– Вячеслав, какие новые угрозы появились в части КИИ, с чем они связаны?
– На мой взгляд, на тему новых угроз КИИ следует смотреть сквозь призму трех аспектов. Во-первых, это общее снижение уровня защиты, связанное с комплексными процессами перестройки всей системы управления ИБ предприятий и организаций из-за ухода крупных иностранных игроков, исключения их решений из системы защиты. В том числе наблюдаемое отсутствие адекватной замены по ряду средств защиты. Во-вторых, это рост профессионализма злоумышленников, ставящих своей основной целью нашу критическую инфраструктуру, публичные декларации «хакерских группировок» в части организации атак на КИИ на фоне СВО. В-третьих – развитие в целом средств кибератак и решений. Как следствие, эти аспекты позволяют говорить о том, что эффективными могут оказаться не только новые киберугрозы, но и ранее существовавшие векторы атаки, которые сейчас фактически получают «вторую жизнь».
Руководитель направления собственных продуктов АМТ-ГРУП Вячеслав Половинко
– Какие объекты КИИ наиболее уязвимы и почему?
– Наиболее уязвимыми (не с точки зрения эффективности применяемых на местах средств защиты, а с точки зрения территориальной распределённости и привлекательности для злоумышленников) являются предприятия ТЭК (от добычи до транспортировки и переработки), энергетики (от генерации до транспортировки), транспортной инфраструктуры. Сложность организации защиты таких объектов вытекает из их масштабов и большого числа точек сопряжения с потребителями, контрагентами, значительного числа автономных объектов, которые сами по себе могут быть скомпрометированы и выступать источником атаки в общей (пусть даже и эффективно сегментированной) сети предприятия.
– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?
– Это сложный вопрос, не имеющий однозначного ответа. Многое зависит от того, на каком этапе жизненного цикла находится значимый объект КИИ (строящийся, вводимый в эксплуатацию, давно функционирующий). В ряде случаев существенные риски могут быть сняты уже на этапе построения локальной сети объекта и применения соответствующих СЗИ, что минимизирует затраты на последующие проекты по модернизации СЗИ и всей системы защиты. Однако вне зависимости от стадии жизненного цикла разумно рекомендовать базовые «гигиенические» решения: средства межсетевого экранирования различных классов (от традиционных межсетевых экранов до промышленных межсетевых экранов, NGFW и «диодов данных»), средства организации удаленного доступа, решения по криптографической защите и антивирусы (если они применимы в сегменте АСУ ТП), отечественные сертифицированные операционные системы и модули доверенной загрузки, IDS системы. Отдельно хотелось бы отметить не так давно появившиеся на рынке решения класса honey pot, которые пока являются достаточно малознакомыми, но которые могут быть актуальными для организаций, имеющих значительный штат специалистов ИБ, SOC-центр или лабораторию ИБ.
– Какие из них продвигает ваша компания, какие лучше всего себя зарекомендовали?
– На рынке средств защиты мы традиционно представлены решениями по физической изоляции сетевого периметра – однонаправленными шлюзами. Это продукты InfoDiode. Решения хорошо показывают себя фактически во всех отраслях, от энергетики и транспорта до финансового сектора, силовых структур и органов власти. В течение 2022 года мы значительно увеличили объемы поставок InfoDiode на объекты КИИ, а также вывели на рынок принципиально новое решение для передачи промышленного трафика - АПК InfoDiode SMART.
– Приведите примеры таких проектов.
– В качестве одного из примеров хотелось бы привести не только проекты на территории России, но и проект, реализованный в ближнем зарубежье – в Казахстане - для Холдинга ERG, где установленный InfoDiode SMART успешно (физически) изолирует критическую инфраструктуру и передает очень интенсивный поток трафика, достигающий 150 тыс. параметров в секунду.
– Ваш прогноз развития угроз КИИ и противодействующих им решений.
– Как мы ранее неоднократно подчеркивали, на наш взгляд, отечественный рынок СЗИ может обеспечить адекватный ответ стоящим задачам по повышению уровня защищенности КИИ и противодействовать растущим угрозам КИИ только создавая экосистемные и взаимно совместимые решения (примерами таких решений могут являться PTISIM + InfoDiode или KICS + InfoDiode). В условиях дефицита кадров в области ИБ – многие компании и объекты могут полагаться только на качественно проработанные и комплексные решения, которые «закрывают» все требования нормативных документов и предоставляют реальную защиту критического объекта. Что касается угроз, к сожалению, как отмечал выше, мы ожидаем повышения эффективности уже существующих угроз в отношении КИИ.
– Большое спасибо за беседу!