Современная жизнь — от транспорта до энергетики, от финансов до здравоохранения — зависит от критически важной инфраструктуры (КИИ), которая обеспечивает жизнедеятельность всей страны. Когда эти жизненно важные и сложные системы подвергаются атаке или выходят из строя, это не ведет ни к чему хорошему. Отключение электричества, прекращение полетов, крах банков — вот лишь немногие последствия неисправностей в объектах КИИ.
Неудивительно, что защита критической инфраструктуры является важнейшим приоритетом, особенно сегодня, когда к повседневным проблемам добавились и геополитические факторы. В условиях усложнения инфраструктуры и глобальной эскалации киберугроз защита этих активов приобретает решающее значение. Теперь кибератаки могут осуществляться из любой точки, а ущерб может быть нанесен сразу нескольким отраслям.
Именно поэтому в России ведется активная работа по обеспечению безопасности КИИ. Множество новых инициатив и нормативных актов направлено на укрепление защиты и подготовку к оперативному реагированию.
В этой статье мы рассмотрим ситуацию с критической инфраструктурой в России: познакомимся с основными угрозами, рассмотрим новые политические меры и узнаем, как Россия стремится создать надежную защиту КИИ.
Критическая инфраструктура: определение и виды
Что же именно считается критической инфраструктурой? В широком смысле это системы и сети, необходимые для обеспечения национальной безопасности, экономической стабильности, здоровья и безопасности населения. Обеспечение бесперебойной работы этих механизмов имеет особое значение для всей страны.
В России к “критически важным” отнесены такие важные отрасли как:
- Энергетика (нефть, газ, электроэнергия)
- Транспорт
- Информационные технологии и телекоммуникации
- Финансы
- Продовольствие и сельское хозяйство
- Топливно-энергетический комплекс
- Наука и техника
- Космические технологии
- Здравоохранение
- Безопасность (правоохранительные органы, вооруженные силы)
- Различная промышленность
Нарушение работы любого из этих секторов может привести к каскадному кризису. Например, кибератака на газопроводы может остановить поставки газа, а сбой в электросети парализует работу целых областей.
В России существует множество организаций, в которых активно действуют объекты КИИ. Эти объекты представляют собой разнообразные информационные и прочие системы, чья работоспособность имеет критическое значение для обеспечения нормального функционирования государства. Среди них можно выделить системы управления транспортной инфраструктурой, автоматизированные системы (в том числе системы управления технологическими процессами), информационные системы, системы связи и многие другие.
Любая организация, которая владеет и управляет информационными и другими системами, в подобных ключевых для государства сферах является субъектом КИИ.
Для того, чтобы определить владеет ли та или иная организация объектами КИИ производится особая процедура, базовая при защите КИИ — категорирование. Это мероприятия, по результатам которых объектам КИИ присваивается одна из трех категория значимости, а информация об объектах подается во ФСТЭК России.
Однако одного определения мало — критическая инфраструктура постоянно на прицеле у злоумышленников самой разной степени опасности и именно поэтому ей нужна особая защита.
Угрозы и риски
Число кибератак на подобную инфраструктуру постоянно растет. Количество кибердиверсий в России в 2023 году выросло на 140% — целями атакующих чаще других становились предприятия, связанные с КИИ и госсектором. Вот уже который год подряд российские компании сталкиваются с постоянной угрозой в виде программ-вымогателей — за первые девять месяцев 2023 года количество атак, связанных с программами-вымогателями, увеличилось на 75% по сравнению с тем же периодом предыдущего года.
По большей части, такой всплеск обусловлен геополитикой. Различные иностранные группировки все чаще направляют свои атаки на разрушение КИИ. Согласно прогнозу многих ИБ-экспертов, помимо традиционных DDoS-атак и дефейсов (атаки, при которой главная страница веб-сайта заменяется на другую), злоумышленники теперь активно стремятся взламывать и осуществлять разрушительные действия в отношении инфраструктуры организаций, включая объекты КИИ. Прогнозируется увеличение числа инцидентов с разрушительными последствиями в 2024 году. С увеличением использования отечественного программного обеспечения хакеры могут начать эксплуатировать уязвимости ПО.
Хакеры также используют сторонних поставщиков для незаметного проникновения в сети. В этом году наиболее распространенным способом получить начальный доступ к сетям стала атака на службы удаленного доступа, особенно RDP и VPN. Также отмечается увеличение случаев атак с получением доступа к КИИ через компрометацию IT-партнеров, предоставляющих свои услуги организациям-жертвам.
Во всем этом киберажиотаже легко упустить из виду и другой вектор атак — вне человеческого фактора. Природные катастрофы, такие как землетрясения, наводнения, ураганы и пожары, могут нанести ущерб физическим объектам, включая высокотехнологичные информационные системы и коммуникационное оборудование. Перебои в электроснабжении, повреждение кабельных линий связи, затопление серверных помещений — все эти факторы могут вызвать простои и потерю доступа к важным данным.
Опережать возникающие угрозы крайне важно. И новые времена диктуют курс на все более эффективные методы защиты КИИ,
Методы обеспечения безопасности
Основной шаг при защите объектов КИИ — выбор, установка и настройка средств защиты информации (СЗИ).
В процессе категорирования определяются системы, в том числе те, на которых установка СЗИ может стать решением той или иной проблемы. Часто это автоматизированные системы управления, работающие на устаревших версиях ОС или ограниченные в доступе изначально изготовителем.
Стандартный набор СЗИ для защиты критической инфраструктуры довольно широк — это могут быть как антивирусы и межсетевые экраны, так и более комплексные решения (например средства анализа защищенности или защиты среды виртуализации). Однако не всегда можно ограничиться защитой при помощи стандартных решений. Объекты КИИ — это сложные инфраструктуры и поэтому им необходим комплексный расширенный подход. Конкретные шаги определяются в зависимости от особенностей той или иной системы и ее уязвимостей.
Так например если система не взаимодействуют с внешними сетями, обеспечивается физическая защита. Порты входов/выходов информации запечатываются, доступ в помещения переходит под контроль системы управления доступом, а также ведется учет доступа в помещения, где расположены технические средства.
Если доступ к КИИ осуществляется сотрудниками сторонних организаций, создаются отдельные автоматизированные рабочие места с установленными антивирусами, которые проверяют обновления, предназначенные для установки.
Также не стоит забывать о SOC — специализированные центры мониторинга и реагирования на киберугрозы играют ключевую роль при защите КИИ.
SOC-центры активно осуществляют мониторинг информационных потоков, выявляя аномалии и потенциальные атаки в режиме реального времени. Их специалисты проводят анализ событий, оценивают масштабы инцидентов и принимают необходимые действия для предотвращения угрозы и уменьшения ущерба..
Наконец, возвращаясь к теме ЧС в работе КИИ, данный вектор отлично покрывает класс решений для аварийного восстановления. Это набор средств, направленных на эффективное восстановление инфраструктуры, данных и функционирования всех систем в случае серьезных сбоев или чрезвычайных ситуаций.
Данное СЗИ подготавливает системы к возможным чрезвычайным событиям, таким как землетрясения, пожары и наводнения. Эти события могут серьезно повредить дата-центр с инфраструктурой компании, вплоть до полного разрушения.
Основа действия аварийного восстановления — создание резервной площадки, где происходит восстановление полного дубликата или части инфраструктуры в случае катастрофы.
Как можно видеть, защита КИИ — одна из самых комплексных тем всей ИБ-сферы. Именно поэтому к ней приковано такое внимание, как частных компаний, так и госсектора.
Роль государства и коммерческого сектора
В сфере обеспечения безопасности КИИ сегодня наблюдается укрепление сотрудничества между государственными структурами и частными компаниями. Оно строится на общих стратегических целях, охватывающих защиту от киберугроз и обеспечение стабильности ключевых информационных систем.
Со стороны государства обеспечивается все более сильная нормативная база. Ключевым законодательным документом в области КИИ в России является закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Его основная цель — обеспечение безопасности данной инфраструктуры в стране.
В соответствии с этим законом, субъекты КИИ обязаны разрабатывать и внедрять системы безопасности для своих объектов (статья 10). Кроме того, требования к созданию таких систем определены приказом ФСТЭК России от 25 декабря 2017 года № 239. В этом приказе описывается порядок создания подсистемы безопасности КИИ и устанавливаются конкретные требования к обеспечению безопасности объектов КИИ.
Дополнительные нормы и обязательства для сил обеспечения информационной безопасности определены приказом от 21 декабря 2017 года № 235. Эти силы включают в себя персонал, ответственный за обеспечение безопасности объектов КИИ, а также тех, кто занимается эксплуатацией, обслуживанием и ремонтом этих объектов. Непосредственно руководитель субъекта КИИ несет ответственность за организацию и работу сил обеспечения безопасности.
Создание эффективной системы безопасности позволяет предприятиям минимизировать риски нарушения их деятельности из-за возможных инцидентов. Несоблюдение безопасности КИИ может привести к серьезным юридическим последствиям, включая уголовную ответственность до 8-10 лет лишения свободы в случае чрезвычайной ситуации, повлиявшей на безопасность сотрудников.
Коммерческий сектор становится все более активным участником защиты КИИ по всей стране, в особенности системные интеграторы. Услуги ИБ-экспертов, которые обладают всеми нужными лицензиями, приобретают новую актуальность. От категорирования до внедрения СЗИ и мониторинга угроз — своими усилиями компании вносят свой вклад в безопасность не только отдельных предприятий и систем, но и всей страны в целом.
Заключение
Будущее явно несет множество вызовов для области КИИ. Даже не беря в расчет природу или политику, развитие кибератак нельзя остановить. Поэтому больший фокус на новые, независимые решения по защите КИИ и обучение нового поколения специалистов поможет всегда быть готовым к любым инцидентам при обеспечении информационной безопасности страны.
Также одним из ключевых аспектов будет дальнейшее развитие сотрудничества между госорганами и коммерческим сектором в области кибербезопасности. Эффективное взаимодействие, обмен информацией и разработка совместных стратегий станут неотъемлемыми элементами в противостоянии современным угрозам.