Кибербезопасность КИИ: от теории к практике

Отечественные спецслужбы характеризуют уровень кибератак на РФ, как «критический». Главным вызовом 2022 г. для сферы информационной безопасности в России стал беспрецедентный рост вредоносной киберактивности. Как факт эта тенденция была отмечена в рамках заседания Совета Безопасности 20 мая 2022 г. Президентом России Владимиром Путиным.

Немаловажным фактором, влекущим киберриски, стал уход иностранных вендоров с российского рынка. Это обнажило ряд проблем, которые связаны с отсутствием технической поддержки и обновлений зарубежных ИТ-продуктов, выявлением уязвимостей хакерскими группировками.

Очевидно, что до полного перехода на отечественные программные продукты и «железо» российским компаниям придется использовать гибридную инфраструктуру, постепенно замещая иностранные аналоги. Потому что стать импортонезависимыми мгновенно невозможно. Не добавляет оптимизма и нехватка квалифицированных кадров в отрасли.

Указ Президента РФ от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ»

С 1 января 2025 г. органам государственной власти и заказчикам запрещается использовать иностранное ПО на значимых объектах критической информационной инфраструктуры.

Читать полностью

Времени крайне мало, поэтому необходимо как можно скорее определяться с теми решениями, которые уже есть в Реестре отечественного ПО, и в существующей реальности обеспечить комплексную защиту ИТ-инфраструктуры. При этом не только важно, но и необходимо при выборе ИБ-решений соблюсти требования законодательства и регуляторов. Что касается конкретных мер для обеспечения безопасности объектов КИИ, то ФСТЭК России в своем Приказе от 25 декабря 2017 г. N 239 дал исчерпывающие требования.

Таймлайн киберинцидентов

Увеличение частоты атак случилось не одномоментно, тренд проявил себя еще несколько лет назад. Например, в 2020 г. заметно выросло количество атак на промышленные предприятия: на 60% больше, чем в 2019 г., а количество инцидентов увеличилось на 91%. Это следует из аналитического отчета Positive Technologies за 2020 г. В первом полугодии 2021 г. количество кибератак на российскую критическую инфраструктуру увеличилось на 150%, подсчитали в ГРЧЦ.

Специалисты компании StormWall обнаружили, что с 24 по 28 февраля 2022 г. вкупе с классическим киберкриминалом к атакам на КИИ России подключились различные группы хактивистов, начав активно атаковать компании, относящиеся к разным секторам экономики.

В конце февраля 2022 г. Национальный координационный центр по компьютерным инцидентам (НКЦКЦИ) в своем бюллетене оценил угрозу кибератак на отечественные информационные ресурсы как «критическую». В частности, в документе отмечается: «В сложившейся напряженной геополитической обстановке мы ожидаем увеличения интенсивности компьютерных атак на российские информационные ресурсы, в том числе объекты критической информационной инфраструктуры (КИИ). Атаки могут быть направлены на нарушение функционирования важных информационных ресурсов и сервисов, нанесение репутационного ущерба, в том числе в политических целях».

Игорь Душа, технический директор InfoWatch ARMA

«Основные принципы атак в арсенале злоумышленников известны специалистам информационной безопасности не первый год. Злоумышленники продолжают эксплуатировать классические уязвимости, а также применяют известные методы социальной инженерии и фишинга. Однако с точки зрения ИБ остается много незащищенных секторов в инфраструктуре предприятий. Цифровизация повлекла объединение промышленного и ИТ-сегментов, которые ранее традиционно были изолированы от внешнего доступа и еще не защищены в настоящий момент. Взаимосвязанность этих сегментов делает промышленные системы уязвимыми для компьютерных атак и приводит к их увеличению в текущих условиях».

По данным, опубликованным экспертным центром безопасности PT Expert Security Center, PT ESC в середине мая 2022 г., была обнаружена очередная преступная кибергруппировка, которой удалось атаковать не менее 5 госучреждений и предприятий авиационно-космической и электроэнергетической отраслей.

Решение задач кибербеза в КИИ

Недоверие к иностранным поставщикам сервисов и продуктов появилось еще в 2014 г., когда США ввели санкции в отношении России. Произошло отключение нескольких отечественных банков от платежных систем Visa и Mastercard. Именно с того момента стартовали практические меры в рамках программы импортозамещения, в том числе в сфере ИТ и ИБ.

В России запущен «Единый реестр российских программ», был выпущен приказ ФСТЭК России от 25 декабря 2017 г. №239 с требованиями по защите объектов КИИ. Главное — появились отечественное ПО и программно-аппаратные комплексы, позволяющие обеспечить реальную, а не «бумажную» безопасность объектов критической информационной инфраструктуры по самым высоким классам защиты.

Компания InfoWatch в 2020 г. представила отечественную систему защиты информации в АСУ ТП — InfoWatch ARMА, которая защищает АСУ ТП как на уровне сети, так и конечных узлов, а также предоставляет возможность централизованного управления всей системой защиты. Решение проектировалось с учетом подхода эшелонированной (многоступенчатой) защиты с целью предотвращения или сдерживания атак. InfoWatch ARMA выстраивает эшелоны защиты на уровнях и сети, и конечных устройств. Благодаря тому, что продукты системы InfoWatch ARMA интегрированы между собой, сотрудник ИБ АСУ ТП видит картину ИБ целиком, опираясь на данные от всех средств защиты информации. Это позволяет своевременно локализовать атаку, предотвратить ее распространение путем эффективной минимизации поверхности атаки.

InfoWatch ARMA

Решение входит в ЕРРПО и позволяет выполнить до 90% технических мер, которые реализуются наложенными средствами защиты, согласно Приказу ФСТЭК России от 25 декабря 2017 г. N 239 о защите объектов КИИ.

Читать полностью

«Об импортозамещении, в том числе, на объектах КИИ мы говорим давно, озвучивая риски кибербезопасности, такие как эксплуатация уязвимостей с последующим предоставлением доступа к промышленной сети злоумышленникам, дистанционное отключение оборудования и прочие. Для вендоров не секрет, что при разработке ИТ-продуктов существует возможность оставить способы и каналы связи для дальнейшего проникновения и управления продуктом, — отмечает Дмитрий Аносов, генеральный директор компании InfoWatch ARMA. — Или же другой пример: сегодня зарубежные производители оставили отечественных заказчиков с устройствами без обновлений. С точки зрения информационной безопасности такие устройства перестают быть актуальными, они бесполезны и несут дополнительные риски. Помимо этого, эффективность практически любого средства ИБ ограничена наличием на предприятии квалифицированного персонала, а кадровый кризис не позволяет обеспечить должный уровень ИБ и правильную настройку средств защиты информации. Это весьма серьезная проблема, стоящая перед всей отраслью. Поэтому разработчики InfoWatch ARMA в качестве своего вклада в преодоление этого вызова автоматизировали некоторые бизнес-процессы. В противном случае решение этой проблемы невозможно».

Практический опыт и результат

Одно из первых внедрений InfoWatch ARMA состоялось в «Янтарьэнерго», крупнейшем электросетевом промышленном предприятии Калининградской области. Компания является объектом КИИ РФ. Это обстоятельство заставляет руководство компании особенно тщательно искать подходы к реальному повышению своего уровня защищенности.

По словам представителей «Янтарьэнерго», перед компанией встала задача модернизации системы защиты информации, чтобы соответствовать требованиям закона №187-ФЗ «О безопасности КИИ РФ» и обеспечить защиту от современных угроз цифрового мира с учетом как внутренних, так и внешних факторов их возникновения.

В начале 2021 г. на границе между корпоративной и OT-сетями электросетевой компании в рамках месячного пилотного проекта были установлен InfoWatch ARMA Industrial Firewall, а также решение от другой отечественной ИБ-компании.

Продукт InfoWatch ARMA выявил некоторые типы паразитного трафика, генерируемого операционными системами и некоторыми приложениями, а также зафиксировал события, представляющие потенциальную угрозу для «Янтарьэнерго». Источники угроз и возможные меры по их снижению были представлены заказчику после детального изучения собранных событий безопасности в Москве, в штаб-квартире InfoWatch ARMA. В рамках проекта решение было доукоплектовано системой InfoWatch ARMA Management Console.

Таким образом, компания «Янтарьэнерго» смогла выполнить целый ряд требований регуляторов по защите КИИ, так как программные продукты InfoWatch ARMA Industrial Firewall, InfoWatch ARMA Industrial Endpoint и InfoWatch ARMA Management Console внесены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Также InfoWatch ARMA Industrial Firewall является межсетевым экраном типа «Д» четвертого класса защиты (ИТ.МЭ.Д4.ПЗ) с системой обнаружения вторжений уровня сети четвертого класса защиты (ИТ.СОВ.С4.ПЗ).

Что под капотом?

Гарантией повышения уровня защищенности ИТ-инфраструктуры предприятия является использование промышленного межсетевого экрана нового поколения (NGFW) InfoWatch ARMA Industrial Firewall, который разработан с учетом всех современных требований к безопасности на промышленных объектах КИИ. Глубокий анализ сетевых пакетов (DPI) повышает прозрачность сети, позволяет вовремя выявлять и быстро реагировать на попытки взлома или несанкционированного доступа.

Принцип действия DPI заключается в том, что файервол разбирает передаваемый трафик, определяя по заголовкам и содержимому IP-пакета тип протокола. Более того, для значительной части промышленных протоколов возможно определение конкретной команды, посылаемой на оборудование, а также внутренних адресов протокола и передаваемых значений. В InfoWatch ARMA Industrial Firewall встроена система обнаружения вторжений (СОВ), которая регулярно обновляет базы данных сигнатур как самостоятельно, так и через консоль управления.

В состав решения входит также средство защиты рабочих станций и серверов АСУ ТП — InfoWatch ARMA Industrial Endpoint для создания замкнутой программной среды. Оно блокирует запуск недоверенных программ, контролирует целостность файлов рабочих станций и серверов АСУ ТП, ограничивает подключение USB и других съемных носителей.

Одним из автоматизированных средств, позволяющих решать дефицит кадров, является InfoWatch ARMA Management Console — единый центр управления всем решением. Один веб-интерфейсе позволяет оценить кибербезопасность в сети и на активах. Автоматизированы реакции на инциденты, распространение политик, ИБ-события коррелируются по степени значимости, собираются со всех средств защиты в единый список и связываются в ИБ-инциденты. Помимо этого, Management Console обновляет продукты InfoWatch ARMA и их конфигурации. Другие настройки для синхронизированных СЗИ также осуществляются через единый центр.

Читать полностью