Ведущий специалист отдела аудита Infosecurity (ГК Softline) Максим Гострый: «Субъектам КИИ необходимо ориентироваться на построение крепкой и целостной системы безопасности»

У ГК Softline много успешных кейсов в части ИБ. В частности, компания помогла сотрудникам Правительственного комплекса повысить осведомленность в области информационной безопасности, а также провела ИТ-учения для Трубной Металлургической Компании, направленные на повышение информационной защищенности организации. О решениях и проектах отечественных интеграторов для защиты КИИ говорит ведущий специалист отдела аудита Infosecurity (ГК Softline) Максим Гострый.

– Максим, какие новые угрозы появились в части КИИ, с чем они связаны?

Компания Softline, ведущий поставщик решений и сервисов в области цифровой трансформации и информационной безопасности, провела обучение более 50 инженеров для работы с продуктами российских вендоров (см. новость раздела «Softline» от 22 марта 2023 г.).

– Если углубляться в проблематику угроз безопасности объектов КИИ, то можно сказать, что новых угроз в части КИИ практически не появилось, все они основываются на уже давно известных принципах:

  • использования уязвимостей программного обеспечения;
  • уязвимостей ИТ-архитектуры;
  • методах DoS- и DDoS-атак;
  • методах социальной инженерии как со стороны злоумышленников, так и со стороны конкурентов.

В целом, уязвимости в системном и прикладном программном обеспечении являются весьма серьезной угрозой функционирования объектов КИИ. Большинство субъектов КИИ используют зарубежное программное обеспечение, управляемое устаревшими версиями операционных систем. Например, Microsoft Windows XP или Windows 7, которые, в свою очередь, не имеют действующей технической поддержки производителя, при этом все имеющиеся уязвимости данных операционных систем хорошо известны злоумышленникам. Использование зарубежного программно-аппаратного обеспечения обусловлено тем, что разработчики программно-аппаратных решений, используемых сейчас в промышленности, тестировали решения известных вендоров, в основном Cisco и MicroTik.

 

Ведущий специалист отдела аудита Infosecurity (ГК Softline) Максим Гострый

 

В процессе целенаправленных атак на объекты КИИ широко используются уязвимости ИТ-архитектуры и информационных систем. Количество таких атак стало характерным для организаций банковской сферы и иных организаций финансового рынка. DoS- и DDoS-атаки используются целенаправленно для возникновения угрозы «отказ в обслуживании» и дальнейшего формирования негативного мнения со стороны клиентов банковских организаций, потенциального уменьшения клиентской базы.

Часто встречаются угрозы, связанные с социальной инженерией. Человек является наиболее опасной угрозой для функционирования объектов КИИ и дальнейшей работоспособности определенного узла или всей системы в целом. Если ранее такие методы использовались преимущественно конкурентными организациями той области, в которой функционирует субъект КИИ, то сегодня остановка субъекта КИИ может быть использована для подрыва экономической деятельности или отдельно взятой сферы деятельности.

– Какие объекты КИИ наиболее уязвимы и почему?

Ведущий поставщик решений и сервисов в области цифровой трансформации и информационной безопасности Softline помог АО «Щёлково Агрохим» повысить надежность, безопасность и производительность инфраструктуры за счет комплексного обследования «взгляд со стороны» (см. новость раздела «Softline» от 17 марта 2023 г.).

– Наиболее уязвимыми являются объекты КИИ, для которых еще не создана система обеспечения безопасности. Или же объекты, на которых система защиты построена на зарубежном программном и аппаратном обеспечении. При этом наиболее уязвимыми являются объекты КИИ, имеющие выход в сеть общего пользования: как имеющие подключение к сети Интернет сам по себе, так и имеющие подключение в сеть Интернет через корпоративную сеть передачи данных (т.е. когда автоматизированная система управления не имеет собственного выхода в сеть Интернет, но подключена к корпоративной сети, имеющей выход в сеть общего пользования).

С точки зрения получения злоумышленниками финансовой выгоды, наиболее уязвимыми являются объекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка. Целью злоумышленников является получение прямой и косвенной финансовой выгоды, а также нарушение функционирования средств защиты информации и информационных систем, что уже может быть связано с политическими целями.

– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?

– При построении системы обеспечения безопасности специалистам по ИБ необходимо использовать не только набор традиционных и новых инструментов, позволяющих отражать атаки на свою ИТ-инфраструктуру, но и системный подход. В связи с геополитическими обстоятельствами и новыми требованиями регуляторов, приоритетными являются средства и решения российских вендоров, как в части системного, так и прикладного программного обеспечения. В таком случае при моделировании угроз, можно исключить нарушителей, связанных с разработкой системного и прикладного ПО. Стоит подчеркнуть, что решения от одного вендора не могут быть использованы во всех субъектах КИИ, так как они не универсальны. Все проектируемые и внедряемые решения субъектам КИИ подбираются конкретно под каждого заказчика с учетом его архитектуры, имеющихся информационных и автоматизированных систем и, соответственно, требований регуляторов в области обеспечения безопасности субъектов КИИ.

С начала 2022 года импортозамещение решений стало происходить значительно активнее, тем более что российские решения в некоторых случаях превосходят зарубежные аналоги. При этом пока на практике остаются сегменты безопасности субъектов КИИ, в которых практически отсутствует выбор отечественных средств защиты.

– Какие решения продвигает ваша компания, какие лучше всего себя зарекомендовали?

– Начнем с того, что мы осуществляем полный комплекс работ по обеспечению безопасности КИИ на всех этапах:

  • аудит и анализ ИT-инфраструктуры, процессов обеспечения ИБ и применяющихся организационных и технических мер защиты информации;
  • сбор информации о внутренних процессах и выявление тех процессов, нарушение которых может привести к негативным социальным, политическим, экономическим и прочим последствиям;
  • определение категорий нарушителей, их основных возможностей и действий в отношении объектов КИИ;
  • анализ возможных угроз, которые могут привести к инцидентам ИБ, оценка последствий от них, присвоение категории значимости объектам КИИ;
  • категорирование и подготовка результатов категорирования к отправке во ФСТЭК РФ;
  • проведение моделирования угроз безопасности информации в отношении значимых объектов КИИ;
  • согласование и разработка комплекта организационно-распорядительной документации, необходимого для выполнения требований законодательства РФ по обеспечению безопасности значимых объектов КИИ;
  • разработка технического проекта, включающего рабочую документацию на систему обеспечения безопасности объектов КИИ;
  • проведение предварительных испытаний системы обеспечения безопасности значимых объектов КИИ и анализ их уязвимостей;
  • подключение организации к системе ГосСОПКА, как на базе собственного центра мониторинга инцидентов ИБ INFOSECURITY SOC, так и на базе центра мониторинга заказчика.
Ведущий поставщик решений и сервисов в области цифровой трансформации и информационной безопасности Softline заключила партнерский договор с российским разработчиком отечественного ПО для мониторинга инфраструктуры, инвентаризации данных и ETL, компанией Gelarm. Флагманским решением компании является Gelarm Infrastructure Management System (GIMS), в которую входит три продукта: GIMS Inventory, GIMS Monitoring и GIMS Automation (см. новость раздела «Softline» от 14 марта 2023 г.).

В рамках подключения к системе ГосСОПКА мы используем собственную платформу ISOC и свою ИT-инфраструктуру, расположенную на территории РФ. Платформа внесена в Единый Реестр отечественного программного обеспечения. Сервис круглосуточно ведет мониторинг и реагирует на выявленные события ИБ в сетях клиентов, тем самым снижая риски хищения данных и защищая от широкого спектра угроз. ISOC собирает события с устройств инфраструктуры заказчика, анализирует и изучает их корреляцию. При обнаружении инцидента ИБ, ISOC оповещает об этом заказчика, дает рекомендации по устранению или нейтрализует его самостоятельно.

Сервис ETHIC позволяет обеспечить непревзойденный уровень выявления информационных угроз для бизнеса в сети Интернет и дает возможность своевременно реагировать на них, не допуская наступления негативных последствий, в числе которых финансовый и репутационный ущерб. Модульная система построения сервиса позволяет максимально гибко сконфигурировать готовое решение, учитывая ландшафт угроз и исходя из поставленных задач.

Человеческий фактор - одна из главных причин утечек данных. Цифровая неграмотность сотрудников приводит к взломам, фишинговым атакам, утечкам информации, финансовому и репутационному ущербу вследствие инцидентов информационной безопасности. В рамках сервиса по управлению навыками кибербезопасности INFOSECURITY TRAINING CENTER, который осуществляется на базе платформы Phishman, можно генерировать разнообразные атаки и по реакциям сотрудников на фишинговые действия выявлять «уязвимых» пользователей, а также их «пробелы» по небезопасным (преднамеренным или неосторожным) действиям как в локальной сети, так и за пределами самой системы. На основе этих данных автоматически разрабатывается индивидуальная траектория обучения каждого сотрудника. Таким образом, новая система и поставленный комплект курсов позволяют федеральным органам исполнительной власти и их подведомственным учреждениям расширить традиционный подход к осведомленности. Это даст возможность реализовать совершенно разные сценарии обучения сотрудников, в том числе разработать программу адаптации новых сотрудников к требованиям информационной безопасности.

– Приведите примеры таких проектов.

– Успешных кейсов очень много. Но помимо атак на информационные ресурсы, растет и число фишинговых атак на рядовых пользователей. Это связано с тем, что сотрудники могут нарушать требования по информационной безопасности как по незнанию, так и по невнимательности. Поэтому в фокусе усиление системы информационной безопасности, обучение кибергигиене и навыкам отражения атак на ИT-инфраструктуру организации. Приведу в пример последние два проекта:

Для реализации первого проекта эксперты Softline, Phishman и Infosecurity (ГК Softline) внедрили в ФКУ «Центр поддержки» российскую автоматизированную систему тестирования и обучения сотрудников в кратчайшие сроки – всего за два месяца. Система Phishman позволила служащим Правительственного комплекса сформировать навыки цифровой гигиены пользователя путем проведения обучения и имитации фишинговых атак любой сложности, созданных как вручную, так и на основе уже адаптированных шаблонов. Система не только входит в Реестр российского ПО, но и работает на российских операционных системах, а также обладает потенциалом в развитии обучающего блока с возможностью самостоятельного расширения перечня курсов, при этом реализована интеграция с корпоративным порталом Правительственного комплекса. Благодаря возможностям системы, заказчик планирует использовать ее как «базу знаний», которой смогут пользоваться более 5500 служащих, работающих в Правительственном комплексе.

В рамках проведения киберучений для руководителей и специалистов по информационной безопасности Трубной Металлургической Компании эксперты Softline и Infosecurity разделили участников на три команды. Для каждой команды была предварительно создана изолированная инфраструктура, в которой были развернуты виртуальные машины, кластеры баз данных, сети и другие ресурсы. Перед командами стояли задачи по развертыванию отказоустойчивых web-приложений с использованием кластера MySQL, настройке аварийного восстановления виртуальных машин, а также предоставлению удаленного доступа сотрудников к сервисам компании. Во время учений ИT-специалисты познакомились с новой платформой и под руководством опытных архитекторов выполняли поставленные задачи в незнакомом им интерфейсе, тем самым применяя свои знания и навыки и приобретая новые.

– Ваш прогноз развития угроз КИИ и противодействующих им решений.

– Количество кибератак будет увеличиваться, а их сложность будет возрастать, что приведет к увеличению ущерба как для отдельных отраслей, так и для государства в целом. Сегодня субъектам КИИ необходимо ориентироваться на построение крепкой и целостной системы безопасности. Большинство организаций не готовы к самостоятельному мониторингу инцидентов ИБ в силу отсутствия собственных профильных специалистов или в связи с отсутствием возможности развернуть на имеющихся мощностях достаточно сложные системы. Наиболее эффективным решением в таких случаях является использование аутсорсинга, например, SOC-сервисов, которые сейчас становятся все востребованнее. Кроме этого, интеграторы предлагают использовать модель SOCaaS, которая позволит без лишних затрат и относительно быстро выполнить требования, определенные законодательством в части обеспечения безопасности КИИ.

Следующая угроза - это таргетированная социальная инженерия. За прошедший 2022 год количество атак на частных лиц увеличилось более чем на 40 %, и основным методом здесь являлась именно социальная инженерия. Активно развивается и фишинг, с которым столкнулся буквально каждый второй россиянин. В этом случае необходимо повышать осведомленность сотрудников организаций-субъектов КИИ и общества в целом – для максимальной нейтрализации таких угроз и сведения атак к минимуму.

Еще одной угрозой является кадровый дефицит специалистов по информационной безопасности. Профильные ВУЗы и институты с кафедрами информационной безопасности пока не способны закрыть потребность в ИБ-специалистах, которые на момент получения диплома уже имеют опыт и наработанные компетенции.

– Большое спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Интеграция, Безопасность

Ключевые слова: Softline, информационная безопасность, Софтлайн, критическая инфраструктура