На сегодняшний день высокий уровень развития информационных технологий наблюдается во всех видах промышленности — в атомной, горнодобывающей, оборонной промышленности, нефте- и газодобыче. Практически все эти предприятия являются объектами критической информационной инфраструктуры (КИИ), и на них присутствуют значимые объекты КИИ (ЗОКИИ) различных категорий. Кроме того, зачастую они относятся к категории градообразующих, а рядом располагаются объекты, которые обеспечивают жизнедеятельность всего города (или нескольких городов). Нарушение бесперебойной работы на предприятиях создает угрозу жизни и здоровью населения, а также негативно влияет на экономическую и социальную устойчивость региона. В связи с этим объектам КИИ необходима надежная защита от угроз.
Прежде всего, предприятия нужно защищать от любой нелегитимной активности в сети, в том числе от некорректных действий сотрудников и спланированных кибератак, которые предпринимаются, чтобы остановить работу систем (например, поточной линии выпуска продукции), украсть важные документы или информацию для слива конкурентам.
Для обеспечения бесперебойной работы сейчас на предприятиях используются российские продукты защиты информации, которые имеют высокий уровень развития. Безопасность достигается за счет работы трех сторон: сотрудников ИБ-департамента, ИТ-департамента и инженеров службы АСУ ТП. В «Информзащите» с 2016 года успешно функционирует Центр промышленной безопасности, несмотря на то, что компания в основном занимается категорированием по ФЗ-187 и кибербезопасностью. Наши специалисты знакомы с традиционными информационными системами, SCADA-системами, РЗА (релейной защитой и автоматикой) и ПА (противоаварийной автоматикой. Они работали в добывающих и энергетических компаниях и имеют сертифицкаты в области ИБ и промышленных систем. Сотрудники Центра реализовали множество проектов на основе ведущих разработок российских и международных вендоров в этих областях. Преимущество Центра промышленной безопасности в том, что рядом с нами, в соседних департаментах, работают эксперты по SIEM-системам, файрволам, криптозащите и прочим отраслям ИБ, и мы можем сосредоточить свою экспертизу именно на защите АСУ ТП. Стоит также отметить, что сотрудничество с ведущими производителями промышленного оборудования – Siemens, Yokogawa, Man, и другими компаниями, чье технологическое оборудование установлено на предприятиях РФ, помогает нам оставаться в курсе мировых трендов и идти в ногу со временем.
Сегодня самыми востребованными проектами по ИБ среди отраслей промышленности являются тесты на проникновение в сети АСУ ТП, анализ уязвимостей сетей, систем или кода, внедрение средств защиты информации в сетях. Все заказчики начинают с очевидной задачи: они хотят узнать, насколько уязвима его организация и в каком месте с наибольшей вероятностью эта уязвимость будет проявляться. Ну и, конечно, выполнить требования регуляторов, в первую очередь – ФСТЭК, а также других ведомств или внутренних распоряжений.
Сам процесс по защите КИИ непростой и небыстрый. Сначала объектам КИИ присваивают свою категорию, каждая из которых нуждается в разной степени защиты, потому что у них разные степени риска. Затем данные отправляют в Федеральную службу по техническому и экспортному контролю. Между первым этапом и до начала работ по ЗОКИИ часто проходит не один год, следовательно, решения, которые планировались в начале проекта, меняются, так как продукты защиты развиваются, появляются новые.
Усложнить процесс может и то, что часть предприятий работает на основе унаследованной инфраструктуры – это когда лишь немногие помнят, как внедрялась какая-то система АСУ ТП. Она работает очень давно и без сбоев, управляется посредством старого компьютера, доступа к которому из сети никогда не было. Подобная ситуация относится для ИБ к категории очень сложных. Бывает и так, что оборудование на предприятии современное, но его установили благодаря крупному проекту с зарубежным вендором, а в договоре технической поддержки прописано: «тронете – гарантию снимаем», из-за чего заказчик медлит с принятием решений в области ИБ.
А теперь перейдем непосредственно к самой защите объектов КИИ. Она обеспечивается за счет стандартного набора продуктов: антивирусов, перестройки сетей, выделения демилитаризованных зон, а также расширенного меню (системы контроля привилегированных пользователей, защита виртуализации, системы мониторинга событий и другое).
Мы, как интегратор, предлагаем несколько решений, используя как собственные, так и лучшие зарубежные и российские продукты и наработки по кибербезопасности. Если говорить про реальные кейсы и инновационный подход, то можно привести в пример Kaspersky Industrial CyberSecurity for Networks (KICS for Networks).
KICS for Networks – это система обнаружения вторжений, которая выявляет потенциально враждебные действия в промышленной сети. Это обучаемая платформа (отметим особенно слово «обучаемая»), которая строит карту своей сети и определяет все разрешенные и запрещенные в сети операции. Таким образом обнаруживаются либо кибератаки, либо нелегитимные действия в промышленных сетях – и как высшее проявление разума – предаварийные ситуации на технологическом оборудовании.
«Лаборатория Касперского» двигает свою систему на передовые позиции в том плане, что она не только разбирает промышленные протоколы, строит карты промышленных сетей и анализирует уязвимости, но и имеет встроенный инструментарий для контроля значений технологических параметров. Более того, это программное обеспечение может использовать методики машинного обучения. Лично меня радует, что достаточно хорошо система справляется с обработкой больших объемов данных, хотя лучше все-таки использовать SSD-диски. Использовать технологии машинного обучения для анализа данных чрезвычайно прогрессивно, т.к. события в сети могут измеряться миллионами. Это аналогично сырым данным в ИТ. Если мы принимаем все правила – есть опасность пропустить уязвимость. Если не принимаем, то тонем в количестве информации, которое на постоянной основе не может обработать человек.
KICS for Networks включает в себя:
- контроль технологического процесса (DPI) – по этой технологии регистрируются события, связанные с нарушениями технологического процесса (например, событие при превышении заданного значения температуры);
- контроль целостности сети (NIC) – по этой технологии регистрируются события, связанные с целостностью промышленной сети или с безопасностью взаимодействий (например, событие при обнаружении взаимодействия устройств в промышленной сети по-новому для этих устройств протоколу);
- обнаружение вторжений (IDS) – по этой технологии регистрируются события, связанные с обнаружением в трафике аномалий, которые являются признаками атак;
- контроль системных команд (CC) – по этой технологии регистрируются события, связанные с обнаружением в трафике системных команд для устройств (например, событие при обнаружении неразрешенной системной команды);
- внешние системы (EXT) – к этой технологии относятся инциденты, а также события, которые поступают в KICS for Networks от внешних систем;
- контроль устройств (AM) – по этой технологии регистрируются события, связанные с обнаружением в трафике информации об устройствах (например, событие при обнаружении нового IP-адреса у устройства).
Кроме того, система имеет функционал по обнаружению паролей по умолчанию при подключении к устройствам и системам АСУ ТП. Простая, но важная для ИБ штука.
Эффективная ИБ система, конечно, должна иметь свежие обновления, и поэтому в KICS for Networks предусмотрена возможность обновления баз и программных модулей, системных правил обнаружения вторжений, правил получения сведений об устройствах и протоколах взаимодействий, правил корреляции событий для регистрации инцидентов, модулей обработки протоколов прикладного уровня для контроля технологического процесса.
На мой взгляд, главным образом уровень защищенности предприятия определяет создание корпоративной культуры информационной безопасности, доведение до всех сотрудников требований по информационной безопасности. Необходимо добиться понимания того, что от действий каждого сотрудника зависит, будет ли этот бизнес существовать и развиваться завтра, будет ли работать информационная система или «ляжет» после первой же атаки компьютерных хулиганов.
Защита промышленных систем – это, безусловно, одно из перспективных направлений бизнеса информационной безопасности, потому что на инфраструктуру предприятий все чаще приходятся атаки злоумышленников.
Компания «Информзащита» уже 25 лет работает с продуктами информационной безопасности. Наш центр промышленной безопасности «Информзащиты» завершил уже не один проект по защите КИИ промышленных предприятий. Услуги компании в области защиты промышленных систем и объектов КИИ являются уникальными и включают в себя более 50 видов работ, которые могут быть выполнены как в рамках отдельных проектов, так и в ходе комплексных программ повышения уровня надежности. Но самое главное: нам удалось создать коллектив единомышленников, которые способны решать любые задачи в сложных организационных производственных условиях. Наша команда ориентируется на весомое партнерство с производителями технологий и программного обеспечения АСУ ТП, знакомится с интересными технологическими трендами и бизнес-проектами в реальном производстве. Наконец, мы стараемся обладать знаниями по лучшим мировым практикам и продуктам в области безопасности промышленных систем управления.
Игорь Рыжов,
Руководитель направления безопасности АСУ ТП компании «Информзащита»
29.12.2021
448
Поделиться:
Подписка
Всероссийская организация качества
