Точка зрения / июнь 2022
Какие инновации в промышленной безопасности используют российские предприятия

Игорь
Рыжов

заместитель директора центра промышленной безопасности компании "Информзащита"
© ComNews
27.06.2022

На сегодняшний день высокий уровень развития информационных технологий наблюдается во всех видах промышленности — атомной, металлургической, оборонной, нефтегазовой. Практически все эти предприятия являются объектами критической информационной инфраструктуры (КИИ), и на них присутствуют значимые объекты КИИ (ЗОКИИ) различных категорий. Кроме того, зачастую они относятся к категории градообразующих, а рядом располагаются объекты, которые обеспечивают жизнедеятельность всего города (или нескольких городов). Нарушение бесперебойной работы на предприятиях создает угрозу жизни и здоровью населения, а также негативно влияет на экономическую и социальную устойчивость региона. В связи с этим объектам КИИ необходима надежная защита от угроз.

Прежде всего, предприятия нужно защищать от любой нелегитимной активности в сети, в том числе от некорректных действий сотрудников и спланированных кибератак, которые предпринимаются, чтобы остановить работу систем (например, поточной линии выпуска продукции), украсть важные документы или информацию для "слива" конкурентам.

В результате реализации киберугроз возникают киберциндиденты — это занесенные в систему вирусы: например, вымогатели, шифровальщики.

Для обеспечения бесперебойной работы сейчас на предприятиях используются российские продукты защиты информации, которые имеют высокий уровень зрелости. Для обеспечения безопасности, помимо защитных решений, требуется слаженная работа трех сторон: сотрудников ИБ-департамента, ИТ-департамента и инженеров службы АСУ ТП. В "Информзащите" с 2016 года успешно функционирует Центр промышленной безопасности (ЦПБ), несмотря на то, что компания в основном занимается категорированием по ФЗ-187 и кибербезопасностью. Наши специалисты знакомы с традиционными информационными системами, SCADA-системами, РЗА (релейной защитой и автоматикой) и ПА (противоаварийной автоматикой). Они работали в добывающих и энергетических компаниях и имеют сертификаты в области ИБ и промышленных систем. Сотрудники ЦПБ реализовали множество проектов на основе ведущих разработок российских и международных вендоров в этих областях. Таким образом, преимущество Центра промышленной безопасности в том, что в нем работают сотрудники, являющиеся экспертами в ИБ и разбирающиеся в специфике промышленных систем. Рядом с нами, в соседних департаментах, работают эксперты по SIEM-системам, межсетевым экранам, криптозащите и прочим отраслям ИБ, и мы можем сосредоточить свою экспертизу именно на защите АСУ ТП. Стоит также отметить, что сотрудничество с ведущими производителями промышленного оборудования – Siemens, Yokogawa, и другими компаниями, чье технологическое оборудование установлено на предприятиях РФ, помогает нам оставаться в курсе мировых трендов и идти в ногу со временем.

Сегодня самыми востребованными проектами по ИБ среди отраслей промышленности являются тесты на проникновение в сети АСУ ТП, анализ уязвимостей сетей, систем или кода, внедрение средств защиты информации в сетях. Все заказчики начинают с очевидной задачи: они хотят узнать, насколько уязвима его организация, и в каком месте с наибольшей вероятностью эта уязвимость будет проявляться. Ну и, конечно, выполнить требования регуляторов, в первую очередь – ФСТЭК России, а также других ведомств или внутренних распоряжений.

Сам процесс по защите КИИ непростой и небыстрый. Сначала объектам КИИ присваивают свою категорию, каждая из которых нуждается в разной степени защиты, потому что у них разные степени риска. Затем данные о присвоенной категории отправляют на согласование в Федеральную службу по техническому и экспортному контролю. Между первым этапом и до начала работ по ЗОКИИ часто проходит не один год, следовательно, решения, которые планировались в начале проекта, меняются, так как продукты защиты развиваются, появляются новые.

Усложнить процесс может и то, что часть предприятий работает на основе унаследованной инфраструктуры – это когда лишь немногие помнят, как внедрялась какая-то система АСУ ТП. Она работает очень давно и без сбоев, управляется посредством старого компьютера, доступа к которому из сети никогда не было. Подобная ситуация относится для ИБ к категории очень сложных. По данным опроса "Лаборатории Касперского", в среднем промышленное предприятие не может обновить примерно каждое шестое (16%) конечное устройство. Бывает и так, что оборудование на предприятии современное, но его установили благодаря крупному проекту с зарубежным вендором, а в договоре технической поддержки прописано: "тронете – гарантию снимаем", из-за чего заказчик медлит с принятием решений в области ИБ.

А теперь перейдем непосредственно к самой защите объектов КИИ. Она обеспечивается за счет определенного набора продуктов: промышленных антивирусов, систем мониторинга сетей, межсетевых экранов, а также расширенного меню (системы контроля привилегированных пользователей, защита виртуализации, системы мониторинга событий и другое).

Мы, как интегратор, предлагаем несколько решений, используя как собственные, так и лучшие зарубежные и российские продукты и наработки по кибербезопасности. Если говорить про реальные кейсы и инновационный подход, то можно привести в пример решение Kaspersky Industrial CyberSecurity (KICS), включающий компонент защиты эндпоинтов (KICS for Nodes) и мониторинга сети (KICS for Networks), а также SIEM-систему KUMA.

KICS for Nodes – это средство комплексной защиты узлов, обеспечивающее защиту АРМ и серверов АСУ ТП от вредоносного ПО, контроль замкнутой программной среды, управление подключение съемных носителей и контроль целостности проектов ПЛК. Защитные механизмы решения адаптированы для применения в АСУ ТП, не потребляют большого количества вычислительных ресурсов, имеют неблокирующий режим и, что самое важное, протестированы на совместимость со многими образцами прикладного промышленного ПО.

KICS for Networks – это система обнаружения вторжений, которая выявляет потенциально враждебные действия в промышленной сети. Это обучаемый сенсор или их набор (отметим особенно слово "обучаемый"), который автоматически строит картусети и детектирует все разрешенные и запрещенные для устройств сети операции, а также признаки вредоносного ПО и попыток эксплуатации уязвимостей в защищаемых сетях. Таким образом обнаруживаются либо кибератаки, либо нелегитимные действия в промышленных сетях – и даже – предаварийные ситуации на технологическом оборудовании.

KUMA – единая консоль мониторинга, анализа и реагирования на киберугрозы. Решение обеспечивает гибкий комплексный подход к противодействию сложным угрозам и целевым атакам, помогает обеспечить соответствие требованиям регуляторов и готово встроиться в существующую ИТ и ИБ-инфраструктуру. Данная SIEM-система взаимодействует как с решениями "Лаборатории Касперского", так и решениями сторонних поставщиков. Благодаря ее появлению интегратор может предложить заказчику действительно экосистему ИБ. Речь в этом случае идет именно о промышленных предприятиях, сетях АСУ ТП, защите КИИ.

"Лаборатория Касперского" находится на передовых позициях в области защиты АСУ ТП не только потому, что разбирает промышленные протоколы, строит карты промышленных сетей и анализирует уязвимости, но и имеет встроенный инструментарий с целью контроля значений технологических параметров. Более того, это программное обеспечение может использовать методики машинного обучения. Решение хорошо справляется с обработкой больших объемов данных, хотя лучше все-таки использовать SSD-диски. Использовать технологии машинного обучения для анализа данных чрезвычайно прогрессивно, т.к. события в сети могут измеряться миллионами. Это аналогично сырым данным в ИТ. Если мы принимаем все правила – есть опасность пропустить уязвимость. Если не принимаем, то тонем в количестве информации, которое на постоянной основе не может обработать человек.

KICS for Networks включает в себя:

– контроль технологического процесса (DPI) – по этой технологии регистрируются события, связанные с нарушениями технологического процесса (например, событие при превышении заданного значения температуры);

– контроль целостности сети (NIC) – по этой технологии регистрируются события, связанные с целостностью промышленной сети или с безопасностью взаимодействий (например, событие при обнаружении взаимодействия устройств в промышленной сети по-новому для этих устройств протоколу);

– обнаружение вторжений (IDS) – по этой технологии регистрируются события, связанные с обнаружением в трафике аномалий, которые являются признаками атак;

– контроль системных команд (CC) – по этой технологии регистрируются события, связанные с обнаружением в трафике системных команд для устройств (например, событие при обнаружении неразрешенной системной команды);

– внешние системы (EXT) – к этой технологии относятся инциденты, а также события, которые поступают в KICS for Networks от внешних систем;

– контроль устройств (AM) – по этой технологии регистрируются события, связанные с обнаружением в трафике информации об устройствах (например, событие при обнаружении нового IP-адреса у устройства).

Кроме того, система имеет функционал по обнаружению паролей по умолчанию при подключении к устройствам и системам АСУ ТП. Простая, но важная для ИБ штука.

Эффективная ИБ система, конечно, должна иметь свежие обновления, и поэтому в KICS предусмотрена возможность обновления баз сигнатур вредоносного ПО, системных правил обнаружения вторжений, правил получения сведений об устройствах и протоколах взаимодействий, правил корреляции событий для регистрации инцидентов, модулей обработки протоколов прикладного уровня для контроля технологического процесса.

Кроме того, дополнительная ценность использования решения KICS достигается за счёт наличие интеграции решений для защиты конечных узлов (KICS for Nodes) и мониторинга сетей (KICS for Networks), позволяющий обогащать информацию о состоянии защищенности промышленной сети в целом телеметрией с рабочих станций и серверов.

Дополнительно стоит отметить, что KICS поддерживает расширенную интеграции с SIEM-системой KUMA, которая позволяет отправлять в SIEM не только информацию о событиях безопасности, но и реализовывать сценарии управления активами, уязвимостями, и даже сценарии реагирования на инциденты.

На мой взгляд, главным образом уровень защищенности предприятия определяет создание корпоративной культуры информационной безопасности, доведение до всех сотрудников требований по информационной безопасности. Необходимо добиться понимания того, что от действий каждого сотрудника зависит, будет ли этот бизнес существовать и развиваться завтра, будет ли работать информационная система или "ляжет" после первой же атаки компьютерных хулиганов.

Защита промышленных систем – это, безусловно, одно из перспективных направлений бизнеса информационной безопасности, потому что на инфраструктуру предприятий все чаще приходятся атаки злоумышленников.

Компания "Информзащита" уже 27 лет работает с продуктами информационной безопасности. Наш центр промышленной безопасности "Информзащиты" завершил уже не один проект по защите КИИ промышленных предприятий. Услуги компании в области защиты промышленных систем и объектов КИИ являются уникальными и включают в себя более 50 видов работ, которые могут быть выполнены как в рамках отдельных проектов, так и в ходе комплексных программ повышения уровня надежности. Но самое главное: нам удалось создать коллектив единомышленников, которые способны решать любые задачи в сложных организационных производственных условиях. Наша команда ориентируется на весомое партнерство с производителями технологий и программного обеспечения АСУ ТП, знакомится с интересными технологическими трендами и бизнес-проектами в реальном производстве. Наконец, мы стараемся обладать знаниями по лучшим мировым практикам и продуктам в области безопасности промышленных систем управления.