Решения отечественных ИТ-компаний для защиты КИИ. Технологии, прогнозы, комментарии экспертов российского ИТ-рынка

В области защиты критической информационной инфраструктуры (КИИ) есть немало проблем, вызванных появлением новых уязвимостей КИИ и ростом числа новых угроз. Отечественным системным интеграторам и ИБ-разработчикам удается справляться с ситуацией, чему способствуют тренды на импортозамещение и создание экосистемных защитных решений. Об этом за виртуальным круглым столом ICT-Online.ru беседуют эксперты АМТ-ГРУП, группы ЛАНИТ, «Инфосистемы Джет», STEP LOGIC, Infosecurity (ГК Softline), Т1 Интеграции, BI.ZONE, InfoWatch, «СёрчИнформ» и Kaspersky ICS CERT.

ICT-Online.ru: Какие новые угрозы появились в части КИИ, с чем они связаны?

Руководитель направления собственных продуктов АМТ-ГРУП Вячеслав Половинко: На мой взгляд, на тему новых угроз КИИ следует смотреть сквозь призму трех аспектов. Во-первых, это общее снижение уровня защиты, связанное с комплексными процессами перестройки всей системы управления ИБ предприятий и организаций из-за ухода крупных иностранных игроков, исключения их решений из системы защиты. В том числе наблюдаемое отсутствие адекватной замены по ряду средств защиты. Во-вторых, это рост профессионализма злоумышленников, ставящих своей основной целью нашу критическую инфраструктуру, публичные декларации «хакерских группировок» в части организации атак на КИИ на фоне СВО. В-третьих – развитие в целом средств кибератак и решений. Как следствие, эти аспекты позволяют говорить о том, что эффективными могут оказаться не только новые киберугрозы, но и ранее существовавшие векторы атаки, которые сейчас фактически получают «вторую жизнь».

 

Руководитель направления собственных продуктов АМТ-ГРУП Вячеслав Половинко

 

Директор Центра информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ) Николай Фокин: Сегодня одна из распространенных угроз в части критической информационной инфраструктуры (КИИ) связана с нарушениями цепочек поставок иностранного оборудования, программного обеспечения (ПО) и средств защиты. Как следствие, у бизнеса возникают проблемы с получением обновлений ПО и поддержкой решений, из-за чего возрастает риск возникновения уязвимостей. В то же время ощутимо снизился и уровень доверия к подобному программному обеспечению.

 

Директор Центра информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ) Николай Фокин

 

Отсутствие возможности полностью заместить некоторые западные решения, недостаточная зрелость отдельных отечественных продуктов и их совместимость с иностранными аналогами повышает вероятность инцидентов кибербезопасности. Также не стоит забывать об эскалации кибератак на объекты КИИ, всплеск которых наблюдался в прошлом году.

Руководитель Центра комплексной безопасности ЛАНИТ Дмитрий Дудко: Главный источник угроз для КИИ сейчас ‒ их возрастающая известность. Если раньше такие системы могли работать годами, то теперь внимание к объектам КИИ все выше. Возможные негативные последствия, помноженные на устаревшие технологии (большинство производственных систем КИИ не менялось в течение десяти и более лет) являются основными источниками угроз. Фактически мы переживаем ренессанс свободных исследователей и script kiddie, как уже было на заре эры Интернета. Только последствия могут быть разные (даже если не было злого умысла). Взлом какого-нибудь сайта не сравнится с падением электрической подстанции

 

Руководитель Центра комплексной безопасности ЛАНИТ Дмитрий Дудко

 

Руководитель направлений защиты АСУ ТП и КИИ центра информационной безопасности компании «Инфосистемы Джет» Александр Карпенко: В последнее время особое место в ландшафте угроз заняли нарушители - хактивисты, которые имеют достаточно низкий уровень компетенций, но высокую личную мотивацию. Также данный класс нарушителей характеризуется тем, что не преследует целей обогащения. В данном случае атаки направлены на нанесение максимального финансового и репутационного ущерба компании.

 

Руководитель направлений защиты АСУ ТП и КИИ центра информационной безопасности компании «Инфосистемы Джет» Александр Карпенко

 

Заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко: Принципиально новые угрозы появляются обычно на фоне прорывного развития технологий, а в прошлом году этого не наблюдалось. Однако возникли новые уязвимости, такие как Log4Shell, вымогатели типа CryWiper и т.д. Кроме этого, повысилась частота атак типа DDoS, стали более популярны атаки на цепочку поставок (supply chain), которые реализуются не на защищаемую инфраструктуру, а через доверенные объекты: поставщиков, разработчиков, каналы поставки и обновления ПО и т.д. Но все это, повторюсь, скорее перераспределение актуальности угроз, а не возникновение принципиально новых.

 

Заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко

 

Относительно новыми для КИИ можно назвать риски, связанные с использованием технических средств иностранного происхождения. Они присутствовали и ранее, но мало кто рассматривал их всерьез. Сейчас же эти угрозы актуальны для всех отечественных организаций.

  • Отсутствие технической поддержки системного и прикладного ПО. Часть иностранных вендоров перестала поддерживать софт и средства защиты, эксплуатирующиеся в РФ, соответственно, недоступными стали обновления, закрывающие новые уязвимости;
  • Отсутствие технической поддержки средств защиты. Кроме перечисленных выше угроз добавляется также снижение эффективности самих средств защиты, так как для части функций стали недоступны лицензии или не поставляются обновления для выявления уязвимостей и вредоносного ПО;
  • Ограничение поставок оборудования и прекращение его поддержки влечет сложности с модернизацией и доступностью подменного оборудования;
  • Риски использования недекларированных возможностей («бэкдоров» и «закладок»). Эта угроза актуальна как для коммерческого ПО (были случаи внедрения кода в обновления), так и для open source. Причем, в последнем случае пострадать могут и отечественные разработки, которые используют готовые части из общедоступных репозиториев.

Ведущий специалист отдела аудита Infosecurity (ГК Softline) Максим Гострый: Если углубляться в проблематику угроз безопасности объектов КИИ, то можно сказать, что новых угроз в части КИИ практически не появилось, все они основываются на уже давно известных принципах:

  • использования уязвимостей программного обеспечения;
  • уязвимостей ИТ-архитектуры;
  • методах DoS- и DDoS-атак;
  • методах социальной инженерии как со стороны злоумышленников, так и со стороны конкурентов.

 

Ведущий специалист отдела аудита Infosecurity (ГК Softline) Максим Гострый

 

В целом, уязвимости в системном и прикладном программном обеспечении являются весьма серьезной угрозой функционирования объектов КИИ. Большинство субъектов КИИ используют зарубежное программное обеспечение, управляемое устаревшими версиями операционных систем. Например, Microsoft Windows XP или Windows 7, которые, в свою очередь, не имеют действующей технической поддержки производителя, при этом все имеющиеся уязвимости данных операционных систем хорошо известны злоумышленникам. Использование зарубежного программно-аппаратного обеспечения обусловлено тем, что разработчики программно-аппаратных решений, используемых сейчас в промышленности, тестировали решения известных вендоров, в основном Cisco и MicroTik.

У ГК Softline много успешных кейсов в части ИБ. В частности, компания помогла сотрудникам Правительственного комплекса повысить осведомленность в области информационной безопасности, а также провела ИТ-учения для Трубной Металлургической Компании, направленные на повышение информационной защищенности организации. О решениях и проектах отечественных интеграторов для защиты КИИ говорит ведущий специалист отдела аудита Infosecurity (ГК Softline) Максим Гострый (см. интервью раздела «Softline» от 24 марта 2023 г.).

В процессе целенаправленных атак на объекты КИИ широко используются уязвимости ИТ-архитектуры и информационных систем. Количество таких атак стало характерным для организаций банковской сферы и иных организаций финансового рынка. DoS- и DDoS-атаки используются целенаправленно для возникновения угрозы «отказ в обслуживании» и дальнейшего формирования негативного мнения со стороны клиентов банковских организаций, потенциального уменьшения клиентской базы.

Часто встречаются угрозы, связанные с социальной инженерией. Человек является наиболее опасной угрозой для функционирования объектов КИИ и дальнейшей работоспособности определенного узла или всей системы в целом. Если ранее такие методы использовались преимущественно конкурентными организациями той области, в которой функционирует субъект КИИ, то сегодня остановка субъекта КИИ может быть использована для подрыва экономической деятельности или отдельно взятой сферы деятельности.

Ведущий консультант Центра компетенций по информационной безопасности Т1 Интеграции Евгений Воробьев: В последние годы появилось множество новых угроз для критической информационной инфраструктуры (КИИ), которые связаны с развитием технологий, изменением векторов атак и усилением киберпреступности, а также повышением рисков ИБ, связанных с переходом источников угроз на межгосударственный (международный) уровень и, соответственно, повышением уровней их оснащенности и мотивации. К таким угрозам можно отнести атаки на устройства интернета вещей (IoT), которые используются на объектах КИИ – умные электросчетчики, промышленные датчики и т.д. Примером может служить атака, посредством которой подключенные к сети устройства IoT используются в качестве ботнета для DDoS или развития других векторов атак.

 

 

Кроме того, уход с российского рынка зарубежных поставщиков ПО, оборудования и средств защиты информации, приостановление их технической поддержки и невозможность получать критические важные обновления, могут привести к серьезным угрозам в системе информационной безопасности объектов КИИ, где данные продукты и средства уже функционируют.

Не новыми, но все еще актуальными являются атаки на используемые для КИИ облачные системы, на цепочку поставок (supply chain attack), на управляющие системы (например, SCADA-системы). Источником угроз продолжают оставаться кибершпионаж, фишинговые атаки на обслуживающий объекты КИИ персонал, внутренние угрозы, связанные с утечками конфиденциальных данных за счет недобросовестных сотрудников и недостаточной подготовки кадров в области ИБ.

Руководитель управления киберразведки BI.ZONE Олег Скулкин: В зависимости от масштаба организации и степени ее влияния на жизнь общества все субъекты КИИ можно разделить на значимые (например, электростанции) и субъекты без категории значимости (например, поликлиники). Вторые наиболее уязвимы, поскольку часто уровень кибербезопасности у них намного ниже, чем у значимых.

 

Руководитель управления киберразведки BI.ZONE Олег Скулкин

 

Совсем недавно управление киберразведки BI.ZONE выявило кампанию группы Key Wolf. Ее целью было именно повреждение компьютеров с помощью программы-вымогателя, а не получение выкупа. Это не единственный пример: эксперты BI.ZONE также фиксировали подобные атаки с использованием программы-вымогателя LockBit. Об этом говорит руководитель управления киберразведки BI.ZONE Олег Скулкин (см. фигуру речи раздела «BI.ZONE» от 28 марта 2023 г.).

Традиционно объекты КИИ становились целями групп, задачей которых был сбор различных конфиденциальных данных. При этом нарушение работоспособности ИT-инфраструктуры было скорее исключением, нежели правилом.

Сегодня помимо традиционного ландшафта угроз появились так называемые хактивисты. Их цель — это не только компрометация ИT-инфраструктуры с целью кражи данных (зачастую с последующей публикацией), но и действия, направленные на вывод ее из строя, в том числе с использованием модифицированных программ-вымогателей и вайперов.

Руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов: Исторически сведения об инцидентах ИБ в России сложно найти, а если они касаются объектов КИИ – еще сложнее, так как распространение информации о них регулируется законодательством. Однако экспертно-аналитическим центром ГК InfoWatch была проведена аналитическая работа и опубликованы два публичных документа по данной теме: «Инциденты ИБ за 2022 год» и «Международная статистика влияния инцидентов на деятельность предприятий». На основании этих материалов можно сделать вывод, что принципиально новых угроз не наблюдается, но атаки становятся более тяжелыми, и в среднем каждая компания суммарно в течение года более суток испытывает вынужденный простой по причине кибератак.

 

Руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов

 

Руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев: В 2022 году ключевой проблемой стала масштабная реализация угроз для КИИ – их количество резко возросло. Раньше в фокусе кибератак были компании, взлом которых приведет к явной финансовой выгоде. В прошлом году и сейчас атакуются субъекты КИИ, где главная цель – парализовать работу организации. При этом ФСТЭК отмечает, что повысилась скорость реализации угроз с момента публикации сведений об их уязвимостях до практической реализации.

 

Руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев

 

Технологически способы атак не изменились, но появились новые мотивы их осуществления. Основным мотивом в прошлом году стал «хактивизм», когда злоумышленники действуют не для финансовой или подобной выгоды, а из идейных соображений.

В лидерах по-прежнему атаки на отказ в обслуживании, фишинг, распространение вредоносов, целенаправленные атаки, кража данных. Но для КИИ также актуальны стандартные риски ИБ, ведь и в них хранятся ПДн, есть коммерческая тайна, идет взаимодействие с поставщиками, контрагентами, клиентами. Здесь обычно речь идет об утечке конфиденциальной информации и персональных данных. В 2022 году такие риски стали реализовываться на предприятиях, работающих с инженерной документацией, выпускающей отдельные типы продукции, работающих с ГОЗ.

Технические средства для борьбы с киберугрозами остались прежними – антивирусы, файрволы, SIEM и прочие – и активно используются в КИИ.

Отдельно выделю инфраструктурные риски. В прошлом году многие зарубежные компании из сферы ИБ покинули российский рынок, нарушив договорные обязательства с клиентами. Кроме того, указ Президента РФ, направленный на ускорение темпов импортозамещения, уже почти год назад запретил субъектам КИИ приобретать иностранное ПО для обслуживания своей инфраструктуры.

На данный момент есть две проблемы. Во-первых, необходимо экстренно заменить ИТ и ИБ-решения, что сопряжено с серьезной перестройкой инфраструктуры и некоторых бизнес-процессов, переобучением сотрудников и наймом новых специалистов. Во-вторых, возникли непредвиденные траты – средства на переход с одних ИТ-продуктов на другие не были заложены в бюджет.

Эксперт по кибербезопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко: КИИ – это не одна система, а совокупность систем, куда в том числе могут входить системы промышленной автоматизации. Поэтому если говорить шире, об угрозах, связанных не только с объектами критической инфраструктуры, а в целом с АСУ ТП, то изменений в ландшафте не так много. По-прежнему есть риск проникновения атакующих из сети Интернет, смежных сетей, через съемные носители. Нельзя исключать и действия со стороны инсайдеров. Время от времени возникают угрозы, связанные с компрометацией со стороны участников цепочки поставок или доверенных партнеров: компаний-подрядчиков, которые имеют удаленный или локальный доступ к системам промышленной автоматизации или системам, относящимся к КИИ.

 

Эксперт по кибербезопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко

 

ICT-Online.ru: Какие объекты КИИ наиболее уязвимы и почему?

Вячеслав Половинко (АМТ-ГРУП): Наиболее уязвимыми (не с точки зрения эффективности применяемых на местах средств защиты, а с точки зрения территориальной распределённости и привлекательности для злоумышленников) являются предприятия ТЭК (от добычи до транспортировки и переработки), энергетики (от генерации до транспортировки), транспортной инфраструктуры. Сложность организации защиты таких объектов вытекает из их масштабов и большого числа точек сопряжения с потребителями, контрагентами, значительного числа автономных объектов, которые сами по себе могут быть скомпрометированы и выступать источником атаки в общей (пусть даже и эффективно сегментированной) сети предприятия.

ГК ЛАНИТ проводит всесторонний анализ угроз информационной безопасности и помогает трансформировать защиту с учетом импортозамещения и в соответствии с требованиями регуляторов. Киберустойчивость клиентов ЛАНИТ в условиях текущих угроз значительно повышается. О проблемах защиты КИИ и решениях отечественных интеграторов для ее обеспечения говорит руководитель Центра комплексной безопасности ЛАНИТ Дмитрий Дудко (см. интервью раздела «ЛАНИТ» от 30 марта 2023 г.).

Дмитрий Дудко (ЛАНИТ): Наиболее уязвимы промышленные и производственные объекты. В отличие от систем КИИ в других отраслях данные информационные системы тесно переплетены с АСУ ТП. Помимо прочего, их внедрение пришлось на начало 2010-х годов, что наложило свой отпечаток на используемую инфраструктуру. В подавляющем большинстве там используются неподдерживаемые операционные системы (например, Windows XP). Таким образом, этот крайне устаревший стек технологий иногда даже непонятно, как защищать. Современные средства защиты информации не поддерживают данные ОС, а перейти на новые технологии не дают службы эксплуатации, так как «все работает».

Александр Карпенко («Инфосистемы Джет»): Наиболее уязвимы удаленные и географически отрезанные от внешнего мира объекты. Это происходит ввиду недостатка квалифицированного персонала на местах и в случае атаки, ее обнаружение может произойти уже во время нанесения ущерба.

Денис Пащенко (STEP LOGIC): В последнее время наравне с традиционно слабым уровнем защищённости наиболее значимыми факторами, повышающими уязвимость КИИ, стали зависимость от иностранных решений и наличие доступных сервисов в сети Интернет.

Специалисты STEP LOGIC предлагают заказчикам средства защиты на основании категорирования КИИ и требований нормативных документов, а также оценки рисков и лучших практик ИБ. Компания не осуществляет целенаправленное продвижение производителей, так как имеет в своем портфеле десятки решений по каждому направлению и отталкивается от реальных потребностей, ограничений и рисков заказчиков. Об этом говорит заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко (см. интервью раздела «СТЭП ЛОДЖИК» от 22 марта 2023 г.).

Выше я уже называл причины, по которым зависимость от иностранных решений повысила уязвимость практически для всех организаций. Поэтому подробнее остановлюсь на втором факторе. Наличие доступных сервисов из сети Интернет расширяет возможности по проведению атак, особенно если они критические, например, системы бронирования авиакомпаний или промышленные комплексы – некоторые вендоры, такие как Siemens, General Electric, Honeywell, не только собирали телеметрию с установленных в России продуктов, но и имели удаленный доступ к ним для технического сопровождения.

Риски дополнительно повышаются, если компания широко известна. Она становится более интересной целью для атак, количество которых резко возросло в прошлом году. При этом множество простых атак, которые могут даже не достигать цели, нередко маскируют единичные целевые.

Максим Гострый (Infosecurity): Наиболее уязвимыми являются объекты КИИ, для которых еще не создана система обеспечения безопасности. Или же объекты, на которых система защиты построена на зарубежном программном и аппаратном обеспечении. При этом наиболее уязвимыми являются объекты КИИ, имеющие выход в сеть общего пользования: как имеющие подключение к сети Интернет сам по себе, так и имеющие подключение в сеть Интернет через корпоративную сеть передачи данных (т.е. когда автоматизированная система управления не имеет собственного выхода в сеть Интернет, но подключена к корпоративной сети, имеющей выход в сеть общего пользования).

С точки зрения получения злоумышленниками финансовой выгоды, наиболее уязвимыми являются объекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка. Целью злоумышленников является получение прямой и косвенной финансовой выгоды, а также нарушение функционирования средств защиты информации и информационных систем, что уже может быть связано с политическими целями.

Евгений Воробьев (Т1 Интеграция): Объекты КИИ наиболее уязвимы, когда они имеют слабые места в своей защите. С этой точки зрения наибольшего внимания компаний заслуживают обслуживающий объекты КИИ персонал, а также системы обеспечения информационной безопасности.

Человеческий фактор является одним из самых сложных для контроля и управления. Многие сотрудники КИИ могут не иметь достаточных знаний и навыков в области информационной безопасности, что делает их более подверженными ошибкам и недостаточному противодействию угрозам безопасности. Кроме того, атакующие могут использовать социальную инженерию, чтобы обмануть сотрудников КИИ и получить доступ к необходимым системам. Основными векторами являются фишинговые атаки, ложные телефонные звонки и электронные письма. Также персонал может быть подвержен внутренним угрозам, таким как мошенничество, кража данных и т.д.

К дополнительным угрозам в системе могут привести недостаточное соблюдение политик безопасности. Например, если сотрудники КИИ не следуют установленным политикам и регламентам безопасности, случайно или намеренно загружают вредоносное программное обеспечение. Многие сотрудники КИИ могут не осознавать риски безопасности, связанные с их действиями и привычками, что делает их более подверженными к атакам и угрозам.

Олег Скулкин (BI.ZONE): В зависимости от масштаба организации и степени ее влияния на жизнь общества все субъекты КИИ можно разделить на значимые (например, электростанции) и субъекты без категории значимости (например, поликлиники). Вторые наиболее уязвимы, поскольку часто уровень кибербезопасности у них намного ниже, чем у значимых.

Группа компаний InfoWatch – топовый российский разработчик ИБ-решений для анализа информационных потоков и предотвращения утечек корпоративных данных, обеспечения кибербезопасности автоматизированных промышленных систем и защиты бизнес-приложений от уязвимостей и кибератак. С учетом оргмер и грамотного построения процессов ИБ, при использовании продуктов InfoWatch предприятие может закрыть 90% требований ФСТЭК. О решениях отечественных вендоров для защиты КИИ рассказывает руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов (см. интервью раздела «InfoWatch» от 24 марта 2023 г.).

Алексей Петухов (InfoWatch): Согласно нашей статистике по миру, наибольший ущерб от действий злоумышленников испытывают предприятия ТЭК и государственного сектора. Скорее всего, данные отрасли можно выделить и в Российской Федерации, так как в обоих случаях мы имеем дело с достаточно большой, распределенной инфраструктурой, требующей значительных финансовых, человеческих и временных ресурсов для создания и эксплуатации современных систем защиты.

Стоит отметить, что кадровый вопрос, а также неготовность высшего менеджмента осознать важность задач по обеспечению ИБ – наиболее острые в России. Согласно аналитическому отчету по осведомленности центра компетенций «Кибербезопасность» НТИ «Энерджинет», лишь 30% первых лиц компаний уделяют внимание ИБ в постоянной работе.

Наличие уязвимостей в ИT-системах характерно для абсолютного большинства крупных отечественных компаний. Так, согласно результатам недавнего исследования Positive Technologies, злоумышленники способны преодолеть сетевой периметр безопасности в 96% случаев. Это недопустимо высокий показатель, а сама ситуация вызвана масштабной и во многих случаях нерациональной цифровизацией бизнес-процессов, польза от которой несопоставима с имеющимися рисками.

Сейчас от нас требуются незамедлительные действия. Среди доступных мер, в том числе, называется и децифровизация – частичное отключение от Интернета ключевых объектов критической инфраструктуры, воздействие на которых может вызвать значительный ущерб для предприятий и российской экономики в целом.

Алексей Парфентьев («СерчИнформ»): Государство задало вектор на оценку правильности категорирования объектов КИИ. Пока количество атак резко не выросло в прошлом году, к задаче категорирования подходили достаточно мягко, случались ошибки категорирования, часть объектов не попадали в перечень КИИ. А значит, требования регуляторов и профильные законы их не касались. Как итог: на защиту выделялось недостаточно средств и специалистов. Сюда же наложились задачи импортозамещения. И теперь необходим дополнительный бюджет на обеспечение совместимостей нового технологического стека с имеющимися СЗИ и, по необходимости, на внедрение новых защитных средств.

Таким образом, наиболее уязвимы те субъекты КИИ, где есть дефицит финансирования и ИБ-кадров.

Владимир Дащенко (Kaspersky ICS CERT): Наиболее уязвимыми объектами КИИ, как и в любой другой области, являются организации, которые не уделяют должного внимания собственной защите. Мы рекомендуем всегда следовать требованиям и рекомендациям регуляторов, а также следить за обновлениями, касающимися новых трендов в угрозах и уязвимостях, которые выпускаются регулирующим органами или ICS CERT. Не менее важно придерживаться базовых принципов эшелонированной защиты, которая подразумевает выстраивание безопасности для каждого типа актива компании.

ICT-Online.ru: Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?

На рынке средств защиты компания АМТ-ГРУП традиционно представлена решениями по физической изоляции сетевого периметра – однонаправленными шлюзами. Это продукты InfoDiode, которые хорошо показывают себя фактически во всех отраслях, от энергетики и транспорта до финансового сектора, силовых структур и органов власти. О решениях отечественных интеграторов для защиты КИИ говорит руководитель направления собственных продуктов АМТ-ГРУП Вячеслав Половинко (см. интервью раздела «АМТ-ГРУП» от 28 марта 2023 г.).

Вячеслав Половинко (АМТ-ГРУП): Это сложный вопрос, не имеющий однозначного ответа. Многое зависит от того, на каком этапе жизненного цикла находится значимый объект КИИ (строящийся, вводимый в эксплуатацию, давно функционирующий). В ряде случаев существенные риски могут быть сняты уже на этапе построения локальной сети объекта и применения соответствующих СЗИ, что минимизирует затраты на последующие проекты по модернизации СЗИ и всей системы защиты. Однако вне зависимости от стадии жизненного цикла разумно рекомендовать базовые «гигиенические» решения: средства межсетевого экранирования различных классов (от традиционных межсетевых экранов до промышленных межсетевых экранов, NGFW и «диодов данных»), средства организации удаленного доступа, решения по криптографической защите и антивирусы (если они применимы в сегменте АСУ ТП), отечественные сертифицированные операционные системы и модули доверенной загрузки, IDS системы. Отдельно хотелось бы отметить не так давно появившиеся на рынке решения класса honey pot, которые пока являются достаточно малознакомыми, но которые могут быть актуальными для организаций, имеющих значительный штат специалистов ИБ, SOC-центр или лабораторию ИБ.

Дмитрий Дудко (ЛАНИТ): Сейчас системы КИИ разделены на две категории. Первая – это информационные системы государственных органов, операторов связи, медицинские и другие информационно емкие системы, которые периодически модернизируются. Защита КИИ данной категории обеспечивается классическими методами и средствами: антивирусы, защита от несанкционированного доступа, межсетевое экранирование и другие.

Вторая категория – КИИ производственных и промышленных предприятий, которые управляют ключевыми процессами производства. Их защитить довольно трудно ввиду устаревшего стека технологий и отсутствия поддержки со стороны средств защиты информации. В данном случае, в первую очередь, необходим баланс между удобством эксплуатации и безопасностью.

В части защиты объектов КИИ портфель «Инфосистемы Джет» включает обследование и категорирование объектов КИИ, проектирование и внедрение средств защиты информации, разработку ОРД и эксплуатацию систем безопасности, экспертные сервисы по передаче данных об инцидентах ИБ регулятору. О решениях отечественных интеграторов для защиты КИИ читателям ICT-Online.ru рассказывает руководитель направлений защиты АСУ ТП и КИИ центра информационной безопасности компании «Инфосистемы Джет» Александр Карпенко (см. интервью раздела «Инфосистемы Джет» от 22 марта 2023 г.).

Александр Карпенко («Инфосистемы Джет»): Традиционный набор инструментов хорошо прописан в нормативной документации (например, 239 Приказ ФСТЭК), однако для повышения защищенности можно использовать расширенный консалтинг для защиты от атак на поставщиков, инструменты класса IRP/SGRC для автоматизации управления процессами информационной безопасности и реагирования на инциденты.

Денис Пащенко (STEP LOGIC): Основными по-прежнему являются решения, позволяющие сократить количество уязвимостей:

  • Hardening – изначальная настройка системного и прикладного ПО, а также инфраструктурных решений, при которой включаются штатные механизмы безопасности и отключаются ненужные сервисы, являющиеся лазейками для нарушителей;
  • Управление уязвимостями – своевременное выявление уязвимостей с помощью инструментального анализа защищенности и пентеста и их закрытие с помощью обновлений безопасности или дополнительных мер.

Для минимизации оставшихся потенциальных угроз необходимо закрыть максимальное количество векторов атак.

  • В случае подключения КИИ к внешним сетям необходимо полностью изолировать объект. Если такой возможности нет, то внедряются специализированные средства – межсетевые экраны российского производства с функционалом обнаружения и предотвращения сетевых вторжений и сетевых диодов для однонаправленной передачи данных.
  • Для исключения прямого подключения при связи с техническими средствами объектов КИИ применяется инфраструктура VDI либо системы контроля привилегированных пользователей (PAM), которые обычно располагаются в демилитаризованной зоне межсетевого экрана КИИ.
  • Средства мониторинга аномалий сети и на конечных устройствах КИИ (NTA, EDR, XDR) помогут своевременно выявить вредоносную активность, а использование антивирусных средств позволит заблокировать вредоносное ПО.

Немаловажным фактором также является снижение риска реализации атак через самих пользователей (социальная инженерия), которые традиционно являются слабым звеном.

  • Своевременное обучение и контроль знаний в сфере ИБ. Для этих целей можно использовать специальный класс решений Security Awareness, который не только обучит персонал, но и проведет проверку навыков, например, путем рассылки тестовых фишинговых писем.
  • Минимизация прав и ограничение возможностей, которые не позволят нанести ущерб инфраструктуре или скомпрометировать чувствительную информацию.

Максим Гострый (Infosecurity): При построении системы обеспечения безопасности специалистам по ИБ необходимо использовать не только набор традиционных и новых инструментов, позволяющих отражать атаки на свою ИТ-инфраструктуру, но и системный подход. В связи с геополитическими обстоятельствами и новыми требованиями регуляторов, приоритетными являются средства и решения российских вендоров, как в части системного, так и прикладного программного обеспечения. В таком случае при моделировании угроз, можно исключить нарушителей, связанных с разработкой системного и прикладного ПО. Стоит подчеркнуть, что решения от одного вендора не могут быть использованы во всех субъектах КИИ, так как они не универсальны. Все проектируемые и внедряемые решения субъектам КИИ подбираются конкретно под каждого заказчика с учетом его архитектуры, имеющихся информационных и автоматизированных систем и, соответственно, требований регуляторов в области обеспечения безопасности субъектов КИИ.

С начала 2022 года импортозамещение решений стало происходить значительно активнее, тем более что российские решения в некоторых случаях превосходят зарубежные аналоги. При этом пока на практике остаются сегменты безопасности субъектов КИИ, в которых практически отсутствует выбор отечественных средств защиты.

Основываясь на тенденциях 2022-го года, можно ожидать дальнейшего роста угроз для критической информационной инфраструктуры (КИИ) со стороны APT-группировок. Будет также увеличиваться использование технологий ИИ в кибератаках. Например, ИИ может использоваться для автоматического сканирования системы на уязвимости, а также для масштабных атак на инфраструктуру. О безопасности КИИ говорит ведущий консультант Центра компетенций по информационной безопасности Т1 Интеграции Евгений Воробьев (см. интервью раздела «Т1» от 20 марта 2023 г.).

Евгений Воробьев (Т1 Интеграция): Традиционные инструменты защиты КИИ включают в себя: физическую защиту объектов (установление пропускного и внутриобъектового режима, контроль доступа, видеонаблюдение, датчики движения и т.д.), сетевые меры безопасности (межсетевые экраны, виртуальные частные сети (VPN), аутентификация, авторизация и управление доступом и т.д.), криптографические средства защиты (шифрование данных, подпись сообщений и т.д.), управление уязвимостями (сканирование уязвимостей, тестирование на проникновение, патч-менеджмент и т.д.).

Однако сегодня с развитием технологий и угроз традиционные инструменты не всегда могут обеспечить должную защиту. В связи с этим современные методы защиты должны включать в себя использование искусственного интеллекта, машинного обучения, блокчейна, систем обнаружения и реагирования на инциденты, аналитики больших данных и т.д.

Среди новых инструментов и технологий защиты объектов КИИ нужно выделить подход, реализованный на концепции распределенного реагирования на ИБ-угрозы. Сегодня это один из самых эффективных способов защиты от кибератак. В отличие от централизованного (включает централизованную систему мониторинга и управления угрозами), распределенное реагирование подразумевает использование множества узлов, каждый из которых способен обнаруживать и реагировать на угрозы. Каждый узел обладает своей собственной системой мониторинга и защиты, что обеспечивает повышенную отказоустойчивость и защиту от целенаправленных атак. Кроме этого, распределенное реагирование должно включать сотрудничество и координацию между различными организациями и ИБ-специалистами для быстрого обмена информацией и опытом в борьбе с угрозами.

Алексей Петухов (InfoWatch): Обеспечение информационной безопасности – это, в первую очередь, процесс, который должен быть обеспечен на всех стадиях жизненного цикла объекта КИИ: от планирования работ до вывода объекта из эксплуатации.

Создание системы защиты и процесса обеспечения информационной безопасности описаны, соответственно, в ГОСТ Р ИСО/МЭК 21827:2008 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем защиты. Модель зрелости возможностей» и ГОСТ Р №57193-2016 «Системная и программная инженерия. Процессы жизненного цикла систем».

Здесь же стоит учитывать, что для КИИ обязательно выполнять требования 235 и 239 приказов ФСТЭК, которые содержат как методические рекомендации, так и перечисления конкретных мер.

Специалистами InfoWatch ARMA была проведена оценка минимального набора технических мер в рамках данных документов для промышленных предприятий, по результатам которой базовой группой мер, начиная с 3-й категории значимости, стали средство защиты рабочих станций и серверов, межсетевое экранирование, система обнаружения вторжений и система резервного копирования.

Наличие в нашем портфеле всех вышеуказанных решений, кроме резервного копирования, позволило дать следующую оценку: с учетом оргмер и процессов, а также при использовании наших продуктов, включая InfoWatch ARMA Management Console, предприятие может закрыть 90% требований ФСТЭК.

При этом мы активно развиваем функции каждого из перечисленных продуктов и возможности их интеграции. Например, с учетом ограниченности кадровых ресурсов у значительного числа предприятий, требуется автоматизировать простые сценарии для безопасности промышленных систем: сегментация сети, включая промышленный контур, и анализ, блокирование новых подключений; ограничение действий на рабочих станциях и серверах и анализ, блокирование нерегламентированных действий; выявление новых устройств и вредоносного ПО в рамках сегмента сети, анализ их поведения и блокирование их воздействия на другие устройства в данном сегменте.

Алексей Парфентьев («СерчИнформ»): К традиционным инструментам относятся классические СЗИ, криптосредства, централизация выявления и обработки инцидентов – это надежные решения, они давно себя зарекомендовали.

Из новых технологий выделяются два направления. Первое – единая стандартизация работы с инцидентами, введенная регулятором через НКЦКИ проектом ГОССОПКА. За этим стоят строгие регламенты, реакции и отчетности. На данный момент разработчики отдельных ИБ-решений стремятся реализовать совместимость с ГОССОПКА.

Второе направление – смещение вектора с защиты узлов на защиту данных с привлечением пользователей. Далеко не все сотрудники – злонамеренные нарушители или злоумышленники, в большинстве случаев инциденты происходят по незнанию, невнимательности, халатности.

Зачастую документы в организации находятся в беспорядке – без установленного режима конфиденциальности и регулирования прав доступа. Здесь поможет принцип разделения ответственности: он усилит реальную защиту и дисциплину. Реализовать это на практике можно с помощью решений для аудита файловой системы, маркировки документов и ранжирования доступа к ним, тогда вся система ИБ будет работать с информацией более эффективно.

Kaspersky ICS CERT - это центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданный «Лабораторией Касперского». Сегодня о решениях для защиты КИИ рассказывает эксперт по кибербезопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко (см. интервью раздела «Лаборатория Касперского» от 29 марта 2023 г.).

Владимир Дащенко (Kaspersky ICS CERT): Конечно, продуктами, предназначенными для использования на домашних устройствах, никто защищать объекты КИИ не будет. Сейчас отечественные вендоры предлагают специализированные технологии и сервисы для защиты систем промышленной автоматизации, объектов КИИ.

ICT-Online.ru: Ваш прогноз развития угроз КИИ и противодействующих им решений.

Вячеслав Половинко (АМТ-ГРУП): Как мы ранее неоднократно подчеркивали, на наш взгляд, отечественный рынок СЗИ может обеспечить адекватный ответ стоящим задачам по повышению уровня защищенности КИИ и противодействовать растущим угрозам КИИ только создавая экосистемные и взаимно совместимые решения (примерами таких решений могут являться PTISIM + InfoDiode или KICS + InfoDiode). В условиях дефицита кадров в области ИБ – многие компании и объекты могут полагаться только на качественно проработанные и комплексные решения, которые «закрывают» все требования нормативных документов и предоставляют реальную защиту критического объекта. Что касается угроз, к сожалению, как отмечал выше, мы ожидаем повышения эффективности уже существующих угроз в отношении КИИ.

В своих проектах «ЛАНИТ-Интеграция» использует комплексный подход, который наиболее эффективно помогает противодействовать актуальным киберугрозам и соответствует российскому законодательству. Его суть заключается в использовании не только классического набора средств защиты, обеспечивающего необходимый уровень безопасности, но и дополнительного набора специализированных решений на объекте КИИ, например, для мониторинга промышленных протоколов или сегментирования сети. Об этом говорит директор Центра информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ) Николай Фокин (см. фигуру речи раздела «ЛАНИТ» от 29 марта 2023 г.).

Дмитрий Дудко (ЛАНИТ): В ближайшие 2-3 года произойдет стремительное появление новых угроз КИИ. Это в первую очередь связано с исполнением указа №250 Президента и замены программного обеспечения КИИ на отечественное. Новое ПО, доработанное и внедренное в сжатые сроки, – новые уязвимости, баги и угрозы, на выявление и закрытие которых потребуется еще не менее 3 лет.

Александр Карпенко («Инфосистемы Джет»): В ближайшее время внимание к субъектам КИИ со стороны злоумышленников будет расти, вместе с повышением требования государства по обеспечению минимального необходимого уровня защиты. Уже сейчас отечественных решений достаточно для нейтрализации угроз КИИ, и в ближайшее время мы ожидаем повышения зрелости в вендорах и конкуренции на рынке.

Денис Пащенко (STEP LOGIC): Вместе с развитием ИТ-инфраструктуры, внедрением новых технологий, таких как ML, AI, Big Data, IoT, микросервисная архитектура, появляется все больше новых уязвимостей. Злоумышленники активно используют нейросети и для проведения атак, например, генерации вредоносного ПО или создания убедительных фишинговых сообщений. Разработчики ИБ в большинстве случаев оказываются в качестве «догоняющего», поэтому не все новые уязвимости можно быстро нейтрализовать.

На мой взгляд, эффективным является подход, совмещающий ограничение возможностей по реализации атак (управление доступом на всех уровнях и для всех типов пользователей и ресурсов) и их выявление. Такие решения основаны на анализе поведения пользователей и типовых информационных потоках, присущих автоматизированным процессам. Отлично справляются с этой задачей обучаемые модели ML и AI. Например, за счет использования машинного обучения наша технологическая платформа для автоматизации анализа данных и расследования инцидентов STEP Security Data Lake может самостоятельно адаптировать правила мониторинга, что сокращает время реагирования в 1,5 раза и в 2 раза снижает эксплуатационные расходы.

Стоит также принимать во внимание психологические атаки и когнитивную войну, которые видоизменяют социальную инженерию и требуют разработки соответствующих мер защиты персонала.

Максим Гострый (Infosecurity): Количество кибератак будет увеличиваться, а их сложность будет возрастать, что приведет к увеличению ущерба как для отдельных отраслей, так и для государства в целом. Сегодня субъектам КИИ необходимо ориентироваться на построение крепкой и целостной системы безопасности. Большинство организаций не готовы к самостоятельному мониторингу инцидентов ИБ в силу отсутствия собственных профильных специалистов или в связи с отсутствием возможности развернуть на имеющихся мощностях достаточно сложные системы. Наиболее эффективным решением в таких случаях является использование аутсорсинга, например, SOC-сервисов, которые сейчас становятся все востребованнее. Кроме этого, интеграторы предлагают использовать модель SOCaaS, которая позволит без лишних затрат и относительно быстро выполнить требования, определенные законодательством в части обеспечения безопасности КИИ.

Следующая угроза - это таргетированная социальная инженерия. За прошедший 2022 год количество атак на частных лиц увеличилось более чем на 40 %, и основным методом здесь являлась именно социальная инженерия. Активно развивается и фишинг, с которым столкнулся буквально каждый второй россиянин. В этом случае необходимо повышать осведомленность сотрудников организаций-субъектов КИИ и общества в целом – для максимальной нейтрализации таких угроз и сведения атак к минимуму.

Еще одной угрозой является кадровый дефицит специалистов по информационной безопасности. Профильные ВУЗы и институты с кафедрами информационной безопасности пока не способны закрыть потребность в ИБ-специалистах, которые на момент получения диплома уже имеют опыт и наработанные компетенции.

Евгений Воробьев (Т1 Интеграция): Основываясь на тенденциях 2022-го года, можно ожидать дальнейшего роста угроз со стороны APT-группировок. Будет также увеличиваться использование технологий ИИ в кибератаках. Например, ИИ может использоваться для автоматического сканирования системы на уязвимости, а также для масштабных атак на инфраструктуру. Уже сейчас существуют примеры создания популярной нейросетью ChatGPT новых вирусов для заражения компьютерных систем.

С увеличением числа подключаемых устройств IoT увеличивается и количество уязвимостей, связанных с этими устройствами. Например, компрометация подключенного к сети КИИ устройства IoT может привести отказу в работе инфраструктуры.

В результате, будущее безопасности КИИ будет определяться растущими киберугрозами, постоянным развитием традиционных и новых технологий кибербезопасности, растущими требованиями регуляторов, а также необходимостью сотрудничества и обмена информацией между организациями, ответственными за обеспечение информационной безопасности объектов КИИ.

Алексей Петухов (InfoWatch): В условиях повышенных угроз кибербезопасности существующий тренд на импортозамещение в области защитного софта должен усилиться и перерасти в глобальное перевооружение российских компаний, в их переход на новые отечественные продукты и технологии. При этом должен измениться и сам подход к использованию различных ИT-решений. Учитывая имеющиеся сложности, требуется делать упор на реализацию и автоматизацию обеспечения безопасности по ключевым сценариям атак. Западный набор решений требует внушительных ресурсов на их внедрение и эксплуатацию.

Для того, чтобы изменить ситуацию, бизнесу нужно принять современный мир с его сложностями и особенностями, приложить усилия во встраивание процессов ИБ в жизнедеятельность компании и системно повышать уровень зрелости системы ИБ. На мой взгляд, такой подход более чем оправдан, поскольку сейчас российские разработчики могут предложить рынку достойные аналоги западных систем, многие из которых даже превосходят их по своим возможностям.

С помощью решений «СерчИнформ» обеспечивается защита таких компаний, как ООО «Иркутская нефтяная компания», ООО «Газпромнефть Хантос», ПАО «Татнефть», ПАО «Компания «Сухой», «РЖД Логистика» и другие. А также ряда государственных структур – сейчас прослеживается тренд государства на комплексную защиту субъектов РФ. Решения «СерчИнформ» используют в учреждениях ХМАО, Республики Удмуртии, Республики Татарстан, Астраханской области и других. О защите КИИ говорит руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев (см. интервью раздела «СёрчИнформ» от 21 марта 2023 г.).

Алексей Парфентьев («СерчИнформ»): Резкого снижения количества киберугроз ожидать не стоит. Политико-экономическая ситуация это подтверждает и располагает к тому, чтобы субъекты КИИ «подтянули» уровень защищенности. Такие проекты можно и нужно реализовать в том числе в рамках ИЦК, где сейчас очевиден фокус на экстренное замещение продуктов ушедших вендоров. Такое замещение необходимо, но оно не отменяет поддержку государством внедрения средств для противодействия рискам ИБ – особенно там, где такие решения вовсе отсутствуют. Для объектов КИИ – это первоочередная задача: только так можно наладить их бесперебойную работу и минимизировать ущерб от реализованных киберугроз.

Владимир Дащенко (Kaspersky ICS CERT): Говорить отдельно про угрозы КИИ нет смысла: нужно смотреть шире, охватывая в том числе новые «угрозные» тренды для систем промышленной автоматизации и для ИT-сектора в целом. Чем больше новых технологий внедряется, тем больше появляется новых возможностей для атакующих. То есть, практически любая новая технология может быть скомпрометирована. Недавно Kaspersky ICS CERT выпустил прогнозы относительно ландшафта киберугроз в 2023 году. В ближайшем будущем злоумышленники будут усиливать натиск на объекты, относящиеся к логистике, агропрому, энергетическому сектору. Существует вероятность, что количество атак, относящихся к объектам возобновляемой энергии, также увеличится за счет того, что в это направление глобально вкладывают все больше инвестиций, а интерес к этому растет.

Технологии для противодействия этим угрозам будут совершенствоваться, а для новых векторов атак будут создаваться новые решения для борьбы. Сейчас большое количество компаний, в том числе наша, работают на опережение. У нас есть технологии, которые позволяют детектировать ранее неизвестные или узкоспециализированные угрозы: такую возможность дает платформа для защиты от сложных таргетированных атак Kaspersky Anti Targeted Attack Platform. Мы также применяем методы машинного обучения и используем ИИ для защиты от ранее неизвестных угроз.

ICT-Online.ru: Большое всем спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Безопасность

Ключевые слова: Инфосистемы Джет, ЛАНИТ, информационная безопасность, АМТ-ГРУП, Софтлайн, InfoWatch, Лаборатория Касперского, СТЭП ЛОДЖИК, СёрчИнформ, BI.ZONE, критическая инфраструктура, Т1