9.2.2022

Свой софт КИИ бережет

Эксперты призвали перевести средства защиты критической инфраструктуры на российские решения

В Национальном координационном центре по компьютерным инцидентам (НКЦКИ) считают, что в условиях непрекращающихся кибератак из-за рубежа остается актуальным вопрос импортозамещения ПО. Аналитики утверждают, что, например, в России четыре из пяти предприятий электроэнергетики могут быть уязвимы для вмешательства иностранных хакеров. Почему использовать зарубежные решения для защиты на объектах критической информационной инфраструктуры (КИИ)* опасно – в материале RSpectr.

УГРОЗА ИЗ-ЗА РУБЕЖА

Более 3 тыс. кибератак на объекты КИИ России совершено с территории иностранных государств в 2021 году, из РФ на другие страны – 1 тыс. атак. Об этом заявил заместитель директора НКЦКИ Николай Мурашов, выступая на пленарном заседании «Инфофорума-2022».

Данные НКЦКИ за 2021 год свидетельствуют о том, что

большинство компьютерных атак осуществлялось из-за рубежа. Их целями стали объекты энергетики, науки, здравоохранения, образования, обороны и промышленности

«Мы фиксируем, что получение доступа к информационным системам объектов критической инфраструктуры РФ, нарушение их функционирования продолжают входить в число приоритетных целей ряда иностранных государств», – заявил Н.Мурашов. По его словам, за рубежом ведется работа по определению уровня устойчивости КИИ России к массированным кибератакам, созданию скрытых плацдармов и подбору мощности для выведения объектов из строя.

Н.Мурашов также предупредил об опасности использования иностранных технологий на объектах КИИ РФ.

Николай Мурашов, НКЦКИ:

– В условиях, когда государства Североатлантического блока готовятся к наступательным операциям и называют Россию страной-агрессором, использование для обеспечения безопасности КИИ технических средств иностранного производства представляет опасность с точки зрения наличия уязвимостей.

Замдиректора НКЦКИ призвал как субъекты КИИ, так и остальные компании использовать при решении задач российское ПО. Он полагает, что применение на предприятиях иностранного софта, несертифицированных средств обнаружения, предупреждения и ликвидации последствий компьютерных атак представляет угрозу.

В ЧЕМ ОПАСНОСТЬ

В комментарии для RSpectr технический директор компании TESSIS Михаил Рожнов отметил, что, хотя в заявлении замдиректора НКЦКИ и не прозвучало слово «закладки» (намеренно внесенные уязвимости), подразумевались именно они. Причем сейчас не обязательно внедрять их заранее – можно прислать по Сети в виде обновлений. Как раз для противодействия такому сценарию и служит особая процедура обновления ПО, сертифицированного по требованиям безопасности информации, пояснил эксперт.

Не нужно забывать еще об одной угрозе, предупредил М.Рожнов, – прекращении поддержки. «Достаточно заблокировать ресурс, с которого скачиваются обновления, – и все, средства почти моментально становятся уязвимыми для организованной киберпреступности, хакеров-одиночек и всех кому не лень», – сказал он.

Руководитель дивизиона информационной безопасности компании TEGRUS Кирилл Уголев напоминает, что все современные средства электронной техники (от бытовых до промышленных) связаны неразрывной «пуповиной» с производителем. Через это взаимодействие они получают обновления, обратную связь от пользователей и другую служебную информацию как о самом устройстве, так и о его окружении.

Кирилл Уголев, TEGRUS:

– Весь этот массив данных используется в том числе и для маркетинга. Но никто не помешает их применить и для других целей, если они появятся, а также если законодательство другой страны это позволяет. Никто не может гарантировать, что иностранные государства не будут использовать имеющиеся средства управления для ослабления противника в случае конфликта.

ТРЕНД НА ИМПОРТОЗАМЕЩЕНИЕ

Ранее сообщалось, что президент РФ Владимир Путин поручил правительству обеспечить внесение в законодательство изменений, направленных на установление обязательного требования о преимущественном использовании отечественного ПО, телекоммуникационного оборудования и радиоэлектронной продукции субъектами КИИ.

Пока соответствующий нормативный акт не принят. Но, как говорит Н.Мурашов, в последние годы наблюдается позитивная тенденция – многие компании внедряют российское ПО.

Это подтверждают и данные исследования Positive Technologies.

Эксперты компании отмечают, что

в 2021 году сформировался новый тренд – более осознанное использование средств защиты, нацеленное на снижение малоуправляемых рисков, связанных с уязвимостями зарубежного программного и аппаратного обеспечения

В ближайшие год-два это скажется на перераспределении соотношения долей между иностранными и отечественными решениями в пользу российских вендоров.

КАКИЕ ОТРАСЛИ ПОД УДАРОМ

В Positive Technologies выяснили, что интересы группировок, атаковавших в течение 2021 года российские организации, распределились между

авиакосмической отраслью (31% случаев);
государственными предприятиями (23%);
IT-компаниями (23%);
оборонно-промышленным комплексом (15%);
ТЭК (8%).

Что характерно – не появилось новых крупных кибергруппировок, нацеленных на вывод денег со счетов в банках, а деятельность старых на территории России датируется первым кварталом 2021 года. Аналитики указывают, что одна из причин этого – высокий уровень зрелости кредитно-финансового сектора России в части информационной безопасности (ИБ) и эффективном обмене информацией, выстроенном в отрасли силами регулятора (ФинЦЕРТ Банка России).

При этом

количество шпионских кампаний APT-группировок**, в том числе нацеленных на предприятия промышленности и энергетики, возросло

Чаще всего результатом атак становилось хищение конфиденциальной информации и нарушение основной деятельности компании (45 и 38% случаев соответственно).

Как сообщил на «Инфофоруме» исполнительный директор ассоциации «Цифровая энергетика» Антон Зубков, цифровизация и увеличение числа digital-каналов обмена данными между организациями способствует росту кибератак в ТЭК. «В отчетах компаний кибербезопасности приводятся данные об увеличении примерно на 60% по сравнению с 2019 годом количества атак на промышленные и энергетические организации по всему миру», – рассказал А.Зубков.

Если брать данные за 2021 год, то, согласно аналитическому отчету экспертной подгруппы по кибербезопасности НТИ «Энерджинет», в России четыре из пяти объектов электроэнергетики могут быть уязвимы для вмешательства из-за рубежа, привел статистику А.Зубков.

По его словам,

в топ-3 наиболее популярных кибермошенничеств входят фишинговые рассылки, проникновение в локальную сеть через уязвимости в сетевом периметре и целенаправленные атаки АРТ-группировок

А.Зубков подчеркнул, что важной темой для сообщества электроэнергетиков является переход на отечественное ПО. В прошлом году Ассоциация совместно с экспертами выделила несколько основных барьеров, которые мешают этому:

отсутствие мер господдержки и регулирования в части перехода на решения, обеспечивающие технологическую независимость на законодательном уровне;
отсутствие единых требований к периодичности обновления защитных средств в среде АСУ ТП (автоматизированная система управления технологическим процессом);
недоверие к качеству отечественного ПО;
недостаток квалифицированных кадров.

СЛОЖНОСТИ ПЕРЕХОДА

Генеральный директор компании ИВК Григорий Сизоненко советует российским организациям с особой тщательностью подходить к выбору программных и аппаратных средств для построения безрисковой цифровой инфраструктуры.

В первую очередь, по его словам, встает вопрос о переходе на отечественную ОС, которая защищена от несанкционированного (в том числе тайного) вмешательства извне в работу российских информационных систем. Такая ОС должна включать встроенные средства, соответствующие ГОСТам, базироваться на отечественном репозитории «Сизиф», одном из крупнейших в мире, быть совместимой с отечественными процессорами, которые построены на технологически независимой архитектуре.

По словам К.Уголева, переход на отечественное ПО для ИБ существенно снизит риски объектов КИИ и зависимость от внешних юрисдикций. Но надо учитывать, что

не так много российских решений построено исключительно на компонентах, произведенных на территории РФ

К тому же никогда нельзя игнорировать человеческий фактор. «Сделать уязвимой систему можно и в России, и продать ее. Стандартные механизмы для поиска этих уязвимостей при приемке могут не сработать. Поэтому переход на российское ПО не является абсолютной панацеей», – предупреждает эксперт.

Директор центра компетенций по информационной безопасности компании «Т1 Интеграция» Игорь Кириллов обращает внимание на то, что в настоящее время многие отечественные разработки, даже сертифицированные по требованиям регуляторов РФ, продолжают работать в средах операционных систем Microsoft. По его мнению, в связи с возможными ограничениями, направленными против российских организаций, ситуация будет меняться в ближайшее время.

Ведущий эксперт по информационной безопасности компании КРОК Евгений Дружинин рассказал RSpectr, что к сложностям перехода на отечественное ПО для ИБ можно отнести:

отсутствие квалификации у специалистов предприятия по работе с конкретным решением;
проблемы совместимости с существующими средствами;
недостаточный функционал систем защиты и т.п.

РЫНОК РАСТЕТ

Практически все уровни власти за последние три года обратили внимание на российский ИБ-рынок. Это дало как дополнительный рост его объему, так и новые возможности для развития IТ-компаний, считает менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт» Кирилл Романов.

«Сейчас на любое требование регулятора для защиты КИИ на рынке есть сразу несколько вариантов продуктов, что характеризует желание отрасли ИБ развиваться», – утверждает К.Романов.

Е.Дружинин также отмечает, что сейчас есть весь стек отечественных решений в отношении обеспечения ИБ, однако до сих пор возникают проблемы интеграции с уже существующими системами заказчиков. Вопросы подтверждения совместимости, как правило, успешно решаются, если удается наладить тесную связь между клиентами, вендорами средств автоматизации и защиты и интеграторами. «Но даже при выпадении из этой цепи отдельных звеньев эти вопросы могут быть успешно решены для заказчика», – полагает Е.Дружинин.

По мнению К.Уголева, говорить о насыщенности решениями ИБ для КИИ пока рано. Это станет возможным после достижения определенного уровня зрелости менеджмента компаний – субъектов КИИ. Именно они вместе с регулятором формируют запрос рынку на эти решения. А наша страна только в начале пути.

Сейчас сложились отдельные рыночные категории, в которых конкурируют между собой только отечественные решения, а иностранные продукты-лидеры исключены из этого процесса, указывает М.Рожнов.

Михаил Рожнов, TESSIS:

– Это касается прежде всего сложного инфраструктурного системного ПО, в первую очередь ОС и сред виртуализации. Да, есть проекты с открытым кодом, на базе которого создаются отечественные продукты, но вот, например, с ОС для мобильных устройств ситуация сложная. Поэтому применять планшеты и смартфоны в информационных системах, для которых должны выполняться требования защиты данных, очень трудно или вообще невозможно.
______

* К объектам КИИ относятся:

информационные системы;
автоматизированные системы управления технологическими процессами;
информационно-телекоммуникационные сети.

Субъекты КИИ: государственные органы, госучреждения, российские юридические лица и индивидуальные предприниматели, которым принадлежат объекты КИИ, функционирующие в сфере:

здравоохранения;
науки;
транспорта;
связи;
энергетики;
банковской сфере и иных сферах финансового рынка;
топливно-энергетического комплекса;
атомной энергии;
оборонной и ракетно-космической промышленности;
горнодобывающей, металлургической и химической промышленности.

** APT (advanced persistent threat)-группировка – преступное сообщество, имеющее значительные финансовые ресурсы и технические возможности для организации тщательно спланированных кибератак, которые направлены на конкретную компанию или целую отрасль.

Изображение: RSpectr, Adobe Stock, Freepik.com

ЕЩЕ ПО ТЕМЕ: