Как зеницу ока: защищаем критическую информационную инфраструктуру
О том, какие объекты относятся к КИИ, какие риски возникают при низком уровне защищенности, о методах злоумышленников, а также о том, как обезопасить информационную инфраструктуру организации, рассказали РИА Новости специалисты в области кибербезопасности группы компаний ЛАНИТ.
Что такое КИИ и почему она критическая
Нормативная база в области критической информационной инфраструктуры (КИИ) была сформирована к концу 2018 года, а с марта 2022 требования к защите ее объектов кардинально ужесточились. Указом президента был введен прямой запрет на закупку иностранного ПО для значимых объектов КИИ. Параллельно с этим правительству было поручено в кратчайшие сроки обеспечить переход на отечественные решения.
Нарушения в работе КИИ влекут за собой социальные, экономические, политические и экологические риски.
Андрей Ушаков, руководитель отдела управления проектами департамента информационной безопасности ЛАНИТ:
«Причинение ущерба жизни и здоровью людей, финансовые потери, упущенная выгода для бюджета страны, остановка работы государственных органов, вредное воздействие на окружающую среду в результате техногенной катастрофы ― всё это может произойти из-за отсутствия системы обеспечения безопасности информации или ее недостаточности».
Все объекты критической инфраструктуры разделяют по значимости ущерба, который может быть вызван кибератакой.
Например, вывод из строя автоматизированных систем некоторых предприятий может вызвать экологическую катастрофу. Атака на энергетические сети может привести не только к приостановке подачи электричества, но и к сбою на каком-нибудь промышленном объекте, даже если там имеются резервные системы. Поэтому подобные объекты должны быть полностью изолированы от общедоступных сетей, в том числе от сети интернет, считает Фокин.
С ним согласен замдиректора центра мониторинга и противодействия киберинцидентам компании «Информзащита» Ильназ Гатауллин.
Ильназ Гатауллин, замдиректора центра мониторинга и противодействия киберинцидентам компании «Информзащита»:
«Объекты КИИ необходимо изолировать от общей инфраструктуры. К ним не должно быть доступа с пользовательских рабочих станций либо с общих серверов».
Он также указывает на роль защиты КИИ с точки зрения безопасности информации, относящейся к гостайне. Что касается банковской сферы, то здесь очень важна защита процессингового сегмента, где идет обработка платежей. Если злоумышленнику удастся проникнуть туда, то это позволит ему нанести значительный ущерб, повлияв на потоки транзакций.
Переход на отечественное
«Индустрия оказалась в новой реальности, которая исключает возможность использовать иностранные решения из недружественных стран для защиты объектов КИИ. При этом отечественные аналоги присутствовали на рынке, некоторые даже очень давно, но им объективно было трудно тягаться с мировыми технологическими гигантами как по охвату рынка, так и по инвестициям. Тем не менее стоящие сейчас задачи позволяют совершенствовать российские разработки в сжатые сроки и выводить их на принципиально новый уровень по функционалу и качеству работы", - говорит Андрей Ушаков.
По его словам, сегодня явно выражен тренд, когда системный интегратор стал выступать в качестве связующего звена между клиентом (владельцем КИИ) и производителем средств защиты, адаптируя под потребности бизнеса решения, имеющиеся здесь и сейчас.
Андрей Ушаков, руководитель отдела управления проектами департамента информационной безопасности ЛАНИТ:
«Клиенты готовы доверять отечественным производителям решений по информационной безопасности, но в любом случае требуется время для наработки пользовательского опыта и доверия к новым продуктам».
По словам Фокина из «ЛАНИТ-Интеграции», существенный рост спроса на отечественные решения и услуги был вызван как требованиями регуляторов, так и увеличением количества кибератак. Одновременно защита информационных систем и других объектов КИИ усложнилась на фоне повсеместного внедрения новых технологий. «Клиенты стали активнее вкладываться в эту сферу из-за необходимости выполнения программы по переходу на российское ПО и программы, связанной с защитой КИИ по требованиям законодательства», - обращает внимание Фокин.
Как действуют злоумышленники
Преднамеренные атаки могут идти как извне, так и изнутри организации. Внешние злоумышленники, хакеры, как правило, не имеют легитимного доступа к объектам КИИ и применяют различные тактики и техники, чтобы добраться до интересующей их информации или нарушить технологический процесс.
«Чаще всего в нашей практике злоумышленники прибегают к распространению вредоносного ПО, эксплуатируя уязвимости известных приложений, которым доверяют люди. Например, используя Zoom, нельзя быть уверенным в его надежности и отсутствии недекларируемых возможностей. Аналогично происходит и в технологическом сегменте производства, где до недавнего времени у нас была высокая степень доверия к иностранному софту для автоматизации технологического процесса. Внешний злоумышленник, зная об уязвимости, которую можно эксплуатировать, может создать массу проблем для организации», - рассказывает Андрей Ушаков из департамента информационной безопасности ЛАНИТ.
Что касается внутренних нарушителей, то у них намного больше возможностей нанести ущерб информационной инфраструктуре, чем у абстрактного хакера извне. С другой стороны, и риски здесь несопоставимы, полагает эксперт.
К примеру, человек получает внешнюю ссылку с просьбой проголосовать за ребенка кого-то из знакомых. Он, не задумываясь, проходит по ней, попадает на какую-то страницу, отправляет некий код. В лучшем случае его учетную запись успеет заблокировать служба безопасности, а в худшем - произойдет компрометация всей информации, связанной с данным аккаунтом.
Гатауллин из «Информзащиты» отмечает возрастающую роль человеческого фактора в том, что злоумышленники иногда все же достигают своей цели.
«Человек часто ошибается, случайно запускает какое-нибудь вредоносное приложение, в результате чего происходит заражение системы. Сам факт социальной инженерии обнаружить непросто, но мы можем увидеть сопутствующую ей аномальную деятельность. Например, разведку в инфраструктуре заказчика, когда начинается сканирование различных IP- адресов. Чтобы сотрудники не попадали в ловушки социальной инженерии, нужно проводить обучение, повышать цифровую гигиену, чтобы для них стало нормой, к примеру, не открывать почтовые вложения с неизвестных адресов», - считает Гатауллин.
Возможности кибератак на информационную инфраструктуру, в том числе КИИ, по мере активного внедрения интернета вещей значительно возрастают, считает Николай Фокин из «ЛАНИТ-Интеграции».
«Устройства IoT могут быть уязвимы из-за слабых паролей: часто пользователи, в том числе крупные организации, не меняют пароли, установленные по умолчанию. Многие несерьезно относятся к таким системам, а у них часто бывают уязвимости в прошивках, сложности с обновлением. Производители устройств второпях могут использовать небезопасные технологии или недостаточно проверенные компоненты. Соответственно, возрастает вероятность их взлома с использованием распространенных вредоносных программ», - отмечает специалист.
Он привел известный случай, когда некая вредоносная программа (эксплойт) проникала на устройства IoT через уязвимости и слабые пароли, включала их в свою сеть, а затем генерировала ddos-атаки по всему миру. Отмечено также немало случаев проникновения в частные системы управления умных домов, видеосистемы умных городов с размещением запрещенного контента. Не исключены и атаки на системы управления автоматизированным производством, что может приводить уже к более серьезным последствиям.
Как обезопасить КИИ
Безопасность критической информационной инфраструктуры во многом обеспечивается четким соблюдением инструкций, рекомендаций и требований, предъявляемых регуляторами к субъектам КИИ, уверены специалисты.
Андрей Ушаков, руководитель отдела управления проектами департамента информационной безопасности ЛАНИТ:
«Эти требования и рекомендации, как и правила дорожного движения, написаны на основе реальных прецедентов и направлены на то, чтобы, используя опыт других организаций, не повторить их ошибки у себя».
«На словах все понимают, что нельзя открывать ссылки, нельзя запускать файлы даже от доверенного пользователя, если они почему-то не похожи на то, что обычно отправляют, но из-за перегрузок, стресса на работе или же просто по невнимательности люди совершают такие ошибки. Поэтому чем чаще проводятся такие учения, тем меньше проблем у людей и организаций», - говорит Ушаков.
«Чтобы в организации построить свой SOC, нужно согласовать штат сотрудников, постоянно поддерживать их компетенции, потому что постоянно появляются новые векторы атак и уязвимости. В итоге создавать собственную структуру получается намного сложнее и дороже, чем подключиться к SOC-провайдеру, где уже есть команда, а у нее ― наработанная практика и опыт. Поэтому этот сервис все чаще отдают на аутсорсинг», - рассказывает специалист «Информзащиты».
Как объясняет Гатауллин, SOC занимается тотальным мониторингом событий в инфраструктуре заказчика, собирая метрики с пользовательских рабочих станций, серверов, средств защиты информации, с межсетевых экранов и целого ряда других источников. Далее эти данные с помощью корреляционных правил (их может быть более 500) анализируются и выявляются несостоявшиеся атаки.
Ильназ Гатауллин, замдиректора центра мониторинга и противодействия киберинцидентам компании «Информзащита»:
«Задача SOC - обнаружить атаки и предотвратить их совместно с заказчиком. Если атака происходит, наши корреляционные правила срабатывают, и мы оповещаем заказчика о том, что была попытка или же успешная атака на информационную систему».
Далее по желанию заказчика инженеры SOC проводят расследование компьютерной атаки: делают полную копию с поврежденных систем, анализируют, выявляют цепочку, откуда пошло заражение. Затем формируются рекомендации, как сделать так, чтобы в дальнейшем такая ситуация не повторялась.
В свою очередь, Николай Фокин отмечает, что для обеспечения безопасности информационной инфраструктуры важно отслеживать появление различных устройств в сети и при необходимости ограничивать их использование.
«Очень часто пользователи любят подключать свои устройства в корпоративную сеть, при этом они могут быть соединены с внешней. Это впоследствии может приводить к проникновению», - объясняет специалист.
Не менее важно правильно настроить процесс резервного копирования, чтобы была возможность восстановить данные, потерянные в результате заражения или иных инцидентов безопасности. Также необходимо проводить тренировки по восстановлению работоспособности системы на основе резервных копий, полагает Фокин.
Что касается самого распространенного на сегодняшний день вектора атаки – социальной инженерии, то, по мнению Фокина, здесь нужно постоянно информировать пользователей и повышать их осведомленность о том, как аккуратно работать с почтой и интернетом.
Николай Фокин, директор Центра информационной безопасности компании «ЛАНИТ-Интеграция»:
«Люди должны знать и выполнять элементарные требования кибергигиены: использовать сложные пароли, не заходить на непонятные сайты, не открывать подозрительные письма. При этом пользователь должен разделять свое рабочее и домашнее пространство».
Комплексный подход
Николай Фокин из «ЛАНИТ-Интеграции» рассказал о крупном заказчике, который позаботился о полном охвате своей инфраструктуры. Им была внедрена SIEM-система, которая в реальном времени отслеживает события в области безопасности и реагирует на них до наступления существенного ущерба. Также установили систему защиты рабочих станций и серверов, систему защиты от целенаправленных атак и анализа трафика.
«Заказчики хотят получать эффективные решения, которые будут работать с минимальным количеством ложных срабатываний, отслеживать различные угрозы. Идеально, если это будет одна консоль, где аналитик сможет просматривать события или инциденты, которые формирует экспертная система. Уже сейчас многие компании-производители начинают встраивать алгоритмы искусственного интеллекта в свои разработки, чтобы можно было с точки зрения возможных атак отслеживать аномалии, возникающие в инфраструктуре, странные запросы и подозрительное поведение пользователей», - говорит специалист.
Конечно, в идеале все хотят иметь некое единое решение, которое могло бы защищать инфраструктуру от различных угроз, обрабатывая события из различных систем и реагируя на них, в том числе в интеграции со сторонними продуктами.
Николай Фокин, директор Центра информационной безопасности компании «ЛАНИТ-Интеграция»:
«Вот, например, произошло подозрительное событие: система начинает автоматически реагировать, не дожидаясь вердикта аналитика. Здесь, конечно, не обойтись без алгоритмов искусственного интеллекта, которые помогают снизить количество ложных срабатываний, быстро обрабатывают большие массивы данных и приоритезируют события».
По его словам, это стало бы новаторским подходом по сравнению с существующим сейчас во многих организациях, где решения принимает служба аналитиков. «Здесь большую роль играет человеческий фактор: аналитики могут ошибаться, могут не обладать какими-то экспертными знаниями и т. д. Чем больше инфраструктура, тем больше таких проблем и нюансов. В то же время искусственный интеллект, обрабатывающий огромные массивы информации по большому количеству пользователей, хорошо показал себя в системах противодействия мошенничеству в крупных банках. Такого же эффекта можно достичь и в автоматизации процессов информационной безопасности КИИ», - заключает Фокин.
