Олег Бакшинский: Как обеспечить надежную защиту промышленного предприятия
О том, как реализовать проект по защите периметра технологических сетей, о внедрении средств защиты конечных точек и создании комплексных систем, о важности и сложности миграции с иностранных систем безопасности, учитывая риски «бэкдоров» и программных закладок, об аудите безопасности, кадрах и многом другом рассказывает Олег Бакшинский, генеральный директор Cloud Networks.
В чем состоит специфика работы в области обеспечения безопасности промышленных объектов? Каковы основные риски, с которыми сталкиваются предприятия?
Мне кажется, ключом к ответу на данный вопрос может стать давний спор, разгоревшийся в сфере обеспечения ИБ промышленных систем еще несколько лет назад: что легче: переобучить ибэшника в асушника или асушника в ибэшника? Вопрос скорее можно назвать риторическим, но в самой его формулировке частично кроется ответ. Для того чтобы выполнять работы по ИБ в АСУ ТП, причем неважно, на какой стадии — аудит, проектирование или внедрение, — мало разбираться в средствах защиты, знать нормативно-правовую базу, международные стандарты и пр. Даже базовые знания в типах и архитектурах систем промышленной автоматизации не всегда помогут выстроить функционирующую систему защиты. Второй индикатор — думаю, многие безопасники меня поддержат, — небольшое желание специалистов АСУ ТП на объектах общаться с представителями ИБ. И вот тут, на мой взгляд, кроется главное отличие специалиста ИБ АСУ ТП или просто специалиста АСУ ТП: опыт работы непосредственно на технологических установках. Этот опыт заключается не столько в знании сетевых технологий, операционных систем и средств защиты, сколько в понимании ответственности за состояние объекта. Причем такое понимание порой появляется благодаря собственным примерам: многие работники сферы АСУ ТП сталкивались с различными инцидентами и аварийными ситуациями, происходящими либо на их родных заводах, либо на предприятиях по соседству. Благодаря устоявшейся практике так называемых молний, между различными промышленными холдингами идет постоянный процесс обмена информацией о самых тяжелых авариях, об их последствиях и первопричинах. Одним из основных тезисов, часто встречающихся в области ИБ АСУ ТП, является «главенство функциональной и промышленной безопасности над информационной». И это касается не только возможных рисков от реализации киберинцидентов, но и негативных последствий в результате неправильно спроектированной системы защиты или ошибок при настройке на этапе внедрения.
Особо хочу отметить, что, кроме бывших инженеров АСУ ТП, переобученных по направлению информационной безопасности, в нашей компании работает много «классических» специалистов — сотрудников, занимающихся проектированием и внедрением всевозможных средств защиты, начиная от обычных антивирусов и межсетевых экранов и заканчивая сложными системами класса SIEM, SOAR, SGRC и пр. В выделенном управлении ИБ АСУ ТП работают не только специалисты, пришедшие из сферы автоматизации: на сложных и комплексных проектах сотрудники всех подразделений действуют в тесной кооперации друг с другом, обмениваясь опытом и постоянно повышая компетенции в смежных для себя областях.
Какие конкретные шаги предприняла Cloud Networks для минимизации рисков, связанных с кибербезопасностью промышленных объектов, в последние полтора года?
Прежде всего в штате нашей организации немало специалистов, пришедших из сферы АСУ ТП, причем работавших преимущественно на взрывопожароопасных предприятиях химической и нефтегазовой отраслей и, соответственно, осознающих все риски и последствия от неправильных действий на промышленном объекте. Перед внедрением на объекте инженеры разворачивают на нашем внутреннем стенде образы систем АСУ ТП и тестируют внедряемые средства защиты на совместимость с прикладным программным обеспечением. Следует подчеркнуть, что прежде всего тестируются инвазивные СЗИ. Специально для этого Cloud Networks инвестировала средства в необходимые серверные мощности для стендирования решений.
Следующий этап — работа с заказчиками из подразделений эксплуатации. В ходе планирования мы стараемся учесть технологические окна на объектах, чтобы проводить работы в максимально комфортных условиях и для служб АСУ ТП, и для технологического персонала. Хотя, стоит отметить, в этом году на нескольких площадках нами были развернуты средства защиты конечных точек «на ходу». Причем в большинстве случаев эти работы сопровождались деинсталляцией существующих средств защиты.
Немаловажный фактор — применяемые средства защиты. Тут следует сказать и про использование при построении архитектуры специализированных, адаптированных под промышленные системы средств защиты (тут даже не наша персональная заслуга, а наших технологических партнеров), и про проектную конфигурацию. Нередко для отдельных модулей СЗИ выбираются пассивные режимы, то есть средства защиты работают на мониторинг и оповещение администратора, а не на автоматическое блокирование угрозы.
Можете ли вы привести примеры успешных проектов по обеспечению безопасности промышленных объектов, реализованных вашей компанией?
Ряд реализованных и реализуемых в настоящее время проектов связан с очень острой в сегодняшних реалиях проблемой — миграцией внедренных в прошлые периоды зарубежных средств защиты, производителями которых являются недружественные страны. Данные работы проводятся с целью решения трех основных задач.
Во-первых, отсутствие гарантий по программным закладкам и бэкдоров (back door) со стороны производителей оборудования и ПО.
Во-вторых, выполнение требований Указа Президента РФ от 01.05.2022 № 250.
В-третьих, устранение несоответствия средств защиты нормативным документам в области защиты объектов КИИ. В частности, отсутствие гарантийной и технической поддержки, актуальных обновлений баз данных сигнатур.
В рамках поставленных перед нашей компанией задач мы защитили периметр технологических сетей ряда предприятий на стыке с корпоративными ЛВС, внедрив средства межсетевого экранирования и создав демилитаризованные зоны.
Кроме того, вспоминая старую поговорку «инцидент рождается и умирает на хосте», наши заказчики стремятся в первую очередь мигрировать с иностранных средств защиты конечных точек. Данные задачи также успешно были нами реализованы на ряде предприятий промышленного сектора.
Еще одним запоминающимся проектом за прошедшие полгода стала комплексная система защиты распределенного промышленного объекта, включающая подсистемы антивирусной защиты, обеспечения целостности, резервного копирования, двухфакторной аутентификации, межсетевого экранирования, криптошлюзов, системы анализа защищенности, SIEM. Ввод системы ИБ в промышленную эксплуатацию пока не произошел, но уже проведены заводские испытания, подтвердившие весь заявленный функционал. Данный объект является ярчайшим примером той кооперации инженеров из всех отделов технического департамента Cloud Networks, о которой я говорил в начале.
Не могу не упомянуть про большой объем подготовительной работы, предшествовавшей внедрению средств защиты. За 2022 год нашими инженерами управления ИБ АСУ ТП выполнена огромная работа по обследованию промышленных объектов. Были проведены аудиты более чем на 40 промышленных площадках с географией расположения от Краснодарского края до Приморья. Общее время в командировках инженерного состава превысило 6000 часов. Результаты аудитов и обследований хоть напрямую и не улучшают ситуацию с ИБ, но являются фундаментом для выстраивания дальнейшей работы как в организационной, так и в технической плоскости.
Какой подход применяет Cloud Networks для проведения аудитов информационной безопасности на промышленных предприятиях? Какие основные аспекты вы анализируете? Из каких этапов состоит и что позволяет выявить?
При проведении аудитов информационной безопасности специалистами Cloud Networks проводится комплексный анализ промышленного предприятия, который предполагает анализ технологических и производственных процессов, инвентаризацию информационных систем и анализ информационных взаимодействий, в том числе взаимодействия с корпоративной сетью, определение недопустимых событий, способных повлиять на ход работы промышленного предприятия, выявление уязвимостей и нарушений в процессе эксплуатации промышленных систем.
Данный подход позволяет определить ранее неучтенные объекты, не декларированные сетевые взаимодействия, выявить возможные угрозы информационной безопасности промышленных систем — как явные, так и на первый взгляд не актуальные.
Процесс аудита информационной безопасности можно условно разбить на три этапа. Первый — предварительный анализ данных. Второй — очное обследование объектов. Третий — формирование выводов (рекомендаций) по результатам аудита.
На первом этапе осуществляется оценка имеющейся исходной информации: перечни систем, их проектная документация, организационно-распорядительные документы, схемы топологии сети и т. д. После этого составляется и согласуется программа проведения аудита, в которой определяются сроки, порядок и методы проведения обследования. К моменту приезда инженерного состава на объект ответственные специалисты служб предприятия, как правило, уже имеют представление о сроках и целях работы, методах сбора данных, ожидаемых результатах.
На втором этапе проводится натурное (очное) обследование объектов, в рамках которого сопоставляются исходные данные с реальным состоянием объектов обследования и выявляются возможные нарушения и угрозы информационной безопасности. В процессе обследования также проводится интервьюирование производственного и административного персонала на предмет знаний в области информационной безопасности и определяются недопустимые события, критичные для промышленного предприятия. Могу констатировать — и статистика проведенных нами аудитов это подтверждает, — что в большинстве случаев реальное положение дел на промышленной площадке не в полной мере соответствует первоначально полученным данным.
На третьем этапе происходит систематизация и обработка собранной информации, формируется отчетная документация. В минимальный набор входит полноценный и всесторонний отчет об обследовании с перечнем выявленных недостатков, также для предприятий составляется план мероприятий по приведению объектов обследования в соответствие с требованиями законодательства РФ в области информационной безопасности. Нередко на стадии аудитов разрабатываются модели угроз информации. Бывают более «экзотичные» запросы — например, по разработке методик определения и верификации негативных событий.
Какие рекомендации по улучшению ИБ чаще всего получают предприятия после проведения аудита?
Чаще всего рекомендуется скорректировать штатную структуру ИБ-подразделения предприятия. По результатам аудитов, проведенных за текущий год сотрудниками Cloud Networks, выявлено, что порядка 63% организаций назначают ответственными за обеспечение ИБ-объектов КИИ сотрудников, не имеющих требуемых в соответствии с приказом ФСТЭК от 21.09.2017 № 235 квалификаций, а в 87% случаев на данных сотрудников дополнительно возлагаются обязанности, не связанные с обеспечением ИБ объектов КИИ. Организаций, обеспечивающих в полной мере соблюдение требований Указа Президента Российской Федерации от 01.05.2022 № 250 и подзаконных актов к нему, на текущий момент в рамках проведения аудитов субъектов КИИ вообще не выявлено.
Пальму первенства с рекомендацией о корректировке штатной структуры предприятия делит рекомендация о необходимости проведения категорирования объектов КИИ либо проведения повторного категорирования в случае выявления в ходе аудита несоответствия фактическим данным перечня объектов или присвоенных им категорий. Особенно данная рекомендация касалась периода ранних этапов после вступления в силу требований Федерального закона от 26.07.2017 № 187-ФЗ.
На третье место я бы поставил рекомендацию по формированию либо корректировке организационных распорядительных документов, связанных с вопросами обеспечения на предприятии информационной безопасности объектов КИИ. Часто бывают случаи, когда в данных документах не учитывается специфика защиты информации в системах промышленной автоматизации. Данная рекомендация, как и первые две названных, касается вопросов нормативного соответствия и в целом структуры организации работы по обеспечению ИБ, но без построения организационной основы и наличия на предприятии квалифицированных кадров внедренная система обеспечения информационной безопасности, включающая ряд дорогостоящих решений, таких как DLP, IDS, межсетевое экранирование, SIEM и т. д., будет ограничена и неэффективна.
Кроме того, зачастую на предприятиях выявляются случаи использования в системах промышленной автоматизации нелегитимных компонентов и сетевых соединений, не учтенных в проектной и эксплуатационной документации. В данном случае даются рекомендации о необходимости рассмотрения целесообразности использования таких компонентов, а при выявлении компонентов, несущих явную угрозу информационной безопасности объектов КИИ, например, таких устройств, как LTE-модемы и WI-FI роутеры, не обеспечивающих надлежащую защиту канала передачи данных и используемых обслуживающим персоналом и подрядными организациями для удаленного доступа к системам, рекомендуется исключить их применение.
В то же время хотелось бы отметить, что данные рекомендации касаются не всех предприятий — все зависит от текущего уровня зрелости процессов обеспечения информационной безопасности объектов КИИ, отношения к рискам, корпоративной культуры и других факторов, присущих той или иной организации.
По итогам проведенного аудита мы всегда формируем рекомендации по построению либо модернизации системы обеспечения информационной безопасности объектов КИИ. Такие рекомендации обязательно учитывают особенности используемых на предприятии систем промышленной автоматизации, в том числе их архитектуру, компоненты, структуру технологических сетей, а также применяемые средства обеспечения информационной безопасности в технологическом и корпоративном сегменте сети.
Хочу отметить, что постепенно выявляемые проблемы носят все более узкий характер и требуют более точечных корректировок в процессах построения ИБ. Это связано с ростом зрелости предприятий в вопросах защиты информации объектов КИИ ввиду все большего понимания топ-менеджментом и сотрудниками на местах необходимости обеспечения информационной безопасности и рисков, связанных с возникновением угроз безопасности информации.
Как часто, по вашему мнению, предприятиям следует проводить аудит ИБ для обеспечения надлежащей защиты от киберугроз?
Прежде чем ответить на этот вопрос, хотел бы напомнить, что для значимых объектов КИИ, к которым в большинстве своем относятся промышленные АСУ ТП, периодичность проведения аудитов и анализов защищенности регламентирована нормативно-правовыми актами, в частности приказом ФСТЭК № 235. В первоначальной редакции от 2017г. эта периодичность составляла не реже одного раза в год, в последних редакциях срок увеличили до трех лет.
Следует разделить аудит на внешний и внутренний. И тот и другой вид допускаются тем же 235-м приказом. При проведении внутреннего аудита формируется комиссия из работников предприятия — как правило, это главные специалисты, начальники управлений и отделов по направлениям ИТ, АСУ ТП, ИБ и других профильных служб, участвующих в процессах обеспечения информационной безопасности. Внешний аудит может проводить только компания, имеющая разрешение на деятельность в сфере технической защиты конфиденциальной информации, обладающая соответствующей лицензией ФСТЭК.
Несмотря на обозначенный срок в три года, я бы рекомендовал, во-первых, проводить аудиты не реже одного раза в год, а во-вторых, чередовать внутренние и внешние проверки. Ведь какие факторы приводят к появлению многих проблем, нарушений и несоответствий, о которых мы говорили выше? Отсутствие достаточных бюджетов на улучшение систем защиты — это очень большая проблема для предприятий, но у проблем, связанных с наличием недекларированных компонентов и сетевых взаимодействий, нередко совсем иная природа. Эффект «замыленного глаза» зачастую не позволяет выявить несоответствия, лежащие на самой поверхности. Опытные инженеры, много лет эксплуатирующие АСУ ТП, открывая очередной шкаф с оборудованием, говорят сами себе: «Тут все понятно и знакомо, со вчерашнего дня ничего не изменилось». И могут пропустить какие-либо изменения, проводившиеся во время их отпуска, которые нигде не зафиксированы. Нередко на объектах реализуются временные схемы для решения срочных, сиюминутных задач, и эти схемы так и остаются в неразобранном виде на долгое время. Сказываются и такие проблемы, как отсутствие актуальной документации на объекте, текучка кадров, большая нагрузка.
Проведение внешних аудитов позволяет избежать вышеописанных ситуаций, поскольку командируемые специалисты заряжены на решение конкретной задачи и менее отвлекаются на внешние факторы.
Расскажите о переквалификации экспертов АСУ ТП в области обеспечения безопасности. Какой уровень профессионализма требуется от ваших сотрудников?
Компания Cloud Networks применила подход диверсификации навыков сотрудников при создании управления ИБ АСУ ТП, то есть был сделан упор на команду, состоящую из экспертов в области ИБ и экспертов в области АСУ ТП. Данный подход был необходим, каждое направление имеет свои тонкости, особенности и нюансы. В итоге мы наблюдаем быстрое развитие и становление экспертов бывших изначально АСУ ТП — в области уже ИБ АСУ ТП. После прохождения переквалификации сотрудники, пришедшие из АСУ ТП, обладают как минимум начальными знаниями в области ИБ и основными принципами построения систем в защищенном исполнении и использования тех или иных СЗИ. Главное в АСУ ТП, конечно же, доступность системы, и именно эксперты в части АСУ ТП прекрасно знают принципы работы оборудования и программного обеспечения различных вендоров АСУ ТП и понимают, как те или иные наложенные СЗИ или даже их отдельные функциональные модули могут повлиять на работу всей системы и на ее доступность. Особый плюс экспертов АСУ ТП в том, что они знают всю промышленную кухню, ведь все-таки у нашей промышленности особая специфика, подход к работе и построению бизнес-процессов тоже свой. К каждому заказчику нужен свой, индивидуальный подход, и они прекрасно знают, как работать с данными сотрудниками предприятий: будь то специалист АСУ ТП или КИП, энергетик, главный метролог или главный инженер и т. д. И когда заказчик видит, что наши сотрудники обладают экспертностью не только в области ИБ, но и в АСУ ТП, а также понимают специфику работы непосредственно производственных объектов, удается моментально выстраивать доверительные отношения — а это одна из трех ключевых ценностей нашей компании (Инновации. Технологии. Отношения). Что скрывать, были случаи, когда наши эксперты подсказывали сотрудникам заказчика, как организовать эффективную работу АСУ ТП. По результату кооперативной работы специалистов изначально разных профилей мы получаем в лице каждого нашего сотрудника эксперта как в области ИБ, так и в области АСУ ТП.
В сфере ИБ АСУ ТП требуется высокий уровень профессионализма, ведь будь то разработка эффективной архитектуры системы или уже внедрение средств ИБ, даже малые неточности со стороны специалистов могут привести к нарушению доступности АСУ ТП, а это грозит значительными финансовыми потерями для заказчика.
Какие уроки вынесла компания из «пожаротушения», возникшего в результате резкого увеличения числа киберинцидентов?
Так как мы говорим сегодня про индустриальный сектор, то хочу отметить, что непосредственно у наших ключевых заказчиков резкого роста компьютерных инцидентов в промышленных системах не наблюдалось. И, отвечая на поставленный вопрос, хотел бы отметить, что в первую очередь уроки вынесли сами промышленные предприятия. Об этом говорит, прежде всего, увеличившееся количество запросов, а также специфика этих запросов. Но и наша компания не осталась в стороне от сложившейся в этой сфере проблематики. Мы успели реализовать несколько проектов по защите промышленной инфраструктуры, которая была экстренно «отрезана» субъектами от корпоративного сегмента сети в рамках превентивной защиты от возможных хакерских атак.
Хотя, если говорить в целом, то события середины 2010-х годов, происходившие в промышленном сегменте, уже наталкивали на определенные подходы в рамках моделирования угроз и дальнейшего построения систем защиты, так что кардинального перестраивания работы у нас не произошло. Конкретно сейчас на отрасль больше влияет политика в области импортозамещения — со всеми вытекающими последствиями. Но наша компания готова и к таким вызовам, своевременно осваивая и осуществляя переход на отечественные разработки.
В каком направлении, по вашему мнению, будет двигаться отрасль кибербезопасности промышленных объектов в ближайшем будущем?
Прежде всего, конечно же, к результативной безопасности — время «чисто бумажной» ИБ прошло. Уже сейчас мы видим, как отрасль от запросов на аудит, обследования уровня защищенности и соответствия стандартам приходит к запросам на предпроектное обследование с последующим проектированием комплексных систем безопасности. Кроме того, большое внимание будет уделено импортозамещению. В промышленной сфере эта тема муссируется довольно давно, не только применительно к СЗИ, но и непосредственно к компонентам и ПО самих АСУ ТП. Однако ряд законодательных инициатив 2022–2023 гг. обозначил крайний срок для полного перехода на отечественные средства защиты информации.
Также наблюдается запрос на усовершенствование систем защиты у заказчиков, которые относительно давно задумались об организации информационной безопасности в промышленном сегменте и уже успели построить зрелую систему защиты. Речь идет о построении полноценного промышленного SOC (Security Operations Center) либо об интеграции данных с промышленных систем и средств защиты в ранее построенные корпоративные SOC.
Как Cloud Networks планирует развиваться в контексте растущей потребности в услугах по обеспечению кибербезопасности промышленных объектов?
Первый ответ содержится прямо в вопросе — Cloud Networks планируют расти вслед за ростом потребностей! С момента создания обособленного подразделения по обеспечению информационной безопасности АСУ ТП мы находимся в режиме постоянного роста штата сотрудников. Причем этот рост является экспоненциальным и в настоящий момент не прекращается. А если учесть общее количество технических специалистов, принимающих участие в проектах по ИБ АСУ ТП, то цифра станет еще более впечатляющей. Также в нашей компании постоянно развивается и совершенствуется практика обмена опытом между сотрудниками, пришедшими из сферы АСУ ТП, и специалистами, много лет работающими в сфере ИБ. Не могу не отметить, что мы в Cloud Networks на постоянной основе участвуем в различных мероприятиях, как в офлайн-, так и онлайн-формате, следим за новостями по всем направлениям информационной безопасности, выстраиваем диалог с отечественными разработчиками СЗИ и регуляторами. Это позволяет нам постоянно быть в тренде и быть готовыми к любым запросам со стороны наших уважаемых заказчиков и партнеров!
Реклама ООО "Облачные сети" erid: LjN8KUpLz
Опубликовано 29.09.2023