Субъектная защита
Атаки на объекты КИИ не уменьшаются, среди топ-угроз: DDoS, трояны и человеческий фактор
По данным Национального координационного центра по компьютерным инцидентам (НКЦКИ), за 2023 год количество атак на объекты критической информационной инфраструктуры (КИИ) увеличилось на 16% — до 65 тыс. В топ-три векторов атак входит эксплуатация уязвимостей на периметре. По данным НКЦКИ, треть организаций имеют в инфраструктуре уязвимые ресурсы. Самая частая причина — это использование зарубежного ПО без технической поддержки и обновлений.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
Риски и уязвимости КИИ
Используемое на объектах КИИ аппаратное и программное обеспечение имеет прямое влияние на кибербезопасность таких объектов, поскольку импортные решения зачастую по умолчанию обладают функционалом удаленного доступа производителей к компонентам таких решений, что может использоваться для несанкционированного доступа к ним, рассказал “Ъ” генеральный директор Security Vision Руслан Рахметов.
Кроме того, в текущей ситуации зарубежные вендоры ограничили возможность получения обновлений и продления лицензий на используемые решения, что негативным образом сказывается на кибербезопасности субъектов КИИ из-за увеличения количества устаревших, а значит, уязвимых к кибератакам компонентов, продолжил он.
«Сейчас фактически только российские производители могут обеспечить подтвержденную отечественными регуляторами надежность и защищенность продуктов,— считает гендиректор Security Vision.— Более того, известны примеры обнаружения встроенных программно-аппаратных закладок (имплантов) в разнообразном импортированном оборудовании, которые обеспечивали атакующим фактически прямой доступ в защищенную инфраструктуру объектов КИИ».
«Мы считаем, что любые компьютерные атаки развиваются по пути наименьшего сопротивления, например опубликованные службы удаленных рабочих столов со слабыми паролями, забытые тестовые информационные системы со стандартными доступами или предельно уязвимые информационные системы (Windows Server 2003 и 2008 годов)»,— рассказал руководитель отдела кибербезопасности компании «Криптонит» Павел Боглай.
«Если проанализировать кейсы компрометации на закрытых сессиях с НКЦКИ, то выяснится, что только малая часть атак на КИИ связана со сложными целевыми компьютерными атаками на уровне возможности иностранных спецслужб»,— отметил господин Боглай. Среди топа встречающихся атак эксперты выделили DDoS, трояны и человеческий фактор (одинаковые пароли, пересылка важных данных через сторонние мессенджеры и пр.).
Самостоятельная проверка
По данным Angara Security, 40% нападений на IT-инфраструктуру ведомств и объекты КИИ связаны с вредоносным программным обеспечением (ПО), фишингом и DDoS-атаками на сетевое оборудование, сайты и серверы. И в перспективе участникам рынка КИИ придется самостоятельно проводить аудит безопасности. Федеральная служба технического экспортного контроля (ФСТЭК) разработала и в мае представила правила оценки защищенности госорганов и КИИ (см. “Ъ” от 8 мая). Компании, объекты которой относятся к КИИ, должны будут по запросу ФСТЭК или пока по собственному регламенту представлять ведомству данные о защищенности своих объектов: результаты внутреннего контроля, опросов профильных сотрудников и т. д.
Согласно тексту документа, оценка должна проводиться не реже чем раз в полгода. Организации будут собирать данные о состоянии своих объектов и направлять их регулятору не позднее 30 дней с определенного срока (его установит каждая компания во внутреннем регламенте) или запроса ФСТЭК. Внеочередная проверка пройдет в случае киберинцидента или значимых изменений в IT-инфраструктуре компании. Документ не устанавливает точной даты, с которой компаниям будет нужно представлять отчеты. Участники рынка рассчитывают, что документ поможет проводить и самостоятельную оценку текущего состояния защищенности.
Параллельно с этим разрабатывается регулирование, которое в перспективе позволит объектам КИИ тестировать свои сети на проникновение с привлечением «белых хакеров». Комитет Госдумы по информполитике и IT готовит законопроект, стандартизует тестирование информсистем в госсекторе и критической информационной инфраструктуре (см. “Ъ” от 4 апреля). Согласно документу, правительство с ФСБ получат право самостоятельно определять порядок и время проверки IT-систем. Все мероприятия должны будут согласовываться федеральным органом власти в области безопасности, сказано в законопроекте.
Защита предприятий
С 1 января 2025 года на значимых объектах КИИ запрещено использовать иностранное программное обеспечение. Помимо этого, к таковым компаниям со стороны ФСТЭК предъявляется дополнительный набор требований по обеспечению информационной безопасности (аутентификация, аудит безопасности, антивирусы и др.). «Стоит отметить, что для управления данными и создания сильных защищенных систем нужно с самого начала запланировать максимально защищенную ИТ-инфраструктуру, проектировать архитектуру системы защиты, применяя Secure-by-Design подход для минимизации уязвимостей и уменьшения поверхности для атак. Это важное условие для обеспечения безопасности на каждом этапе жизненного цикла информационной системы в любой организации»,— рассказал Демид Балашов, руководитель отдела развития продуктов InfoWatch ARMA.
Развитие системы информационной безопасности на каждом этапе внедрения имеет свой уровень зрелости, поэтому важно ее внедрять «от простого к сложному», постепенно настраивая все процессы, отметил он.
По мнению Михаила Сергеева, ведущего инженера CorpSoft24, для обеспечения безопасности объектов КИИ необходимо реализовать многоуровневую защиту (сетевые экраны, IDS/IPS-системы, системы предотвращения утечек данных), регулярно обновлять ПО и ОС для устранения известных уязвимостей, использовать двухфакторную систему аутентификации и белых списков для подключения к административным сервисам. Помимо этого, стоит разрабатывать и внедрять политики безопасности и процедуры реагирования на инциденты, отмечает он.
На объектах КИИ постепенно идет процесс внедрения решений, которые изначально создаются в рамках концепции безопасной разработки, то есть при создании используются проверенные библиотеки, сканеры уязвимости кода и иные инструменты и политики разработки.
Ситуация с доступностью и импортозамещением средств защиты информации достаточно хорошая, продолжает господин Рахметов. «Выбор на отечественном рынке ИБ-решений широкий, к тому же он достаточно зрел»,— продолжает эксперт. Среди разработчиков таковых продуктов можно выделить «Лабораторию Касперского», Positive Technologies, InfoWatch, «ИнфоТеКС» и пр.
Большинство атак на промышленные предприятия идет через промышленные протоколы, и в этом одна из особенностей обеспечения безопасности промышленного сегмента, в отличие от защиты корпоративной сети, отметил Демид Балашов. «Важно, чтобы программное решение не только качественно распознавало компьютерные атаки и разбирало наибольшее количество промышленных протоколов, но и умело блокировать вторжения,— продолжил он.— При этом технический функционал должен быть оптимальным, выверенным, так как лишние функции ведут к удорожанию продукта и усложняют его внедрение и эксплуатацию».
Сейчас основными проблемами при обеспечении безопасности на таких объектах выступают сложности интеграции новых технологий в существующие системы, недостаток квалифицированных специалистов в области кибербезопасности и рост числа и сложности кибератак, считает господин Сергеев.