Как субъектам КИИ реализовать регуляторные требования

Понятие «критическая информационная инфраструктура» (КИИ) появилось всего три года назад, и вопрос защиты объектов КИИ — по-прежнему один из самых острых. Промышленные предприятия — так же как и госорганы, банки, объекты транспорта, связи, здравоохранения и энергетики — относятся к субъектам КИИ. Это критически важные для страны организации. Целями злоумышленников в атаках на них могут быть как кражи и вымогательство, так и шпионаж и кибертерроризм. Защитить компанию от подобных атак можно только путем выстраивания экосистемы цифровой безопасности.

Число атак на объекты КИИ растет, а потенциальный масштаб ущерба далеко выходит за рамки отдельной организации. В первом полугодии 2021 года процент атакованных компьютеров автоматизированных систем управления (АСУ ТП) составил 33,8%, следует из отчета Kaspersky ICS CERT. Однако драйвером для повышения уровня защищенности критически важных для страны инфраструктур стала не только информация о растущем с каждым годом числе кибератак, но и регуляторика, ужесточающаяся с каждым годом.

В отношении роста количества угроз для КИИ показательна статистика атак на промышленные объекты. Так, среди основных источников угроз на них — атаки из интернета. Промышленные системы давно уже не являются изолированными от сетей общего пользования. Для наблюдения за процессами производства технологический сегмент может быть интегрирован с корпоративной сетью организации, а также с облачными сервисами. Опасность угроз из интернета постоянно растет, и Россия заняла первое место в мире по этому показателю: во втором полугодии следствием атак из интернета стали 27,6% от общего числа заблокированных вредоносов в российских промышленных системах.

Все чаще в кибератаках используются скрипты, применяемые для загрузки шпионского программного обеспечения (ПО): во втором полугодии в России процент компьютеров АСУ ТП, зараженных таким способом, вырос на 4,4 п. п.

Необходимость защиты объектов КИИ стала очевидной в 2017 году после серии атак с применением шифровальщиков-вымогателей, в которых наибольшее число попыток заражения наблюдалось в России, сообщала «Лаборатория Касперского». Были атакованы в том числе «большая тройка» операторов связи, МВД, Сбербанк, Минздрав, РЖД, Следственный комитет России. Ликвидация последствий обошлась зараженным госкомпаниям от 3 млн до 5 млн руб. без учета стоимости восстановления программного обеспечения и информации, следует из материалов на regulation.gov.ru. Серьезного ущерба от атак удалось избежать, так как «критическая инфраструктура оказалась готовой противостоять масштабному распространению этого вируса», говорил заместитель секретаря Совета безопасности РФ Олег Храмов в интервью “Ъ”. В случае с вирусами-шифровальщиками злоумышленники требуют выкуп за расшифровку данных. При этом, по данным «Лаборатории Касперского», с января по июль 2021 года троянцы-шифровальщики атаковали 9193 компьютера в корпоративных сетях в России. Ранее в IBM оценивали, что атаки вредоносного ПО в среднем могут стоить субъектам КИИ $239 млн, что в 61 раз выше среднего размера ущерба от утечки данных ($3,92 млн).

Успешные атаки на КИИ имеют тяжелые последствия. Как правило, основная цель хакеров — монетизация атаки: например, в 2018 году воздействие вредоносного кода на один из российских банков стало причиной кражи с корреспондентских счетов на сумму почти 80 млн руб., следует из материалов на regulation.gov.ru. Помимо монетизации целями злоумышленников может быть промышленный шпионаж или кибертерроризм, если речь идет о деятельности кибернаемников и проправительственных группировок. Самый громкий случай, когда компьютерный вирус повлиял не на программный код, а на физические объекты, произошел в 2010 году: червь Stuxnet перехватил управление иранскими центрифугами для обогащения урана в Натанзе. До этого случая было не принято задумываться о безопасности промышленных объектов — считалось, что их изоляция от сетей общего пользования сама по себе является надежной защитой. В 2014 году хакеры устроили цепочку аварий в доменных печах на металлургическом заводе в Германии. В 2015 году кибератака стала причиной перебоев в подаче электричества на Украине, а в 2019 году атака на систему контроля гидроэлектростанции «Гури» в Венесуэле вызвала массовое отключение электричества в стране. Далеко не все подобные инциденты известны, но индустриальные объекты уже доросли до этапа, когда им требуется защита от кибератак, говорил глава «Лаборатории Касперского» Евгений Касперский в интервью “Ъ” в июне 2021 года.

При этом в большинстве случаев объекты КИИ все еще защищены недостаточно и уровень зрелости процессов обеспечения кибербезопасности низкий, рассказал руководитель направления развития бизнеса в «Лаборатории Касперского» Евгений Зайнулин, ссылаясь на опыт по защите предприятий критической инфраструктуры и проекты по анализу защищенности. По данным «Лаборатории Касперского», в первой половине 2021 года вредоносные объекты были заблокированы более чем на половине компьютеров в сферах машиностроения и производства и более чем на 40% компьютеров в компаниях, которые занимаются инжинирингом, энергетикой и автоматизацией зданий. Также среди индустрий, наиболее часто подвергающихся атакам,— компании нефтегазовой отрасли (вредоносные объекты были обнаружены в 38,8% из них). Однако постепенно промышленные предприятия уделяют все больше внимания киберзащите — в последние несколько лет этому способствует внедрение ряда законодательных инициатив, отмечает Евгений Зайнулин.

Регулирование защиты объектов КИИ определяет вступивший в силу 1 января 2018 года федеральный закон 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации», разработанный ФСТЭК России. Согласно ему, все объекты КИИ разделены по категориям значимости и передают информацию об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданную ФСБ по поручению президента.

С 2021 года на всех субъектах КИИ должны быть образованы подразделения или выделены работники, отвечающие за безопасность объектов КИИ. Их образование, уровень квалификации и опыт должны соответствовать требованиям, определенным ФСТЭК. Для проверки соблюдения норм безопасности на объектах КИИ с 1 января 2021 года ФСТЭК России осуществляет государственный контроль. Выезд регулятора на объекты может быть плановым или внеплановым. Поводом для последнего может стать информация об инцидентах, переданная во ФСТЭК.

Несоответствие требованиям по защите объектов КИИ влечет за собой административную ответственность — соответствующий закон Госдума приняла весной 2021 года. В нем вводятся административные штрафы до 500 тыс. руб. за нарушения при защите критической IT-инфраструктуры. А за происшествия на объектах КИИ их владельцы несут уголовную ответственность — наказанием за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним может стать лишение свободы сроком на десять лет. Соответствующая статья 274.1 была добавлена в Уголовный кодекс РФ в 2018 году вместе с утверждением ФЗ «О безопасности КИИ».

Выполнить основную часть требований законодательства, обеспечить безопасность объектов КИИ и выполнение обязательств по уведомлению о нарушениях и оперативному предоставлению необходимой информации о произошедших компьютерных инцидентах организации могут с помощью решений «Лаборатории Касперского». Ключевое значение в обеспечении безопасности имеет обнаружение, расследование и реагирование на сложные угрозы и целевые атаки. Такие атаки продолжают оставаться одними из главных угроз и в 2021 году, отмечали в «Лаборатории Касперского». Для защиты от них поможет решение класса XDR — платформа Kaspersky Anti Targeted Attack, усиленная возможностями Kaspersky Endpoint Detection and Response. Она позволяет организациям контролировать, что происходит в инфраструктуре, и своевременно реагировать на возникающие киберинциденты.

Для многих компаний расследование и реагирование на инциденты является проблемой: заказчики игнорируют практически половину оповещений систем безопасности. Эту проблему решает группа сервисов Kaspersky Threat Intelligence. С помощью этих сервисов аналитики всегда имеют под рукой детальную и обогащенную контекстом информацию об угрозах, что позволяет правильно расставить приоритеты при расследовании инцидентов и реагировании на кибератаки.

Для защиты сетей промышленных объектов «Лаборатория Касперского» предлагает специализированный пакет продуктов и сервисов Kaspersky Industrial CyberSecurity. Kaspersky Industrial CyberSecurity включает средства защиты промышленных сетей, рабочих станций и серверов, потоки данных о киберугрозах и уязвимостях для АСУ ТП, а также целый ряд сервисов по анализу защищенности, реагированию на инциденты и цифровой криминалистике. «Тесно взаимосвязанные решения “Лаборатории Касперского” по корпоративной и промышленной безопасности позволяют обеспечить безопасность OT- и IT-инфраструктур под ключ»,— рассказал руководитель направления «Лаборатории Касперского» по внедрению решений для защиты от сложных угроз Евгений Бударин.

Центральным элементом системы защиты объектов критической инфраструктуры может стать Kaspersky Unified Monitoring and Analysis Platform. Это SIEM-система, на базе которой организации могут выстроить собственную систему регистрации инцидентов и реагирования на них. В Kaspersky Unified Monitoring and Analysis Platform есть модуль ГосСОПКА, обеспечивающий интеграцию с инфраструктурой Национального координационного центра по компьютерным инцидентам, поэтому система позволяет напрямую отправлять и получать информацию об инцидентах из системы ГосСОПКА.

Таким образом, при использовании в совокупности решения «Лаборатории Касперского» дополняют и обогащают друг друга, облегчая работу сотрудников отделов информационной безопасности. Это позволяет субъектам КИИ не просто соответствовать требованиям регулятора, а выстроить экосистему цифровой безопасности, которая сможет отражать атаки и экономить ресурсы компании.

18+