Одной из доминирующих задач кибербезопасности стало усиление защиты автоматизированной системы управления технологическими процессами (АСУ ТП). Привело к этому совершенствование атак, которые все чаще выбирают в качестве цели АСУ ТП, и требования со стороны государства к безопасности объектов критической информационной инфраструктуры (КИИ). Опрошенные эксперты отмечают наличие типичных уязвимостей.
Центр мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком» за 2019 год выявил и отразил более 1,1 млн внешних атак на информационные ресурсы. Из предоставленных данных также следует, что в Приволжском федеральном округе (ПФО) за год зафиксировали более 77 тыс. атак. В отчете приводится, что 43% атак было реализовано с помощью вредоносных программ. Треть случаев (29%) — это использование уязвимостей в веб-приложениях и 14% — подбор и компрометация учетных данных от интернет-ресурсов организаций.
Технический консультант по кибербезопасности Schneider Electric Андрей Иванов на обучающем вебинаре «Ликбез по кибербезу» рассказал, что за 2020 год зафиксировано более 200 хакерских атак, пытавшихся воздействовать на целые отрасли и сектора экономики. В числе наиболее частых целей — объекты КИИ. В частности, 40% всех кибератак приходится на АСУ ТП. Он также отметил, что с 1 января 2018 года после вступления в силу федерального закона 187-ФЗ «О безопасности критической информационной структуры в Российской Федерации» существуют требования по кибербезопасности к КИИ. Регулятором области является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Киберслабое звено
Спустя год после публикации 187-ФЗ эксперты Solar JSOC компании «Ростелеком» выделили в своем отчете об уязвимостях компонентов АСУ ТП несколько их основных типов: управление доступом, разглашение информации. За ними следуют уязвимости, которые относятся к реализации криптографических функций безопасности, а также связанные с отказом в обслуживании.
Среди распространённых хакерских атак в отчете эксперты Solar JSOC выделяют эксплуатацию известных уязвимостей, которые не были своевременно устранены службами информационной безопасности организаций. «Лишь у небольшой части уязвимостей, найденных «Лабораторией кибербезопасности АСУ ТП» (около 10, — прим.), есть зарезервированные CVE-номера (база данных общеизвестных уязвимостей информационной безопасности, — прим.). <…> Несмотря на периодический повтор предупреждения, реакции не последовало до сих пор», — говорится в исследовании. Отмечается также, что ситуация усугубляется тем, что существует множество других связанных проблем, например, отсутствие парольных политик и некорректное разграничение прав.
Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком» Владимир Дрюков сообщил еще об одном «слабом месте». По его словам, в ПФО выявлена региональная особенность, а именно, слабая осведомленность населения в вопросах информационной безопасности. «В среднем каждый пятый пользователь в регионе открывает такие письма (вредоносные рассылки, — прим.) или поддается другим способам социальной инженерии, за счет чего преступники могут легко проникнуть в информационную инфраструктуру организации. Андрей Иванов во время вебинара подтвердил, что многое зависит от человеческого фактора. «Есть такое понятие, как внутренний нарушитель. Можно подкупить, запугать, шантажировать сотрудника, который имеет легальный доступ к системе АСУ ТП, попросить или заставить его принести на работу «флешку» и подсоединить к компьютеру, входящему в АСУ ТП», — пояснил эксперт.
Многоуровневое решение
К текущему моменту, по данным ФСТЭК, статистика категорирования объектов КИИ достаточно плачевна: от 1,5% до 50-60% по разным отраслям. Господин Иванов объяснил это тем, что внедрение средств защиты подтолкнуло компании к дополнительным и довольно крупным расходам, к которым многие были не готовы. Спикер также сообщил, что ФСТЭК в 2021 году анонсировал проверку объектов КИИ на соответствование требований, что поможет выявить и устранить еще больше уязвимостей. Владимир Дрюков в качестве лучшей меры профилактики озвученной им проблемы, предложил повысить киберграмотность сотрудников.
В отчете компании Solar JSOC рекомендуется использовать самостоятельный поиск уязвимостей у крупных производителей и в последующем размещать информацию об этом на публичных ресурсах. В качестве практического решения также предлагается проверить парольные политики на устройствах среднего уровня АСУ ТП. «Если такие устройства поддерживают возможность беспрепятственного перебора паролей или вовсе не требуют пароля, рекомендуется изолировать все возможные устройства среднего уровня АСУ ТП. Дополнительно можно производить мониторинг этих устройств, собирая информацию из журналов», — сказано в рекомендации.
«На сегодняшний день не существует какого-то универсального решения, не существует серебряной пули из коробки, приобретя которую и, установив это решение на АСУ ТП, мы будем считать или можем считать, что защищены от всего. <…> Это должен быть комплекс решений, и система защиты должна быть многоуровневой», — подытожил Андрей Иванов.
Редактор соцсетей Лида Богатырева