КиберНЕустойчивость и как с ней бороться
Александр Пуха, 17/02/23
Статистика компьютерных инцидентов за 2022 год показывает неуклонный рост количества как массовых, так и целенаправленных компьютерных атак. По оценкам участников рынка, в отдельных отраслях наблюдается рост в несколько раз в сравнении с аналогичным периодом прошлого года. Заметное влияние на это в том числе оказывает геополитическая ситуация.
Авторы:
Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
Екатерина Степанова, ведущий консультант отдела аудита и консалтинга АМТ-ГРУП, к.т.н.
К "классическим" атакам, целью которых является получение материальной выгоды, добавились атаки, реализуемые из идеологических соображений хактивистами, стремящимися вызвать общественный резонанс, привлечь внимание к социальным и политическим вопросам. В этой связи мишенью становятся не только популярные ранее объекты, такие как финансовые организации, государственные учреждения, ИТ, телекоммуникационные компании и т.д., но и сферы, которые прежде злоумышленников практически не интересовали, – СМИ, промышленность, агропромышленный комплекс и транспорт.
Наиболее распространенными являются DDoS-атаки, атаки на веб-ресурсы, утечки конфиденциальной информации и персональных данных. Растет и количество атак, направленных на нарушение работы и перехват управления системами и сетями. Такие атаки могут приводить к нарушению деятельности или экономическому ущербу организаций различных масштабов, а также выходящим за пределы самих организаций негативным последствиям, в частности социальным, политическим и экологическим.
Нормативное регулирование вопросов киберустойчивости
С учетом актуальности задач обеспечения киберустойчивости в отдельных отраслях вводится соответствующее нормативное регулирование.
С 1 октября 2022 г. кредитные и некредитные финансовые организации (далее – ФО) при осуществлении деятельности в сфере финансовых рынков должны обеспечивать операционную надежность в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники и телекоммуникационного оборудования. Указанные требования устанавливаются положениями Банка России № 787-П и № 779-П, которые не являются чем-то совершенно новым: детальный анализ показывает, что они лишь расширяют и дополняют требования ранее действовавшей нормативной базы. Рассмотрим отдельные вопросы, регулируемые указанными положениями, подробнее.
Формирование структурированного перечня критичной архитектуры
В соответствии с положениями № 787-П и № 779-П ФО должны провести работы по идентификации и учету критичной архитектуры. При этом состав элементов критичной архитектуры схож с элементами критической информационной инфраструктуры, определяемыми в соответствии с нормативными документами в области безопасности КИИ (программно-аппаратные средства, общесистемное и прикладное ПО, каналы связи и др.). Дополнительно необходимо идентифицировать:
- технологические процессы и их участки, реализуемые в ФО;
- подразделения (работников) ФО, ответственные за разработку, поддержание выполнения и реализацию технологических процессов, а также осуществляющие доступ к объектам информационной инфраструктуры ФО, задействованным в технологических процессах;
- поставщиков услуг в ИТ-сфере, реализующих технологические процессы и/или их участки;
- взаимосвязи между участниками в рамках выполнения технологических процессов.
В положениях No 787-П и No 779-П определен типовой перечень технологических процессов, обязательных для учета и контроля. В рамках инвентаризации целесообразно расширить данный перечень и рассматривать отдельные критические процессы, идентифицированные в рамках работ по категорированию объектов КИИ организации.
Определение показателей операционной надежности для технологических процессов
Банк России развивает подход, согласно которому деятельность не может быть управляема, если она не может быть измерена, определив в положениях № 787-П и № 779-П необходимость оценки и обеспечения контроля показателей операционной надежности, в том числе:
- доли деградации технологических процессов;
- времени простоя и/или деградации технологического процесса;
- суммарного времени простоя и/или деградации технологического процесса;
- соблюдения режима работы (функционирования) технологического процесса.
ФО должны определить допустимые уровни показателей и обеспечить оценку по каждому событию операционного риска, связанного с нарушением операционной надежности, фактических значений показателей, а также обеспечить контроль соблюдения значений целевых показателей.
Для реализации указанных в положениях № 787-П и № 779-П требований необходимо разработать (актуализировать) комплект нормативно-методических документов. В документах должны быть регламентированы процедуры:
- выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности;
- обеспечения непрерывности деятельности при наступлении события операционного риска, связанного с нарушением операционной надежности;
- организации взаимодействия с участниками технологического процесса и заинтересованными сторонами.
Выполнение требований по операционной надежности
Кроме рассмотренных выше процедур, финансовые организации должны обеспечить выполнение следующих процессов и процедур:
- управление уязвимостями и обновлениями;
- планирование и внедрение изменений в критичной архитектуре;
- управление конфигурациями объектов информационной инфраструктуры;
- управление рисками реализации информационных угроз и технической зависимости функционирования информационной инфраструктуры при привлечении поставщиков услуг;
- моделирование информационных угроз в отношении критичной архитектуры.
Как правило, при реализации требований к обеспечению защиты информации в соответствии с положениями Банка России № 683-П и № 757-П в ФО указанные процессы и процедуры уже должны быть реализованы. Следует удостовериться, что ранее внедренные процессы защиты информации в том числе охватывают все компоненты критичной архитектуры.
Практические мероприятия по повышению киберустойчивости Банк России сформировал отдельные отраслевые требования. Казалось бы, организациям остальных отраслей не на что опереться. Однако проблема обеспечения киберустойчивости в мировом масштабе актуальна достаточно давно, сформированы и применяются лучшие практики, международные стандарты обеспечения непрерывности процессов и систем. И в отечественных нормативно-правовых актах по отдельным направлениям (например, по безопасности КИИ РФ) уделяется большое внимание вопросам управления инцидентами информационной безопасности, обеспечению доступности, планированию действий в нештатных ситуациях.
Приведем основные шаги, позволяющие повысить киберустойчивость инфраструктуры предприятия вне зависимости от его отраслевой принадлежности:
- Определить, какие системы поддерживают и/или обеспечивают управление и контроль критических процессов.
- Оценить, к каким негативным последствиям в худшем сценарии могут привести действия злоумышленников в отношении систем. Исходя из этого, определить, насколько чувствительны отдельные системы для процессов организации, каково допустимое время их простоя и время допустимой потери данных.
- Обеспечить создание резервных копий и тестирование возможности восстановления систем из них. При неблагоприятном стечении обстоятельств, когда злоумышленники достигли цели и парализовали работу отдельных систем и/или процессов, наличие актуальных резервных копий может гарантировать, что прерывание процессов не будет катастрофичным. При формировании плана резервного копирования необходимо учесть не только непосредственно данные систем, но и данные связанной инфраструктуры (например, конфигурации телекоммуникационного оборудования, средств защиты информации).
- Обеспечить своевременную установку необходимых обновлений. Злоумышленники могут в первую очередь ориентироваться на легкодостижимые цели, например общедоступные сервисы с известными уязвимостями.
- Слабые или заданные по умолчанию пароли, скомпрометированные учетные записи значительно упрощают реализацию атаки. Анализ результатов проводимых оценок защищенности показывает, что пользователи и администраторы зачастую используют легко подбираемые пароли на критичных сервисах. Использование на регулярной основе специализированных решений для проверки соответствия учетных записей требованиям безопасности можно отнести к одному из шагов.
- Формализовать подход к реагированию на инциденты, по возможности регламентировать правила взаимодействия и порядок действий внутренних подразделений и привлечения третьих сторон. Отсутствие четкого плана действий и понимания зон ответственности приводит к потере времени в случае нештатных ситуаций и инцидентов, что увеличивает масштаб возможных негативных последствий и время последующего восстановления систем и процессов.
Нельзя не отметить, что одним из важнейших вопросов в рамках обеспечения киберустойчивости в текущих условиях является выбор ИТ- и ИБ-решений. Многие зарубежные производители покинули российский рынок, основная часть зарубежных решений перестала полноценно функционировать, продлить подписки нет возможности, с обновлениями также возникают проблемы. Кроме того, усиливается законодательное регулирование в части ограничения применения иностранного ПО и средств защиты информации.
Замена неподдерживаемого оборудования и ПО является одной из задач в рамках обеспечения киберустойчивости. При этом заменить все и сразу, как правило, не представляется возможным, в том числе ввиду ограниченности финансовых и временных ресурсов. При планировании замены также целесообразно учитывать критичность отдельных систем и оборудования: в первую очередь внимания требуют те, которые обеспечивают критические процессы, где потенциальное влияние инцидентов и сбоев может привести к критичным последствиям.