Обзор рекомендаций по безопасной удаленной работе для предприятий критической инфраструктуры

Kaspersky ICS CERT опубликовали рекомендации по безопасной удаленной работе для предприятий критической инфраструктуры, полученные от регуляторов в сфере информационной безопасности, приводим материал публикации ниже.

Как проблема безопасности удаленной работы затрагивает предприятия критической инфраструктуры?

Несмотря на пандемию COVID-19 большинство сотрудников, вовлеченных в технологические процессы предприятий критической инфраструктуры, по-прежнему работают в обычном (не удаленном) режиме. Это необходимо для обеспечения непрерывности функционирования предприятий. Однако административный персонал, напрямую не связанный с поддержанием технологических процессов, во многих случаях все же переведен на удаленную работу.

Удаленный режим работы офисных сотрудников, а также повышение общего уровня тревожности персонала в условиях пандемии могут приводить к снижению бдительности работников предприятий в отношении угроз информационной безопасности. Например, вероятность того, что сотрудник, получив фишинговое письмо, использующие «горячу» тему COVID-19, откроет вложение или кликнет по ссылке, повышается. Соответственно, растет и вероятность заражения его компьютера. Напомним, что многие инциденты информационной безопасности в промышленных сетях, которые привели к нарушению технологического процесса, начинались с заражения компьютеров в корпоративном сегменте сети предприятия. Уже сейчас мы видим примеры атак на промышленный сектор с использованием фишинговых писем, связанных с COVID-19.

Отдельно стоит сказать о рисках, связанных с удаленным администрированием систем промышленной автоматизации.

Средства удаленного администрирования применялись в системах промышленной автоматизации и до пандемии. По данным Kaspersky Security Network в первом полугодии 2018 года они использовались на 32% компьютеров АСУ. В 2019 году, по данным системы Shodan, число доступных через интернет систем промышленной автоматизации выросло.

Вероятно, что в условиях пандемии такие средства будут использоваться чаще. В одной из наших статей мы уже писали о том, что средства удаленного администрирования потенциально опасны для индустриальных сетей и их использование требует повышенного внимания к обеспечению информационной безопасности. Это подтверждают и результаты наших исследований различных реализаций системы удаленного доступа Virtual Network Computing (VNC), широко распространённой на объектах промышленной автоматизации.

В сложившейся ситуации предприятиям, особенно критической инфраструктуры, необходимо принять меры для минимизации возможных рисков. Поэтому регуляторы в сфере информационной безопасности, в том числе кибербезопасности критической инфраструктуры, подготовили рекомендации по безопасной удаленной работе.

Очевидно, что средства удаленного администрирования продолжат использовать на предприятиях критической инфраструктуры и в дальнейшем, поэтому рекомендации по безопасной удаленной работе будут актуальны и после окончания пандемии.

Какие есть рекомендации?

Основные рекомендации по организации безопасного удаленного доступа к системам промышленной автоматизации

Основные рекомендации по организации безопасного удаленного доступа к системам промышленной автоматизации можно найти в следующих документах

• Рекомендации ICS-CERT по конфигурированию и управлению удаленным доступом к системам промышленной автоматизации ICS-CERT — Configuring and Managing Remote Access for Industrial Control Systems
• Стандарт безопасности промышленных систем управления NIST SP 800-82 Rev.2 «Guide to Industrial Control Systems (ICS) Security»
• Рекомендации ENISA «Communication network dependencies for ICS/SCADA Systems»

Рекомендации, опубликованные в связи с пандемией

• В России рекомендации по обеспечению безопасности объектов КИИ при удаленной работе в связи с COVID-19 опубликовала ФСТЭК России.
  
  В своем информационном сообщении регулятор говорит о недопустимости использования удаленного доступа для управления промышленным оборудованием автоматизированных систем управления, которые при категорировании были отнесены к значимым объектам критической информационной инфраструктуры. В других случаях удаленный доступ может быть использован с учетом предложенных рекомендаций.
  Предложенные регулятором рекомендации включают в себя технические и организационные меры, коррелирующие с положениями 31-го приказа. Главным образом они направлены на контроль доступа к объектам (двухфакторная аутентификация, разграничение прав доступа и т.п.) и комплексную защиту задействованных каналов связи и конечных узлов сети (использование антивирусных решений, VPN, мониторинг безопасности).
  В своем документе ФСТЭК России также ссылается на рекомендации другого российского регулятора — Национального координационного центра по компьютерным инцидентам.
  
• Национальный координационный центр по компьютерным инцидентам выпустил уведомление об угрозах безопасности информации, связанных с пандемией коронавируса.
  
  Рекомендации НКЦКИ во многом схожи с рекомендациями ФСТЭК России и содержат ряд дополнительных технических мер, включая сегментирование сети и контроль за подключением внешних носителей (подробнее см. таблицу ниже), а также отдельные меры по противодействию угрозам, связанным с мошенничеством.
  И ФСТЭК России, и НЦКЦИ говорят о необходимости проведения инструктажа персонала по вопросам безопасной удаленной работы, в том числе информирования о фишинговых атаках, связанных с тематикой COVID-19.
  
• Институт SANS в документе «Security Awareness Deployment Guide – Securely Working at Home» собрал список своих материалов, которые могут быть полезны для проведение обучения сотрудников по безопасной работе из дома. Все материалы сгруппированы в три основных блока, которые посвящены:
• Социальной инженерии;
• Аутентификации и управлению паролями;
• Обновлению систем.
  Дополнительно приводятся материалы по использованию VPN и Wi-Fi, обнаружению и реагированию на инциденты.
• Национальный институт стандартов и технологий США (NIST) выпустил бюллетень, содержащий рекомендации по безопасному удаленному доступу и удаленной работе. Этот документ опирается на положения документа NIST Special Publication (SP) 800-46 Revision 2, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security, который был опубликован в 2016 году и является актуальным на сегодняшний день.
  
  
• Американское агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало документ, в котором рассмотрело вопросы обеспечения кибербезопасности организаций в рамках глобального процесса управления рисками, связанными с COVID-19. Среди прочего, CISA рекомендует актуализировать планы обеспечения непрерывности бизнеса и протестировать возможности решений удаленного доступа, в том числе с точки зрения повышения их производительности.
• Агентство Европейского союза по кибербезопасности (ENISA) опубликовало советы по кибербезопасности при удаленной работе. В дополнение к мерам, которые были изложены в рассмотренных выше документах, ENISA напоминает о необходимости регулярного выполнения резервного копирования.

Сравнение рекомендаций по безопасной удаленной работе в условиях COVID-19, содержащихся в перечисленных выше документах, приведено в таблице ниже.

Сравнение рекомендаций по безопасной удаленной работе в условиях COVID-19

РекомендацииФСТЭКНКЦКИSANSNISTENISACISAПроведение инструктажа с персоналом о правилах безопасной удаленной работы+++——+Определение перечня устройств, которые будут предоставлены работникам для удаленной работы. Запрет на использование личных устройств+——+——Определение перечня ресурсов, к которым будет предоставляться удаленный доступ+——+——Назначение минимально необходимых прав пользователям при удаленной работе++—++—Идентификация удаленных устройств, предоставление доступа на основе «белых списков»+——+——Исключение доступа посторонних лиц к удаленным рабочим местам+++———Выделение в отдельный домен устройств, используемых для удаленной работы сотрудников+——+——Двухфакторная/многофакторная аутентификация работников++++—+Организация защищенного удаленного доступа с использованием криптографии (VPN)+—++—+Применение средств антивирусной защиты информации c актуальными базами данных, их регулярное обновление++—+++Запрет на установку ПО, за исключением необходимого, реализуемый средствами ОС или СрЗИ от НСД+—————Мониторинг безопасности систем, в том числе регистрация и анализ действий работников++———+Блокирование сеанса удаленного доступа при неактивности пользователя++————Обеспечение возможности оперативного реагирования на инциденты++——++Сегментирование сети—+—+—Обновление всех сервисов и оборудования, которые используются для удаленного доступа (VPN, устройства сетевой инфраструктуры)—++++—Контроль за подключением внешних устройств к устройствам, предназначенным для удаленного доступа—+————Ограничение скорости VPN соединений для приоритизации пользователей, которым потребуется более высокая пропускная способность—+————Запрет доступа в сеть с помощью сторонних сервисов, которые подключаются через промежуточные серверы и самостоятельно проводят авторизацию и аутентификацию—+————Использование терминального удаленного доступа в сеть к виртуальному рабочему месту со всеми установленными средствами защиты информации—+————Защита электронной почты двухфакторной авторизацией, проведение анализа электронной почты антивирусными средствами—+————Использование WPA2-шифрования при подключении к сети Интернет с применением Wi-Fi—++—+—Управление паролями, использование сложных паролей—++———Шифрование информации на клиентских устройствах———+——Обеспечение возможности управления серверами удаленного доступа только с доверенных хостов авторизованными администраторами———+——Регулярное резервное копирование————+—Тестирование средств удаленного доступа с точки зрения производительности—————+Актуализация планов обеспечения непрерывности бизнеса—————+

Заключение

На основе анализа различных рекомендаций по обеспечению безопасности при удаленной работе можно сделать вывод о том, что частичный перевод сотрудников промышленных предприятий (как и любых других организаций) на удаленную работу не требует реализации каких-либо особенных мер защиты, принципиально отличающихся от того, что и так должно быть реализовано на предприятии. Однако временное изменение режима работы сотрудников требует проведения дополнительной проверки достаточности и эффективности принятых мер защиты

Особое внимание должно быть уделено защите каналов связи (включая обнаружение и предотвращение атак), контролю доступа и защите конечных устройств пользователей, которые будут использоваться для удаленной работы. При невозможности предоставить персоналу устройства с настроенными средствами защиты (средства антивирусной защиты, межсетевого экранирования и проч.) все необходимые средства должны быть предоставлены пользователям для самостоятельного развертывания на их личных компьютерах.

Также необходимо работать с персоналом: информировать о возможных угрозах и проводить дополнительные инструктажи по правилам удаленной работы.

Таким образом, комплекс принятых технических мер в совокупности с административными мерами и мерами по подготовке сотрудников позволят обеспечить необходимый уровень кибербезопасности предприятий для противодействия существующим угрозам, в том числе – при более активном использовании удалённого доступа.

Автор — Юлия Дащенко, Старший аналитик по информационной безопасности, Kaspersky ICS CERT.