В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
Автор: Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA
В 2014 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выпустила приказ от 14 марта 2014 г. № 31 “Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.
С момента выпуска приказа, на протяжении 10 лет, в пятерку основных угроз входят:
атаки через офисные корпоративные сети;
несанкционированный удаленный доступ;
атаки на промышленные системы через уязвимости, используя каналы поставок;
саботаж и ошибки персонала;
заражение вредоносным программным обеспечением через USB-устройства.
Согласно опубликованным данным InfoWatch в отчете “Промышленная кибербезопасность: итоги 2023 года” [1], международная сфера ИБ АСУ ТП характеризуется следующими особенностями:
атаки становятся все более целевыми;
37% атак с использованием программ-вымогателей на промышленные организации затрагивают как информационные, так и операционно-технические аспекты;
большинство инцидентов приводят к нарушению операций на предприятиях и в 12% случаев кибератаки приводят к полной остановке производства более чем на неделю;
две трети (69%) организаций выплачивают выкуп вымогателям;
прогнозируется, что ущерб от киберпреступности продолжит расти на 15% в год.
Основной набор технических мер защиты остается неизменным за последние 10 лет, хотя реализовать его довольно сложно и затратно. Зачастую компании тратят на это годы. Этот набор включает в себя:
защиту узлов (рабочих станций и серверов) от подключения нелегитимных USB-устройств и запуска вредоносного программного обеспечения (ВПО);
сегментирование промышленной сети и ее отделение от корпоративной;
пассивный мониторинг и анализ промышленной сети в защищенном периметре АСУ ТП;
активное сканирование сети и узлов при вводе системы в эксплуатацию и во время профилактических работ;
мониторинг действий пользователей в сети и на узлах;
настройка штатного программного обеспечения для авторизации и журналирования действий пользователей;
резервное копирование, планирование действий в нештатных ситуациях и их отработка;
получение, анализ событий и формирование инцидентов.
Полный необходимый набор мер защиты указан в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 г. № 239 “Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”. Распределение базовых технических решений представлено на примере решений InfoWatch ARMA (см. рис. 1).
Рис. 1. Карта мер соответствия InfoWatch ARMA группам мер приказа № 239 ФСТЭК России
Основными направлениями деятельности служб информационной безопасности по всему миру, согласно аналитическому отчету “Тенденции развития киберинцидентов АСУ ТП за 2023 год” [2] экспертно-аналитического центра InfoWatch, являются (см. рис. 2):
Актуализация активов.
Оценка рисков.
Управление уязвимостями.
Обнаружение и предотвращение вторжений.
Безопасность конечных точек.
Сегментация сети.
Безопасность удаленного доступа.
Рис. 2. Основные направления деятельности служб информационной безопасности по всему миру
С учетом действующего Федерального закона № 187-ФЗ “О безопасности объектов критической информационной инфраструктуры” и смежных с ним нормативно-правовых документов в России одним их ключевых направлений работ служб информационной безопасности стало выполнение государственных требований, включая организационные и технические меры.
Наблюдается активная интеграция служб информационной безопасности, информационных технологий и автоматизированных систем управления в реализации технических мер защиты и процессов информационной безопасности. Например, большинство систем проектируются с учетом средств и мер защиты информации, что позволяет оптимизировать затраты и сроки реализации проектов:
уменьшаются расходы на сбор данных, монтажные и пуско-наладочные работы;
исключается дублирование оборудования, выполняющего одинаковые функции;
оптимизируются вычислительные ресурсы и инженерная инфраструктура с учетом требований информационной безопасности.
Из опыта InfoWatch ARMA можно выделить следующие направления применения промышленного межсетевого экрана для решения задач информационной и операционно-технической безопасности:
пограничное средство связи (см. рис. 3, п. 4);
дополнительный мониторинг состояния оборудования и сети (см. рис. 3, п. 2);
защита рабочих станций и сети от угроз и уязвимостей для минимизации простоев, включая техническое обслуживание (см. рис. 3, п. 3);
удаленная наладка, эксплуатация и техническая поддержка продукта (см. рис. 3, п. 1);
автоматизация реагирования на инциденты, включая восстановление работоспособности системы (см. рис. 3, п. 5).
Рис. 3. Направления применения промышленного межсетевого экрана InfoWatch ARMA
Несмотря на явную необходимость принятия мер и выполнения действий для обеспечения информационной безопасности, а также на наличие обширного набора нормативно-правовых документов, стандартов и лучших практик в области построения систем информационной безопасности, создание и развитие таких систем остается сложной задачей для большинства компаний. Это вызвано не только финансовыми затратами, но и рядом таких проблем, как:
недостаток квалифицированных кадров;
сложности внедрения процессов информационной безопасности;
необходимость изменения существующих процессов и решений в области информационной безопасности при переходе на отечественные аналоги.
В ближайшие годы ожидается развитие новых решений и функционала в существующих продуктах, направленных на оптимизацию человеческого труда в области информационной безопасности, автоматизацию процессов информационной безопасности и интегрированное управление информационной инфраструктурой предприятия, включая информационные технологии, операционно-технические решения и решения в области информационной безопасности.
Для тех, кто развивает информационную безопасность и определяет стратегию ее развития, важно понимать, что сегодня информационная безопасность – это не только инвестиции в средства защиты информации, но и глубокие изменения в продуктах и услугах, организационной структуре, стратегии развития и корпоративной культуре. Предстоит много работы, но усилия должны принести положительные результаты во всех сферах деятельности компаний.
https://www.infowatch.ru/analytics/daydzhesty-i-obzory/promyshlennaya-kiberbezopasnost-itogi-goda
https://www.infowatch.ru/analytics/analitika/tendentsii-razvitiya-kiberintsidentov-asu-tp
ITSec_articles