Мнение: «Лаборатория Касперского» о защите объектов КИИ

Мнение: «Лаборатория Касперского» о защите объектов КИИ

Наша дискуссия по законопроекту «О безопасности критической информационной инфраструктуры» продолжается.

Мы решили узнать у одного из главных игроков на рынке безопасности, есть ли у них готовые решения, которые они могут предложить для защиты объектов КИИ. Специалисты “Лаборатории Касперского” прокомментировали новый закон и рассказали нам о своем продукте.

Гостевой пост

Екатерина Рудина, старший системный аналитик «Лаборатории Касперского».

Закон о безопасности критической инфраструктуры распространяется на субъекты критической информационной инфраструктуры: государственные органы, юридические лица — владельцы объектов критической информационной инфраструктуры и операторы связи, обеспечивающие взаимодействие этих объектов между собой. Документ безусловно важный, очень ожидаемый. Это первый детальный обязательный проект в области защиты критической инфраструктуры, что очень важно. До этого в России не было каких-то законов, обязательных к исполнению, только рекомендации. Минус – это обратная сторона плюса, поскольку это первый документ подобного рода, то в нем есть, например, очень много расхождений в формулировках. Также не понятно, как отреагируют на него участники рынка, скорее всего сначала будет некая общая неосведомленность о том, что происходит, но со временем ситуация стабилизируется.

Следует отметить практический характер законопроекта, ясность его цели и первоочередных мер, направленных на защиту критической информационной инфраструктуры (категорирование объектов КИИ, создание и обеспечение функционирования систем безопасности этих объектов, внедрение на значимых объектах государственной системы обнаружения, предотвращения и ликвидации последствий компьютерных атак).

Рассматриваемый законопроект указывает на первоочередные меры обеспечения безопасности объектов критической информационной инфраструктуры. Объекты КИИ при этом не ограничиваются и не идентифицируются данным Минкомсвязи определением автономной системы, но определяются независимо. Меры включают категорирование объектов критической информационной инфраструктуры, государственный контроль в области обеспечения безопасности значимых объектов КИИ, осуществление научно-исследовательской деятельности в области обеспечения безопасности КИИ, координацию деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, организация и проверка оценки состояния защищенности КИИ РФ от компьютерных атак, утверждение порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак, установку на значимых объектах КИИ государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, установку требований к техническим средствам этой системы. Как предполагается, критерии категорирования объектов КИИ могут также определить первоочередные свойства, которые и будут определять состояние защищенности объекта. Для каких-то объектов это будет конфиденциальность данных, для каких-то — доступность услуги, для каких-то бесперебойное поддержание процессов даже в условиях атак (например, процессов энергопоставки), для каких-то — обеспечение безопасности жизни и здоровья людей.

Безусловно, законопроект потребует дополнительных затрат от участников рынка. Перечисленные в законопроекте субъекты критической информационной инфраструктуры все в той или иной мере понесут дополнительные затраты.

Как видно из текста законопроекта, безопасность критической информационной инфраструктуры обеспечивается применением двух видов технических средств: во-первых, государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, и во-вторых, другими техническими средствами, предназначенными для поиска признаков компьютерных атак. Приобретение за свой счет средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак указано как право субъекта критической инфраструктуры. Это же, по всей видимости, относится и к прочим техническим средствам. Затрат потребует не только приобретение, но и интеграция этих средств в систему критической информационной инфраструктуры, обеспечение технической возможности передачи им данных для анализ, а также эксплуатация и техническое обслуживание технических средств. Так что даже если государство возьмет на себя предоставление технических средств, субъект КИИ безусловно понесет затраты по их внедрению, эксплуатации и техническому обслуживанию.

Перечень же обязанностей субъектов КИИ включает также ряд мер, внедрение которых потребует либо найм дополнительного квалифицированного персонала, либо оплату услуг сторонних организаций для анализа информации, предоставляемой техническими средствами и информировании о компьютерных инцидентах, возможно, покупку дополнительных программных и программно-аппаратных средств для анализа и обработки информации об инцидентах.

Наконец, соблюдение требований по обеспечению безопасности значимых объектов КИИ, само по себе потребует затрат. Не секрет, что в настоящий момент уровень защищенности многих промышленных объектов, объектов энергетики, других объектов КИИ оставляет желать лучшего.

Следует отметить, что прилагаемая к документу пояснительная записка указывает на то, что обеспечение безопасности критической информационной инфраструктуры Российской Федерации исключительно средствами и силами государства невозможно, и исходя из этого, законопроектом предусматриваются дополнительные обременения, налагаемые на лиц, владеющими значимыми объектами КИИ на праве собственности или ином законном основании. Обременения состоят именно в описанных выше затратах.

Андрей Духвалов, руководитель департамента перспективных технологий «Лаборатории Касперского».

Поскольку речь идет о защите индустриальных объектов, а это, как правило, объекты, которые связаны с повышенным риском, применять те технологии, которые индустрия безопасности накопила к настоящему моменту нельзя. При разработке необходимых мер защиты нужно понимать специфику как технологического процесса, так и самого промышленного объекта. По этой причине «Лаборатория Касперского» разработала специализированные технологии, предназначенные именно для защиты критических инфраструктур.

В отличие от традиционных компьютерных систем, здесь мы имеем дело с киберфизической системой. Киберфизические системы – это промышленные системы, которые объединяют в себе производственное оборудование и информационные процессы. Кибер — компьютерное решение, наличие вычислительной инфраструктуры, включающей сервера и компьютеры, плюс программное обеспечение (ПО), управляющее логикой работы исполнительных механизмов. Если взять, например, трансформатор, то это «железо», но в нем есть приводы, которыми управляет «умный» процессор. Физическая часть такой системы — конвейеры заводов, турбины гидроэлектростанций. Для того, чтобы анализировать правильность проходящих процессов, нужно понимать не только информационную часть, но и физическую. Это означает, что одни и те же информационные процессы могут быть в одной ситуации, нормальными, а в другой ненормальными. Чтобы понять, какие процессы нормальные, нужно работать в сотрудничестве с инженерами той отрасли, для которой мы разрабатываем систему обеспечения кибербезопасности.

Для этого «Лаборатория Касперского» привлекает специалистов той или иной области и совместно с ними изучает инфраструктуру системы. Далее, определяются возможные векторы угроз и к каким последствиям может привести с физической точки зрения воздействие на ту или иную часть информационного процесса. После этого совместно со специалистами промышленного предприятия выбираются модели правильного поведения. Эти модели закладываются в информационную систему.

При создании нашей системы разработчики руководствовались требованием сохранить непрерывность работы производственного процесса, что крайне важно для предприятий, ведь любой простой может привести к огромным убыткам. Защитные программы не должны вмешиваться в производственный процесс и тем более останавливать его. Система работает в пассивном режиме, она может быть быстро развёрнута прямо на работающем предприятии и тут же начать анализировать происходящее в сети, выявляя критически важные события. Поэтому технологии, разработаны таким образом, что анализируются не сама информация, которая циркулирует внутри информационных систем, а ее копия. То есть для анализа берутся объекты, которые продолжают функционировать, в то время как работа ведется с копией этой информации. «Лаборатория Касперского» анализирует ее на предмет совпадения с правильными моделями поведения. Если находятся какие-либо отклонения, отправляется сообщение обслуживающему персоналу объекта анализа о том, что система вышла из стабильного состояния.

Наше решение анализирует весь трафик внутри промышленной сети, отслеживает все запускаемые программы и подключаемые устройства и наблюдает за их работой. Защита распространяется на все ключевые компоненты : контроллеры, элементы индустриальных сетей, рабочие станции. Фактически, система постоянно мониторит технологический процесс и не только выявляет подозрительные действия, связанные с информационными системами, но и отслеживает нелогичные, несвоевременные или потенциально опасные команды внутри процесса. Если решение видит несанкционированные попытки входа, оно их блокирует.

Стоит отметить, что система защиты промышленных предприятий «Лаборатории Касперского» – не блокирующая технология. Информация о сбоях передается обслуживающему персоналу предприятия. И здесь основная проблема, с которой мы сталкиваемся, – персонал не знает, что с этой информацией делать. Тема кибербезопасности производственных объектов – абсолютно новая. В крупных компаниях порой недооцениваются потенциальные риски, при этом, многие специалисты, отвечающие за производственные системы, продолжают убежденно верить, что их система изолирована и самое главное для них — надежность оборудования и функциональная надежность SCADA-систем, которые они эксплуатируют. Они совершенно не подозревают, насколько легко перехватить управление такой системой удаленно, и сделать это может человек, месторасположение которого даже трудно определить. Или, владельцы считают, что, установив фаэрволл, сеть защищена. На самом деле фаэрволл уязвим.

Поэтому «Лаборатория Касперского» разработала программу образовательных тренингов с целью объяснить, как действовать в подобных ситуациях. Мы предоставляем сервис, который поможет обслуживающему персоналу, владельцам информационно-индустриальных объектов понять, что произошло, и как решить проблему в зависимости от ситуации.

С точки зрения «Лаборатории Касперского» с точки зрения информационной стороны вопроса все промышленные объекты уникальны. Конечно, уникальность присутствует и в технологических процессах, которые часто имеют длительную форму эксплуатации. Как пример, сотрудничество с «ФСК ЕЭС». Обсуждалась программа киберзащиты распределительных подстанций мощностью от 110 киловольт и выше, которых в структуре предприятия около 600. В первую очередь необходимо было выяснить, какие типы подстанций существуют. Для того, чтобы разработать средства защиты, нужно знать параметры каждого из них.

Когда подстанции ФСК были разнесены по определенным подтипам, при посещении объектов выяснилось, что даже объекты одного подтипа имеют отличия друг от друга. Ни одна подстанция не была точной копией другой, при этом применяемое там оборудование одинаковое, похожее программное обеспечение. Подстанции могут различаться по сроку эксплуатации, размеру и так далее. Таким образом, чтобы разработать средства киберзащиты, необходимо разобраться в каждом объекте.

В целом процесс применения защиты для разных объектов, как определенная последовательность действий, выглядит примерно одинаково. Сначала проводится обследование объекта с информационной точки зрения, в процессе которого, собственники объектов часто узнают много нового о протекании информационных процессов на их предприятиях. На основании информации об обследовании, «Лаборатория Касперского» разрабатывает модель угроз. Специалисты по информационной безопасности вычисляют слабые стороны в той или иной системе. Затем начинается процесс взаимодействия для определения какие из угроз, с точки зрения владельца объекта, могут привести к негативным последствиям, а какие можно игнорировать.

Далее необходимо определить, какие из этих угроз критические, а какие нет. Чтобы предотвратить любую из угроз, нужно оценить ее на предмет применения необходимых средств защиты. Эти средства могут быть как информационные, так и административные или даже физические. Например, ограничение физического доступа к серверу – это тоже мера защиты. «Лаборатория Касперского» концентрируется на мерах, которые лежат в информационной области, но тем не менее, мы всегда проводим полноценный анализ и сообщаем заказчику о других возможных рисках. Затем заказчик сам решает, с какими рисками и каким образом он будет работать.

Зачастую простые организационные меры повышают уровень устойчивости работы всей системы. Мы убеждены, что при решении той или иной задачи важен комплексный подход – это и использование технологий, и обучение персонала, и разработка рекомендаций по изменению внутренних регламентов и сервисы, которые «Лаборатория Касперского» предоставляет сама или через партнеров.

Понравилось? Поделись!

Комментарии

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *