Как зеницу ока:
защищаем критическую информационную инфраструктуру
Развитие технологий и переход многих привычных процессов в цифру послужили поводом для роста киберпреступлений. При этом злоумышленники не просто взламывают страницы в социальных сетях, но и атакуют важные для жизнедеятельности страны объекты. В этих условиях приоритетными стали задачи по защите критической информационной инфраструктуры (КИИ).
О том, какие объекты относятся к КИИ, какие риски возникают при низком уровне защищенности, о методах злоумышленников, а также о том, как обезопасить информационную инфраструктуру организации, рассказали РИА Новости специалисты в области кибербезопасности группы компаний ЛАНИТ.
Что такое КИИ и почему она критическая
Нормативная база в области критической информационной инфраструктуры (КИИ) была сформирована к концу 2018 года, а с марта 2022 требования к защите ее объектов кардинально ужесточились. Указом президента был введен прямой запрет на закупку иностранного ПО для значимых объектов КИИ. Параллельно с этим правительству было поручено в кратчайшие сроки обеспечить переход на отечественные решения.
Государство обозначило ряд отраслей, которые являются критическими с точки зрения нанесения ущерба населению, экономике и государственным институтам. Это здравоохранение, наука, транспорт, связь, энергетика, финансовый сектор, атомная энергетика, металлургия, горнодобывающая и химическая промышленность и др. Информационные системы и системы связи и управления, используемые в этих отраслях, являются объектами критической информационной инфраструктуры.
"По сравнению с другими информационными системами, которые необходимо защищать, отличие КИИ ― в объеме работ и мероприятий, необходимых для создания системы защиты согласно требованиям законодательства. Это порядка 150 мер безопасности, которые нужно обеспечить теми или иными способами: техническими и организационными", ― говорит руководитель отдела управления проектами департамента информационной безопасности ЛАНИТ Андрей Ушаков.
Нарушения в работе КИИ влекут за собой социальные, экономические, политические и экологические риски.
Причинение ущерба жизни и здоровью людей, финансовые потери, упущенная выгода для бюджета страны, остановка работы государственных органов, вредное воздействие на окружающую среду в результате техногенной катастрофы ― всё это может произойти из-за отсутствия системы обеспечения безопасности информации или ее недостаточности.
Директор Центра информационной безопасности компании "ЛАНИТ-Интеграция" Николай Фокин отметил, что к объектам КИИ можно отнести системы управления энергосетями и связью, системы обеспечения бизнес-процессов финансовых организаций, системы и аппараты в поликлиниках, больницах и лабораториях.
Все объекты критической инфраструктуры разделяют по значимости ущерба, который может быть вызван кибератакой.
Например, вывод из строя автоматизированных систем некоторых предприятий может вызвать экологическую катастрофу. Атака на энергетические сети может привести не только к приостановке подачи электричества, но и к сбою на каком-нибудь промышленном объекте, даже если там имеются резервные системы. Поэтому подобные объекты должны быть полностью изолированы от общедоступных сетей, в том числе от сети интернет, считает Фокин.
С ним согласен замдиректора центра мониторинга и противодействия киберинцидентам компании "Информзащита" Ильназ Гатауллин.
Объекты КИИ необходимо изолировать от общей инфраструктуры. К ним не должно быть доступа с пользовательских рабочих станций либо с общих серверов.
Он также указывает на роль защиты КИИ с точки зрения безопасности информации, относящейся к гостайне. Что касается банковской сферы, то здесь очень важна защита процессингового сегмента, где идет обработка платежей. Если злоумышленнику удастся проникнуть туда, то это позволит ему нанести значительный ущерб, повлияв на потоки транзакций.
Переход на отечественное
Импортозамещение ПО стало главной задачей не только для владельцев критической инфраструктуры, но и для российских разработчиков решений в области информационной безопасности.
"Индустрия оказалась в новой реальности, которая исключает возможность использовать иностранные решения из недружественных стран для защиты объектов КИИ. При этом отечественные аналоги присутствовали на рынке, некоторые даже очень давно, но им объективно было трудно тягаться с мировыми технологическими гигантами как по охвату рынка, так и по инвестициям. Тем не менее стоящие сейчас задачи позволяют совершенствовать российские разработки в сжатые сроки и выводить их на принципиально новый уровень по функционалу и качеству работы", - говорит Андрей Ушаков.
По его словам, сегодня явно выражен тренд, когда системный интегратор стал выступать в качестве связующего звена между клиентом (владельцем КИИ) и производителем средств защиты, адаптируя под потребности бизнеса решения, имеющиеся здесь и сейчас.
Клиенты готовы доверять отечественным производителям решений по информационной безопасности, но в любом случае требуется время для наработки пользовательского опыта и доверия к новым продуктам.
Гатауллин из "Информзащиты" уверен, что у российских производителей ПО есть хорошие разработки, например, антивирусные решения. "В чем-то они могут уступать зарубежным аналогам, но это вопрос времени, потому что никто не стоит на месте, идет активная доработка имеющихся и создание новых средств защиты информации", - говорит специалист.
По словам Фокина из "ЛАНИТ-Интеграции", существенный рост спроса на отечественные решения и услуги был вызван как требованиями регуляторов, так и увеличением количества кибератак. Одновременно защита информационных систем и других объектов КИИ усложнилась на фоне повсеместного внедрения новых технологий. "Клиенты стали активнее вкладываться в эту сферу из-за необходимости выполнения программы по переходу на российское ПО и программы, связанной с защитой КИИ по требованиям законодательства", - обращает внимание Фокин.
Как действуют злоумышленники
Как указывают специалисты, обеспечение безопасности КИИ осложняется тем, что традиционный периметр доступа в информационные системы многих организаций заметно трансформировался за счет развития облачных технологий и повсеместного внедрения интернета вещей (IoT). В результате появились новые каналы для проникновения злоумышленников. Также для взлома все активнее используются социальная инженерия и атаки через третьи лица, когда владелец КИИ вынужден пользоваться услугами сторонних компаний и предоставлять им доступ к своей инфраструктуре.
Преднамеренные атаки могут идти как извне, так и изнутри организации. Внешние злоумышленники, хакеры, как правило, не имеют легитимного доступа к объектам КИИ и применяют различные тактики и техники, чтобы добраться до интересующей их информации или нарушить технологический процесс.
"Чаще всего в нашей практике злоумышленники прибегают к распространению вредоносного ПО, эксплуатируя уязвимости известных приложений, которым доверяют люди. Например, используя Zoom, нельзя быть уверенным в его надежности и отсутствии недекларируемых возможностей. Аналогично происходит и в технологическом сегменте производства, где до недавнего времени у нас была высокая степень доверия к иностранному софту для автоматизации технологического процесса. Внешний злоумышленник, зная об уязвимости, которую можно эксплуатировать, может создать массу проблем для организации", - рассказывает Андрей Ушаков из департамента информационной безопасности ЛАНИТ.
Что касается внутренних нарушителей, то у них намного больше возможностей нанести ущерб информационной инфраструктуре, чем у абстрактного хакера извне. С другой стороны, и риски здесь несопоставимы, полагает эксперт.
Он также обращает внимание на активизацию злоумышленников в области социальной инженерии, с помощью которой компрометируется учетная запись конкретного сотрудника, имеющего доступ в информационную инфраструктуру.
К примеру, человек получает внешнюю ссылку с просьбой проголосовать за ребенка кого-то из знакомых. Он, не задумываясь, проходит по ней, попадает на какую-то страницу, отправляет некий код. В лучшем случае его учетную запись успеет заблокировать служба безопасности, а в худшем - произойдет компрометация всей информации, связанной с данным аккаунтом.
Гатауллин из "Информзащиты" отмечает возрастающую роль человеческого фактора в том, что злоумышленники иногда все же достигают своей цели.
"Человек часто ошибается, случайно запускает какое-нибудь вредоносное приложение, в результате чего происходит заражение системы. Сам факт социальной инженерии обнаружить непросто, но мы можем увидеть сопутствующую ей аномальную деятельность. Например, разведку в инфраструктуре заказчика, когда начинается сканирование различных IP- адресов. Чтобы сотрудники не попадали в ловушки социальной инженерии, нужно проводить обучение, повышать цифровую гигиену, чтобы для них стало нормой, к примеру, не открывать почтовые вложения с неизвестных адресов", - считает Гатауллин.
Возможности кибератак на информационную инфраструктуру, в том числе КИИ, по мере активного внедрения интернета вещей значительно возрастают, считает Николай Фокин из "ЛАНИТ-Интеграции".
Центр робототехники
"Устройства IoT могут быть уязвимы из-за слабых паролей: часто пользователи, в том числе крупные организации, не меняют пароли, установленные по умолчанию. Многие несерьезно относятся к таким системам, а у них часто бывают уязвимости в прошивках, сложности с обновлением. Производители устройств второпях могут использовать небезопасные технологии или недостаточно проверенные компоненты. Соответственно, возрастает вероятность их взлома с использованием распространенных вредоносных программ", - отмечает специалист.
Он привел известный случай, когда некая вредоносная программа (эксплойт) проникала на устройства IoT через уязвимости и слабые пароли, включала их в свою сеть, а затем генерировала ddos-атаки по всему миру. Отмечено также немало случаев проникновения в частные системы управления умных домов, видеосистемы умных городов с размещением запрещенного контента. Не исключены и атаки на системы управления автоматизированным производством, что может приводить уже к более серьезным последствиям.
Как обезопасить КИИ
Безопасность критической информационной инфраструктуры во многом обеспечивается четким соблюдением инструкций, рекомендаций и требований, предъявляемых регуляторами к субъектам КИИ, уверены специалисты.
Эти требования и рекомендации, как и правила дорожного движения, написаны на основе реальных прецедентов и направлены на то, чтобы, используя опыт других организаций, не повторить их ошибки у себя.
Помимо этого, эксперт советует проводить учения, способствующие повышению осведомленности персонала. Например, тестовые рассылки внешне легитимных сообщений, но чем-то отличающихся от обычных.
"На словах все понимают, что нельзя открывать ссылки, нельзя запускать файлы даже от доверенного пользователя, если они почему-то не похожи на то, что обычно отправляют, но из-за перегрузок, стресса на работе или же просто по невнимательности люди совершают такие ошибки. Поэтому чем чаще проводятся такие учения, тем меньше проблем у людей и организаций", - говорит Ушаков.
Также, по его словам, в обеспечении кибербезопасности хорошо помогают пентесты (испытание системы на проникновение). Эти услуги есть на рынке давно, и их роль по-прежнему возрастает. Залог успеха в регулярности проведения таких тестирований, в том числе применяя автоматизацию процесса, отмечает эксперт.
В свою очередь, Ильназ Гатауллин рассказал о работе центров операций по обеспечению безопасности (Security Operation Center – SOC). Такие центры организации могут создавать сами, а могут обратиться к провайдеру ИБ-услуг, который обеспечит соответствующий сервис.
"Чтобы в организации построить свой SOC, нужно согласовать штат сотрудников, постоянно поддерживать их компетенции, потому что постоянно появляются новые векторы атак и уязвимости. В итоге создавать собственную структуру получается намного сложнее и дороже, чем подключиться к SOC-провайдеру, где уже есть команда, а у нее ― наработанная практика и опыт. Поэтому этот сервис все чаще отдают на аутсорсинг", - рассказывает специалист "Информзащиты".
Как объясняет Гатауллин, SOC занимается тотальным мониторингом событий в инфраструктуре заказчика, собирая метрики с пользовательских рабочих станций, серверов, средств защиты информации, с межсетевых экранов и целого ряда других источников. Далее эти данные с помощью корреляционных правил (их может быть более 500) анализируются и выявляются несостоявшиеся атаки.
Задача SOC - обнаружить атаки и предотвратить их совместно с заказчиком. Если атака происходит, наши корреляционные правила срабатывают, и мы оповещаем заказчика о том, что была попытка или же успешная атака на информационную систему.
Соответственно, нужно выполнить рекомендации, например, отключить пользователя, заблокировать порт, IP-адрес и т. д. Тем самым мы останавливаем развитие атаки. Чем раньше отреагируем, тем меньше будет последствий и легче их ликвидировать", - поясняет Гатауллин.
Далее по желанию заказчика инженеры SOC проводят расследование компьютерной атаки: делают полную копию с поврежденных систем, анализируют, выявляют цепочку, откуда пошло заражение. Затем формируются рекомендации, как сделать так, чтобы в дальнейшем такая ситуация не повторялась.
В свою очередь, Николай Фокин отмечает, что для обеспечения безопасности информационной инфраструктуры важно отслеживать появление различных устройств в сети и при необходимости ограничивать их использование.
"Очень часто пользователи любят подключать свои устройства в корпоративную сеть, при этом они могут быть соединены с внешней. Это впоследствии может приводить к проникновению", - объясняет специалист.
Не менее важно правильно настроить процесс резервного копирования, чтобы была возможность восстановить данные, потерянные в результате заражения или иных инцидентов безопасности. Также необходимо проводить тренировки по восстановлению работоспособности системы на основе резервных копий, полагает Фокин.
Что касается самого распространенного на сегодняшний день вектора атаки – социальной инженерии, то, по мнению Фокина, здесь нужно постоянно информировать пользователей и повышать их осведомленность о том, как аккуратно работать с почтой и интернетом.
Люди должны знать и выполнять элементарные требования кибергигиены: использовать сложные пароли, не заходить на непонятные сайты, не открывать подозрительные письма. При этом пользователь должен разделять свое рабочее и домашнее пространство.
Комплексный подход
По оценкам экспертов ЛАНИТ, клиенты, особенно крупные компании, в последнее время нацелены на обеспечение комплексного подхода к информационной безопасности. Так, активно внедряются системы типа XDR (расширенное обнаружение и реагирование на сложные угрозы и целевые атаки), которые автоматически осуществляют проактивное выявление угроз и реагируют на них на всех уровнях информационной инфраструктуры.
Николай Фокин из "ЛАНИТ-Интеграции" рассказал о крупном заказчике, который позаботился о полном охвате своей инфраструктуры. Им была внедрена SIEM-система, которая в реальном времени отслеживает события в области безопасности и реагирует на них до наступления существенного ущерба. Также установили систему защиты рабочих станций и серверов, систему защиты от целенаправленных атак и анализа трафика.
"Заказчики хотят получать эффективные решения, которые будут работать с минимальным количеством ложных срабатываний, отслеживать различные угрозы. Идеально, если это будет одна консоль, где аналитик сможет просматривать события или инциденты, которые формирует экспертная система. Уже сейчас многие компании-производители начинают встраивать алгоритмы искусственного интеллекта в свои разработки, чтобы можно было с точки зрения возможных атак отслеживать аномалии, возникающие в инфраструктуре, странные запросы и подозрительное поведение пользователей", - говорит специалист.
Такие системы зачастую требуют долгого внедрения, так как нужно, с одной стороны, покрыть различные части инфраструктуры, а с другой – связать решения для каждого сегмента между собой. И здесь важна роль интеграторов, которые могут объединить различные системы, поскольку вендор, как правило, нацелен на разработку и производство какого-то одного продукта.
Конечно, в идеале все хотят иметь некое единое решение, которое могло бы защищать инфраструктуру от различных угроз, обрабатывая события из различных систем и реагируя на них, в том числе в интеграции со сторонними продуктами.
Вот, например, произошло подозрительное событие: система начинает автоматически реагировать, не дожидаясь вердикта аналитика. Здесь, конечно, не обойтись без алгоритмов искусственного интеллекта, которые помогают снизить количество ложных срабатываний, быстро обрабатывают большие массивы данных и приоритезируют события.
По его словам, это стало бы новаторским подходом по сравнению с существующим сейчас во многих организациях, где решения принимает служба аналитиков. "Здесь большую роль играет человеческий фактор: аналитики могут ошибаться, могут не обладать какими-то экспертными знаниями и т. д. Чем больше инфраструктура, тем больше таких проблем и нюансов. В то же время искусственный интеллект, обрабатывающий огромные массивы информации по большому количеству пользователей, хорошо показал себя в системах противодействия мошенничеству в крупных банках. Такого же эффекта можно достичь и в автоматизации процессов информационной безопасности КИИ", - заключает Фокин.
Реклама, АО "Ланит", erid: 4CQwVszH9pUhptDshFx
