информации. Это серьезно снижает вероятность атак на промышленные системы, обеспечивая их оперативное обнаружение еще на уровне инцидентов.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Кибервойна и мир
Как страны совершенствуют методы противодействия IT-угрозам