Основным риском остается использование ПО производителей из недружественных стран. На текущий момент мы имеем сложную ситуацию, в которой невозможен полный отказ от такого ПО, а устранение в нем уязвимостей и обновление несут в себе риски с добавлением недекларированных возможностей.
Следует отметить, что изменения в нормативно-правовой базе, регулирующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение своих систем в соответствие с новыми стандартами, что может повлиять на финансовую стабильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена.
Еще один аспект: ошибки персонала, недостаточная подготовка или недобросовестное поведение могут привести к инцидентам. Компаниям необходимо вкладываться в поддержание и развитие человеческого ресурса.
По-прежнему высокими остаются риски APT и атак, направленных на отказ в обслуживании для объектов КИИ, имеющих подключение к сетям общего доступа. Снижения активности таких атак в ближайшие годы ожидать не стоит.
Основными рисками остаются разрозненность применяемых СЗИ, отсутствие экосистемного подхода и высокая скорость изменений, часто сопровождающаяся потерей качества при проектировании новых систем защиты информации. Кроме того, сохраняется и кадровый голод, который проявляется как в недостатке персонала, так и в увеличении скорости миграции специалистов с места на место в условиях перегретого рынка труда.
Не так давно различные министерства опубликовали типовые отраслевые перечни объектов КИИ. В большинстве сфер, указанных в 187-ФЗ, определены перечни ИС, ИТКС, АСУ. Одним из рисков для субъекта КИИ может стать значительное расширение перечня объектов КИИ, а как следствие, не исключены ошибки при прочтении типовых перечней, при формировании новых объектов КИИ, либо при расширении уже существующих. Ну и дополнительные затраты на защиту новых объектов КИИ являются не менее значительными рисками для бизнеса.
Ситуация существенно не отличается от прочих ИТ-систем: атаки хактивистов, шифровальщики-вымогатели, хищение данных и т.д. Однако для многих злоумышленников ОКИИ становятся более приоритетными целями из-за большего потенциального ущерба и возможности "попиариться" на взломе.
Есть проблема и с выполнением требований законодательства: понятие "объекты КИИ" слишком общее – от ИСПДн до АСУ ТП. Единые подходы к защите работают не всегда. А недостаточное число отечественных средств защиты делают задачу еще более нетривиальной.
Наиболее частая ошибка, которую мы видим, – это "оставить на потом, отдельным разделом" проектирование системы защиты ОКИИ. Часто встречается ситуация, когда объект спроектирован, места’ размещения оборудования утверждены, системы выбраны, но выясняется, что в условиях применения определенных мер защиты использование всего комплекса запроектированных средств невозможно.
Если проектирование ведется системно, допустить серьезные ошибки сложно. Из распространенных излишеств, на которых можно сэкономить, я бы выделил аттестацию ОКИИ по требованиям приказа ФСТЭК № 239 – действие, которое чаще всего не является обязательным по закону. Отмечу, что, к сожалению, даже к концу 2024 г. многие субъекты КИИ еще не приступили к проектированию.
Распространенная ошибка – отсутствие комплексного подхода к архитектуре безопасности. Проектировщики часто сосредотачиваются на защите отдельных компонентов системы, не учитывая общую архитектуру и взаимодействие между элементами. Это приводит к различным проблемам при эксплуатации системы: как к слабостям с точки зрения защиты от угроз, так и к сложностям масштабирования и модернизации. Отдельным ответвлением данной проблемы является закладывание в проектные решения зарубежных решений, что категорически недопустимо делать в текущих условиях.
Ошибки, которые чаще всего допускают организации при проектировании системы защиты объектов КИИ:
Ошибки при проектировании возникают уже на первоначальном этапе: некачественно проводится обследование инфраструктуры объекта КИИ, не учитываются особенности оргштатной структуры субъекта КИИ в части распределения зон ответственности по администрированию и эксплуатации объекта КИИ, не учитываются существующие у субъекта КИИ решения ИБ. Последствием этих ошибок становится избыточность либо слабой системы защиты ОКИИ. Из-за недостаточной проработки архитектуры системы защиты могут возникнуть сложности при назначении ответственных за обеспечение ИБ объектов КИИ.
Одна из распространенных ошибок – отсутствие должного внимания к настройке и проверке защиты компонентов СЗИ. Используемые при построении систем безопасности программно-аппаратные комплексы часто имеют устаревшие прошивки, предустановленные пароли, ненастроенные ОС, усугубленные отсутствием антивирусной защиты. Надо всегда учитывать, что любой сервер управления СЗИ является критичным компонентом, способным нарушить непрерывность бизнес-процесса, и он должен быть защищен в первую очередь.
Наиболее частая ошибка встречается при проектировании системы защиты объектов КИИ, которым не была присвоена ни одна из категорий значимости в соответствии с постановлением Правительства № 127. Заключается она в том, что организации при создании системы защиты применяют приказ ФСТЭК России № 31, который не является подзаконным актом Федерального закона № 187. В данном случае должны применятся приказы ФСТЭК России № 235 и № 239. Но выбор мер защиты для ОКИИ, которым не присвоена ни одна из категорий значимости, не регламентируется данными приказами и остается на усмотрение организации, которой принадлежат ОКИИ.