КИИ нужна работа над ошибками

Заместитель руководителя Управления ФСТЭК России по Приволжскому федеральному округу Владимир Хачинян провел анализ типичных ошибок в категорировании объектов критической информационной инфраструктуры (КИИ).

Представитель другого ключевого регулятора, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, открывая сессию "Защита критически важной информационной инфраструктуры в современных условиях" на конференции "Инфофорум Прикамье", заявил, что владельцы объектов будут стараться всяческими способами или избегать отнесения тех или иных активов к КИИ, или занижать их значимость. Генеральный директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух на конференции BIS Summit 2022 связал это с тем, что защита таких объектов может обойтись дороже, чем возможный ущерб.

https://www.comnews.ru/content/222338/2022-09-27/2022-w39/komu-kategorirovat-obekty-kii

Владимир Хачинян провел подробный разбор типичных ошибок, которые допускаются при категорировании объектов КИИ. Это первый случай, когда представитель данного ведомства проводил такой анализ на публичном мероприятии.

Помимо того, что операторы объектов КИИ пытаются их исключить из перечня критических или занижают категории, массовый характер носят нарушения при формировании комиссий по категорированию, куда не включают профильных специалистов. Не всегда относят к критичным объекты в филиалах и представительствах, а также те, которые находятся в пользовании, но не в собственности. Не учитываются взаимосвязи разных объектов. Также в ходе категорирования очень часто "забывают" о тех информационных системах, которые находятся в стадии проектирования и разработки. Не рассматриваются все возможные сценарии, особенно относящиеся к наихудшим. Также не учитывается влияние возможного инцидента на окружающую среду, как городскую, так и природную.

Начальник отдела обеспечения осведомленности управления ИБ Департамента информационных технологий города Москвы Валерий Комаров также назвал очень распространенной проблемой то, что операторы объектов КИИ забывают уведомлять НКЦКИ о мерах реагирования на инциденты в течение 48 часов. И в целом необходимо тщательно отрабатывать реагирование на инциденты в ходе тренировок и киберучений. Причем к этим мероприятиям не следует подходить формально и необходимо обязательно проверять, как пользователи усвоили информацию об угрозах. Также меры по повышению осведомленности необходимо распространять на персонал контрагентов и подрядчиков, через которых также атакуют компании и учреждения.

GR-директор "СёрчИнформ" Ольга Минаева посетовала, что руководители бизнеса часто относятся к ИБ как к проблеме в принципе важной, но несрочной. В итоге на закупку средств защиты информации во многих компаниях, несмотря на значительный рост угроз, не выделяются бюджеты. Очень часто недооценивается фактор внутреннего нарушителя, как умышленного, так и неумышленного, а такого рода инциденты отмечались в 89% компаний.

Последствием пренебрежения нормами защиты являются инциденты. Руководитель направления продаж Positive Technologies в УрФО и Пермском крае Олег Антонов, сославшись на результаты аудитов ИБ у заказчиков, заявил, что следы компрометации обнаружены на каждом шестом обследованном объекте КИИ. Согласно данным глобальной статистики "Лаборатории Касперского", по итогам первого полугодия текущего года 31,8% объектов АСУ ТП в мире и 30,7% в России хотя бы раз пытались атаковать злоумышленники. Чаще всего для атак используют вредоносные скрипты, троянцы, шпионское ПО и шифровальщики.

https://www.comnews.ru/content/222396/2022-09-30/2022-w39/kto-zaschitit-50-tysyach-obektov-kii

При этом, как подчеркнула эксперт центра мониторинга и реагирования на инциденты ИБ Jet CSIRT "Инфосистемы Джет" Валерия Суворова, за 90% атак на КИИ стоят высококвалифицированные злоумышленники из профессиональных киберпреступных группировок или киберармий. По ее оценке, для отражения 95% атак достаточно работающей программы повышения осведомленности сотрудников, наличия правильно настроенных средств защиты информации и устранения явных "дыр" в правах доступа (наличие не отключенных технических учетных записей в системах и устройствах, а также логинов и паролей уволенных сотрудников). Для того чтобы не дать развиться оставшимся 5% атак, необходимо использовать системы мониторинга.