Александр Пуха, 19/07/23
С момента вступления в силу Федерального закона “О безопасности критической информационной инфраструктуры" прошло более пяти лет. За прошедший период большинство организаций так или иначе уделяли внимание реализации требований закона, но наиболее основательно к этому вопросу подошли крупные организации, включая промышленность, ТЭК, государственный сектор.
Автор: Александр Пуха, начальник отдела аудита и консалтинга ДИБ АМТ-ГРУП
На текущий момент организации находятся на разных стадиях построения систем безопасности (СБ). Многие уже выполнили все задачи или их существенную часть. Ряд малых и средних предприятий не столь активно вели работы – отстают на шаг, что можно связать с ресурсными ограничениями, как финансовыми, так и человеческими.
Для всех организаций, как выполнивших построение систем безопасности, так и находящихся в процессе их построения, есть ряд открытых задач и вопросов, что обусловлено следующими факторами.
- Усиление законодательного регулирования, в частности выпуск указов президента РФ № 166 и 250, которые ограничивают применение иностранного ПО и СЗИ и определяют ряд дополнительных мер по обеспечению ИБ.
- Существенный рост компьютерных атак, который мы наблюдаем. По оценкам, количество атак на компании в 2022 г. значительно выросло, в отдельных отраслях в несколько раз.
Одной из ключевых целей атак являются системы АСУ (промышленной автоматизации и автоматизированные системы диспетчерского управления). Это связано с тем, что работа АСУ и связанного технологического оборудования напрямую влияет на процессы жизнедеятельности. Нарушение функционирования АСУ может приводить к повреждению оборудования, прерыванию технологических процессов и производства, причинению ущерба жизни и здоровью людей, экологии и др.
АСУ являются одними из наиболее критичных систем, требующих внимания. Реализация СБ АСУ, как правило, связана с определенными ограничениями и сложностями.
- Поставка и поддержка решений в АСУ ограничены, в ряде случаев невозможны (Siemens, GE, Honeywell, Bently Nevada и др.). Сложность подбора замены оборудования и ПО АСУ.
- Уход западных производителей СЗИ, необходимость подбора и тестирования замены. Выбор отечественных СЗИ на текущий момент ограничен.
- Повышенные требования к надежности СЗИ, необходимость проработки вопросов их совместимости и отсутствия влияния на защищаемые АСУ.
- Ограниченность человеческих ресурсов.
С учетом этого можно выделить несколько наиболее актуальных для большинства организаций задач и вопросов.
Импортозамещение компонентов АСУ, инфраструктуры и СЗИ
В текущей геополитической обстановке большинство организаций столкнулись с вынужденным импортозамещением: основная часть зарубежных решений перестала полноценно функционировать, продлить подписки нет возможности, с обновлениями также возникают проблемы. В связи с этим изменяется методология ведения проектов модернизаций, строительства технологических объектов, что, безусловно, отражается и на процессах защиты объектов КИИ.
Активность среди клиентов и партнеров по тестированию отечественных решений для замены используемых зарубежных постоянно возрастает. Сложность в том, что не для всех типов решений существуют отечественные аналоги. Аналитика показывает, что порядка 30% типов решений в принципе отсутствуют на отечественном рынке, а среди остальных многие уступают по функциональности ушедшим.
Российский ИБ-сегмент достаточно зрелый, в нем работает много серьезных игроков с историей, опытом, ресурсами. Здесь давно прослеживается устойчивый тренд на импортозамещение, в частности в КИИ эти вопросы обсуждаются не первый год.
В ИТ-сегменте ситуация сложнее: например, в области решений для инфраструктуры, виртуализации, телекоммуникационного оборудования отечественных аналогов в отдельных нишах нет либо опыт их применения крайне незначительный.
До 2025 г. остается совсем мало времени. Важно учесть, что решения необходимо не только заменить, но и настроить для эффективной работы, защиты от угроз, а для отдельных решений это достаточно трудоемкий и длительный процесс (например, SIEM, специализированные системы обнаружения вторжений, МСЭ).
Применение СЗИ связано не только с импортозамещением, но и с вопросом оценки их соответствия
В текущем году вступили в силу новые требования ФСТЭК России в части защиты значимых объектов КИИ. Для наложенных СЗИ необходимо соответствие 6-му или более высокому уровню доверия. Там, где применялись или находились в процессе внедрения несертифицированные СЗИ и оценка проводится в форме испытаний (приемки), организации столкнутся с дополнительными требованиями по испытаниям на соответствие требованиям к уровню доверия, помимо ранее обязательных требований к функциям безопасности. Для зарубежных СЗИ отдельные оценки могут оказаться невыполнимыми, поскольку производители ушли с рынка и взаимодействия с ними нет.
К прикладному ПО, планируемому для внедрения, обеспечивающему выполнение функций АСУ по назначению, также предъявляются требования по безопасности (безопасная разработка, выявление уязвимостей). Далеко не все производители до текущего момента уделяли внимание этим вопросам, поэтому при выборе ПО организации неизбежно столкнутся с необходимостью дополнительного анализа продуктов, взаимодействия с производителями для выполнения данных требований.
Человеческие ресурсы
Вопрос недостатка ресурсов всегда был актуален. При построении СБ внедряется ряд новых технических решений, правил и процедур, растет объем задач, появляется потребность в дополнительном ресурсном обеспечении. При этом мы видим определенный отток специалистов с рынка, в связи с чем нехватка кадров может усугубиться.
К АСУ предъявляются повышенные требования к непрерывности функционирования, недопустимости нарушения связанных технологических процессов, в том числе за счет возможного влияния СЗИ (например, МСЭ, СОВ, АВЗ). В связи с этим повышенные требования предъявляются к настройке и сопровождению таких СЗИ. В отдельных случаях может требоваться сопровождение СЗИ в нерабочее время на случай возможных сбоев или инцидентов, что, в свою очередь, требует создания дежурных смен для работы 24/7. Кроме того, в соответствии с утвержденным ФСБ России порядком информирования о компьютерных инцидентах информация об инциденте, связанном с функционированием значимого объекта КИИ, направляется в НКЦКИ в срок не позднее трех часов с момента обнаружения, а в отношении иных ОКИИ – 24 часов. Соответственно, необходимо постоянно держать руку на пульсе и иметь ресурсы для решения указанных задач в любое время суток, в том числе в нерабочие дни.
Говоря о специфике АСУ, важно отметить, что зачастую у специалистов ИБ недостаточно понимания особенностей технологических процессов и систем. Необходимо постоянное повышение квалификации персонала, чтобы эффективно работать со специфическими уязвимостями, угрозами, событиями безопасности.
С точки зрения практических моментов стоит отметить два важных вопроса.
- Мониторинг событий безопасности в АСУ. Для эффективного мониторинга могут применяться специализированные системы обнаружения вторжений, которые анализируют трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак. На практике в инфраструктуре предприятия можно получить десятки и сотни тысяч событий, которые необходимо "переварить" и проанализировать. Требуются знания и понимание не только принципов работы самих СЗИ, но и технологических процессов, чтобы провести тонкую настройку и из множества событий выделять те, которые требуют внимания, адаптировать правила и механизмы обнаружения атак. В данном случае необходима совместная работа как служб ИБ, так и служб автоматизации и представителей производственных подразделений.
- Анализ уязвимостей в АСУ. Для АСУ в том числе характерны специфичные уязвимости, связанные со специализированным оборудованием и ПО. Необходимо понимать подходы к их выявлению, применяемые инструменты, уметь оценить критичность и выбрать способ устранения. Кроме того, в соответствии с требованиями ФСТЭК России необходимо проводить анализ уязвимостей в рамках внедрения СБ. Следует отметить, что на текущий момент соответствующая работа активно ведется регулятором. В частности, разработана Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств, а также проекты Методики контроля (анализа) защищенности информационных систем и Методики управления уязвимостями. Указанные документы внесут определенную ясность в части соответствия выполняемых работ ожиданиям и требованиям регулятора.
Таким образом, для большинства субъектов КИИ некоторые вопросы остаются открытыми. Для одних они связаны с первоначальным построением СБ, а для других – с необходимостью ее модернизации. Как говорится, дорогу осилит идущий. Практика показывает, что организации, которые планомерно подошли к вопросам построения СБ, в большинстве своем выполнили все или существенную часть требований: СБ внедрены и сданы в эксплуатацию, в ряде случаев уже с учетом требований по импортозамещению. Те, кто откладывает решение данных задач, существенно рискуют не уложиться в срок, так как построение СБ с учетом обширного количества требований предусматривает решение немалого объема вопросов, а они не решатся одномоментно.
Обеспечение безопасности – это не разовая работа, которую можно сделать и забыть. Это непрерывная деятельность, требующая внимания и ресурсов на постоянной основе как с точки зрения эффективной поддержки и эксплуатации отдельных процессов и СЗИ, так и с точки зрения успешного мониторинга уровня безопасности, защиты от возможных компьютерных атак.
