Ведущий инженер информационной безопасности АСУ ТП Cloud Networks Иван Алексеев дал большое интервью о защите промышленных предприятий. Основные темами разговора стали виды атак на промышленные предприятия, как успевать за злоумышленниками, как изменились цели хакеров и какие прогнозы и перспективы у ИБ АСУ ТП.
Источники сообщают, что в 2022 году каждая 10 атака на организации приходилась на промышленные предприятия. Вместе с госучреждениями они стали главной целью вирусов-шифровальщиков. Так ли это и как «успевать за злоумышленниками»?
Действительно, согласно отчетам за 2022 год на каждом 10-м АРМе в промышленном сегменте была заблокирована вредоносная активность. Еще одним показателем является то, что количество зараженных промышленных узлов возрастает из года в год. И основной рост пришелся как раз на вредоносные скрипты и фишинговые страницы. Обусловлено это цифровой трансформацией производственных объектов, о которой мы говорим практически каждый день.
Для того, чтобы успевать за злоумышленниками, нужно, прежде всего, грамотно подойти к вопросам архитектуры выстраиваемой системы защиты. Особенно данный вопрос актуален сейчас, когда очень сложно произвести обновление системного и прикладного ПО. Вариант с переходом на отечественные ПЛК и SCADA мы сейчас не рассматриваем. Во-первых, на рынке не так и много решений для крупных промышленных объектов, во-вторых, даже производители этих решений не могут удовлетворить весь спрос, а в-третьих, эта проблема не сводится к обычной замене ПЛК. В основном переход на отечественные решения повлечет за собой перестройку «с нуля» всей АСУ ТП.
Не секрет, что зачастую объектам КИИ в промышленной сфере присваивают минимальную 3-ю категорию значимости. В этом случае, как показывает практика, у регулятора возникает гораздо меньше вопросов к предоставленным сведениям, чем если бы категория не была присвоена. Что происходит дальше? Открывается приказ ФСТЭК №239, берется минимальный обязательный набор мер защиты, решается, что можно перекрыть регламентами, а куда нужно обязательно ставить средства защиты. Определяется набор средств защиты, которые зачастую ставятся и спустя некоторое время забываются. Обычно вся система защиты сводится к периметральному межсетевому экрану, антивирусу и средствам бэкапирования. Как при этом поступают в промышленно развитых западных странах? Несмотря на то, что меры защиты в принципе довольно схожи с нашими нормативными документами, там давно культивируется риск-ориентированный подход к предотвращению угроз. В нашем государстве тоже делаются шаги в этом направлении, но пока основная масса субъектов КИИ ориентируется именно на приказы ФСТЭК. Стоит отметить, что даже существующая нормативная база РФ не запрещает применять риск-ориентированный подход при построении систем защиты.
В чем основное отличие риск-ориентированного подхода?
Если коротко и по существу, основное отличие риск-ориентированного подхода в том, что внимание уделяется не базовому или минимальному набору мер, а возможным векторам атаки на узлы и компоненты систем. В нашем законодательстве есть нормы, позволяющие адаптировать базовый набор мер. Но в абсолютном большинстве под адаптацией у нас понимается сокращение мер защиты, либо перевод части мер из технической в организационную плоскость. Тогда как риск-ориентированный подход зачастую приводит к увеличению количества применяемых решений, переходу от встроенных механизмов к наложенным средствам защиты и так далее. При этом, конечно, некоторые меры защиты можно исключить, либо видоизменить.
Какие слабые стороны ИТ-ландшафта в промышленных системах?
Прежде всего, это инфраструктура. Тут и устаревшие аппаратные комплексы (АРМ), и сети. Очень часто в АСУ ТП применяются не управляемые коммутаторы, промышленные сети не выделены в отдельные сегменты и интегрированы в корпоративные сети, отсутствуют средства защиты. В совокупности с повсеместной цифровизацией, это создает множество дополнительных векторов для атак и проникновения вредоносного ПО.
Изменилась ли цель злоумышленников?
На мой взгляд, целевые атаки, направленные на нанесение материального ущерба, конечно же участились, особенно после первого квартала 2022 года. И несмотря на то, что последствия их гораздо заметнее, я бы сказал, что основное увеличение количества атак на промышленный сегмент все-таки не носит таргетированный характер, и по-прежнему направлен скорее на получение финансовой выгоды (что, конечно же, так же является материальным ущербом для организации). Но вот о чем действительно стоит помнить, так это о возможных последствиях даже от незначительных инцидентов информационной безопасности. Один маленький шифровальщик может привести к очень негативным последствиям.
Какие основные опасности при взломе АСУ ТП, к чему они могут привести?
Нужно помнить, что опасность не всегда исходит из целенаправленной подмены значений технологических параметров, изменению блокировочных уставок и принудительному воздействию на исполнительные механизмы. Ограничьте доступ к АРМ (в случае трояна или шифровальщика), и технологический персонал может просто не суметь воздействовать на процесс, который будет выходить из-под контроля.
Говоря об АСУ ТП, мы прежде всего представляем себе промышленные объекты, с большим количеством взрывопожароопасных и токсичных веществ в трубопроводах и аппаратах, пылегазовыми смесями в шахтах и т.д. На таких объектах основным негативным фактором при взломе АСУ ТП, в первую очередь, является потенциальный риск причинения ущерба жизни и здоровью. Также не стоит забывать о повреждениях и выходах из строя оборудования, экологическом ущербе от попадания вредных веществ в почву, водоемы или воздух. Я бы сказал, что здоровье и экология являются превалирующими, и наш опыт показывает, что присвоение категории значимости по финансовым показателям является крайне редким явлением.
В чем разница защиты от внешних и внутренних угроз?
Я бы сказал, в плане распространения вредоносной активности – разница небольшая. В том плане, что в случае сговора любая таргетированная атака может рассматриваться от лица внутреннего нарушителя, по крайней мере ее начало. Также как и фишинговые страницы, черви и шифровальщики зачастую приходят не сами по себе, а из-за неправильных действий внутреннего персонала. С точки зрения защиты от внутренних и внешних угроз, основная разница в применяемых мерах защиты: для внутренних нарушителей лучше будут работать правильно выстроенные регламенты и средства защиты хостов, для внешних – средства защиты сети (как периметральные, так и средства анализа). Хотя, естественно, этот подход очень условный, я бы даже сказал, субъективный, и можно придумать десятки сценариев, где он работать не будет.
Касается ли сертификация средств защиты информации АСУ ТП? Какие нормативные акты регулируют защиту и сложно ли соблюдать требования? Работает ли эта политика?
И да, и нет. Прежде всего нужно учитывать требования Приказа ФСТЭК №235, так как основная масса АСУ ТП, о которых мы говорим, является ЗОКИИ (значимый объект критической информационной инфраструктуры). Нужно оговорится, что этот Приказ позволяет применять не только сертифицированные на соответствие требованиям по безопасности средства защиты информации, но и средства, прошедшие оценку соответствия в форме испытаний или приемки. Хотя в последнее время мы видим, что в технических заданиях все чаще встречается жестко прописанное требование о включении применяемых ПО и ПАК в Государственный реестр сертифицированных средств защиты.
То есть любые средства, включенные в реестр ФСТЭК, можно применять в АСУ ТП?
Нет, и на то есть 2 основные причины. Во-первых, не редко в АСУ ТП встречаются устаревшие программные средства, не имеющие технической поддержки со стороны производителя (Windows 7, XP и пр.). Во-вторых, некоторые применяемые средства защиты могут конфликтовать с прикладным ПО (SCADA) и не понимать промышленных протоколов. Есть специализированные СЗИ, предназначенные для применения в промышленных системах, и они, кстати, в основной массе имеют сертификацию ФСТЭК на требуемые уровни доверия и профили защиты. При этом мы все равно рекомендуем и практикуем проведение тестирования средств защиты перед внедрением, даже при наличии сертификата. С одной лишь оговоркой, что тестированию подлежат только инвазивные средства защиты, в частности устанавливаемые на конечные точки.
Изменился ли спрос на услуги за 1.5 года? Какие основные запросы заказчиков?
Спрос на услуги по обеспечению информационной безопасности в промышленном сегменте значительно возрос. Очень много запросов на проведение обследования и выдачи независимой оценки состояния защищенности объектов. По нашему мнению, это положительный тренд. Раньше оценка состояния защищенности если и проводилась, то своими силами. При этом результаты не всегда соответствовали действительности. И дело тут не в отсутствии компетенций, но скорее в эффекте «замыленного» глаза. Когда ты постоянно работаешь с одной системой, она кажется тебе абсолютно знакомой, и какие-то незадекларированные сетевые взаимодействия и непонятное оборудование может просто ускользать из виду.
НПА в области обеспечения ИБ в ЗОКИИ обязывает субъекты проводить периодические внутренние проверки и аудиты, но также не запрещает и привлечение сторонних подрядчиков для выполнения данных работ. Совмещая и чередуя внутренние и внешние аудиты, можно добиться более значимых результатов, которые потом лягут в основу построения системы обеспечения ИБ. Также участились запросы на обследование с последующим проектированием систем защиты.
Обозначьте, пожалуйста, ТОП-5 вызовов ИБ на ближайшие 2-3 года.
- Импортозамещение. 166 и 250 указы добавляют напряженность, так как срок перехода на отечественные решения обозначен с 2025 года. У нас есть планы по подготовке статьи или вебинара на данную тему, так как она очень обширна.
- Уход ведущих вендоров. Даже если не учитывать законодательные требования по переходу на отечественные решения и принять во внимание желание перейти на них прямо сейчас, рынок не будет в состоянии удовлетворить весь спрос. И дело не только в количестве, но и в качестве. Не все российские разработки имеют тот же функционал, что и СЗИ от мировых лидеров ИБ, к которым все привыкли.
- Отсутствие кадров. Если с обучением CISO сейчас вопрос хоть как-то урегулирован 250-м Указом, то с руководителями среднего звена и инженерами вопрос стоит остро. Представьте десятки и сотни субъектов КИИ, которые рано или поздно все-таки внедрят системы защиты. А кто из будет администрировать? Для услуг SECaaS интеграторы не обладают таким количеством ресурсов, особенно принимая во внимание запрет на удаленные доступ из вне в значимых объектах КИИ. В высших учебных заведениях открывается все больше кафедр по направлению ИБ, однако выпускники не так часто стремятся на заводы, стараются все-таки попадать к вендорам и интеграторам.
- Низкая осведомленность персонала. Люди в полях часто не знакомы даже с базовыми правилами обеспечения ИБ, что приводит к возникновению инцидентов.
- Ужесточение регуляторики. Как яркие примеры, уже вышеупомянутые 166 и 250 Указы. Дополнительно сейчас на обсуждение вынесены изменения в 187-ФЗ в части расширения сфер, попадающих под действие закона. Также периодически звучат инициативы по урегулированию подходов при категорировании объектов КИИ, например, по формированиям перечней типов промышленных объектов, которые по умолчанию должны иметь определенную категорию значимости. Подобные инициативы явно ведут к уходу от риск-ориентированного подхода.
Как выбрать решение из всех, представленных сейчас на рынке?
Вообще не самым плохим вариантом будет обратиться за консультацией к интеграторам. Но в целом, начинать нужно с ваших потребностей. Есть хорошие средства защиты, которые могут быть для вас просто избыточными из-за особенностей архитектуры. Есть решения, включающие в себя различные модули, и вы можете выбрать одно решение, удовлетворяющее вашим потребностям, вместо двух или трех. Посмотрите наличие сертификата ФСТЭК. Да, мы уже говорили о том, что это не обязательное требование, однако факт включения в реестр все же является хорошим тоном. Не редко вендоры проводят тестирования на совместимость со специализированным прикладным и системным ПО, и наличие протокола совместимости будет давать вам некоторые гарантии правильности выбора.
Правда ли существуют проблемы, связанные с отсутствием опыта работы с российскими решениями?
Существуют, но далеко не всегда они связаны только с отсутствием опыта. Прежде всего, проблемы связаны с невозможностью встроить в существующие консоли управления СЗИ, в общем случае требуется полная миграция всех установленных компонентов подсистемы. А это и долго, и дорого. По опыту Cloud Networks могу сказать, что в промышленном сегменте мы внедряем в основном российские разработки, однако есть некоторые решения зарубежных производителей из стран, не попавших в списки недружественных.
На какие аспекты стоит обратить внимание при выборе интегратора?
В отличии от выбора средств защиты информации, при выборе интегратора ограничения четко отражены нормативной документации. Например, приказ ФСТЭК №235 говорит о наличии лицензии на деятельность в области защиты информации при проведении внешних аудитов. Указ президента №250 расширяет эти требования, в частности требования по наличию лицензии ТЗКИ должна быть у организаций, привлекаемых на любые мероприятия по обеспечению ИБ. К слову, у нашей компании есть лицензия ТЗКИ.
Какие перспективы у ИБ АСУ ТП? И какие приоритеты стоит выделить?
На ближайшие 2-3 года можно с большой уверенностью говорить об увеличении спроса на услуги по защите информации в промышленных системах автоматизации. Причем можно с большой вероятность говорить о смещении фокуса в сторону практической безопасности, от простых аудитов к проектированию и внедрению систем защиты информации.
Если Вы хотите узнать больше о нашей практике и интересных кейсах, переходите на наш сайт.
