Игорь Рыжов
Инженер-математик по образованию. Имеет дипломы MBA и CIO. Возглавлял коллективы информационных технологий и информационной безопасности в силовых ведомствах. Работал на металлургических предприятиях, в "Газпроме", в компаниях системной интеграции.
Игорь Рыжов, руководитель направления защиты АСУ ТП из компании «Информзащита», поговорил с Anti-Malware.ru о защите объектов критической информационной инфраструктуры (КИИ) в соответствии с текущим законодательством РФ, обсудил самые частые киберинциденты и атаки на АСУ ТП, а также порассуждал на тему готовности российских продуктов к работе в промышленных сетях.
В современных условиях высокий уровень развития информационных технологий можно отметить во всех видах промышленности: в атомной, горнодобывающей, оборонной, в нефте- и газодобыче. Практически все такие предприятия являются объектами критической информационной инфраструктуры (КИИ), на них есть значимые объекты КИИ (ЗОКИИ) различных категорий. В то же время эти предприятия зачастую являются градообразующими, часто в нескольких регионах страны; рядом находятся объекты, обеспечивающие жизнедеятельность местного населения. Нарушение бесперебойной работы таких предприятий не только создаёт угрозу здоровью и жизни людей, но и негативно влияет на экономическую и социальную устойчивость регионов. Объекты КИИ требуют защиты от угроз в соответствии и с законодательством РФ, и со здравым смыслом.
Когда мы говорим о производстве, главными показателями эффективности оказываются качество продукции, её своевременный выпуск и отгрузка покупателю. Как защищать такие структуры, есть ли место инновациям (и в каком объёме) там, где главный принцип защиты — «не навреди»?
Эти проблемы и вопросы составили контекст и канву нашей беседы. Предлагаем ознакомиться с мнением эксперта о них.
Прежде всего: от чего обычно приходится защищать промышленные компании?
И. Р.: От любой нелегитимной активности в сети предприятия. Это — и некорректные действия персонала, и злонамеренные действия или даже спланированные атаки, которые направлены на остановку работы систем (например, поточной линии выпуска продукции) либо на кражу проектной тендерной документации. На сегодня уже не единичны кейсы и по антифроду АСУ ТП. Словом, всё то, что относится к автоматизации и может привести к прямому и косвенному финансовому ущербу, а также несёт угрозу социальной составляющей и экологии.
Самое «популярное» — это не киберугрозы, а киберинциденты, то есть занесённые в систему вирусы: шифровальщики, вымогатели. На втором месте находятся некорректные действия администраторов и злонамеренное проникновение в сети предприятия с целью наживы, мести, «слива» информации конкурентам.
Насколько востребованны сейчас проекты в области информационной защиты промышленных сетей на российском рынке?
И. Р.: Безопасность АСУ ТП активно обсуждается уже почти десять лет — с момента появления понятия о критически важных объектах (КВО). Отличием сегодняшнего дня является то, что мы уже имеем на рынке зрелые, готовые к применению российские продукты для защиты информации, адаптированные к работе в промышленных сетях. Кроме того, за последние два года предприятия «откатегорировались» и перешли к проектированию или выполнению проектов по ЗОКИИ.
Проекты востребованны. Их организационная сложность — в том, что участвуют три стороны: сотрудники ИБ-департамента, ИТ-департамента, инженеры службы АСУ ТП.
Названия на предприятиях могут быть разными в зависимости от масштаба — технологи, метрологи, «киповцы», — суть от этого не меняется. Ответственной стороной является ИБ, а бесперебойной работоспособностью рискуют прежде всего сотрудники АСУ ТП — именно они, вместе со всей службой главного инженера, отвечают перед менеджментом непосредственно за выпуск продукции.
Для построения правильной системы защиты не обойтись безо всех трёх сторон. Поэтому в компании «Информзащита» работает специализированная структура — Центр промышленной безопасности, хотя занимаемся мы в подавляющем большинстве случаев не охраной труда и промышленной безопасностью, а именно категорированием по ФЗ-187 и кибербезопасностью. Наши специалисты работали в добывающих и энергетических компаниях, на производстве. Им знакомы традиционные информационные системы, серверные и сетевые технологии, SCADA-системы, РЗА (релейная защита и автоматика) и ПА (противоаварийная автоматика). Преимуществом «Информзащиты» является то, что рядом с нами в других департаментах есть эксперты по SIEM-системам, файрволам, криптозащите и прочим отраслям ИБ, и мы можем сосредоточить свою экспертизу именно на защите АСУ ТП. Специалистами не рождаются, и мы выращиваем кадры в том числе из студентов в сотрудничестве с ведущими московскими вузами. Работая в данной тематике, надо быть в курсе мировых трендов, и в этом нам помогает сотрудничество с ведущими производителями промышленного оборудования — Siemens, Yokogawa, Man и другими уважаемыми в мире компаниями, чьё технологическое оборудование установлено на предприятиях РФ.
Какие отрасли промышленности для вашей компании наиболее интересны? Какого типа проекты в этих отраслях популярны?
И. Р.: Если говорить о тех отраслях промышленности, которые на сегодняшний день в большей степени заинтересованы нашими услугами, то речь пойдёт скорее всего о предприятиях с непрерывным циклом производства. Прежде всего это — металлургия, нефтехимия, энергетика, нефтегазовый комплекс. Хотя есть и более специфичные запросы: транспорт и ОПК.
Что же касается востребованных проектов по ИБ, то наиболее популярны тесты на проникновение в сети АСУ ТП, анализ уязвимостей сетей, систем или кода, внедрение средств защиты информации в промышленных сетях.
Но начинают все с очевидной задачи: заказчик хочет знать, насколько уязвима его организация и в каком месте с наибольшей вероятностью эта уязвимость будет проявляться. Ну и, конечно, выполнить требования регуляторов, в первую очередь — ФСТЭК, а для кого-то — других ведомств или внутренних распоряжений.
В чём состоят особенности обеспечения информационной безопасности объектов КИИ?
И. Р.: Особенности — в масштабе потенциальной опасности последствий вторжения в системы таких предприятий, в потенциальном ущербе, который может стать реальным при аварийной ситуации или приостановлении работы.
Именно высокие риски и уровень значимости объектов стали поводом для принятия 26 июня 2017 года закона № 187-ФЗ о безопасности КИИ, который направлен прежде всего на мониторинг и предотвращение нелегитимной активности в сети предприятия и на недопущение захвата управления злоумышленниками.
Процесс по защите КИИ — не только непростой, но и небыстрый. С начала работы закона идёт структурированная работа по категорированию. Каждая категория нуждается в разной степени защиты, так как несёт разные степени риска. После присвоения категории данные направляются во ФСТЭК. От момента определения категории объекта до начала работ по ЗОКИИ проходит зачастую не один год. Соответственно, решения, которые закладывались в начале проекта, претерпевают изменения, так как продукты защиты развиваются, появляются новые. Меняются должностные лица, специалисты, не все помнят, почему первоначально принимались те или иные принципиальные решения.
Для многих отраслей можно отметить и такую ситуацию, что в эксплуатации находится так называемая унаследованная инфраструктура — это когда мало кто помнит, как внедрялась какая-то система АСУ ТП. Она работает со времён чуть ли не СССР, работает без сбоев, и трогать её никто не хочет. Там стоит старый компьютер, который не обновляется, и доступа к нему из сети никогда не было. Решение по защите такого «уязвимого» сегмента — это серьёзная головная боль ИБ.
Или даже очень современное оборудование, но установлено оно в ходе крупного проекта зарубежным вендором, и в договоре технической поддержки чётко написано: «тронете — гарантию снимаем». Вот и задумываются — защищать или не защищать, как бы не стало хуже…
Надо отметить, что ещё недавно мировые лидеры — производители технологического оборудования не закладывали в свои решения компонент ИБ. Сегодня у них у всех есть собственные концепции и решения по информационной безопасности, но и время изменилось, — теперь есть обязательные требования ФСТЭК и 187-ФЗ, реестр российского ПО, требования по применению сертифицированных продуктов и ещё много интересного.
В то же время на предприятиях действуют целые подразделения по цифровизации, стартуют проекты по накоплению и анализу данных — все они требуют прямого доступа к информации о производстве и технологиях. Кроме того, усложнились современные АСУ ТП и взаимодействие их со смежными системами: инсталляции и хранение данных осуществляются на виртуализированных ресурсах, в катастрофоустойчивых серверных группах, в сочетании с облачными технологиями. И это опять в конечном итоге усложняет эксплуатацию и ложится на плечи департамента ИБ.
Поэтому ИБ-директора нуждаются в помощи нас как подрядчика — и на уровне «просто проконсультироваться», и на уровне выполнения сложных проектов по защите.
А какие инновационные решения существуют для промышленного сектора?
И. Р.: Набор продуктов, который формируется при защите объектов КИИ, достаточно стандартен: это — антивирусы, перестройка сетей, выделение демилитаризованных зон. Далее — расширенное меню; это — системы контроля привилегированных пользователей, защита виртуализации, системы мониторинга событий и так далее. И независимо от категории КИИ многие заказчики хотят получить современную систему обнаружения вторжений для промышленных сетей.
Мы как интегратор предлагаем несколько решений, используя как собственные, так и лучшие зарубежные и российские продукты и наработки по кибербезопасности. Но если говорить про реальные кейсы и инновационный подход, то можно привести в пример Kaspersky Industrial CyberSecurity (KICS) for Networks.
KICS for Networks — это система обнаружения вторжений, которая выявляет потенциально враждебные действия в промышленной сети. Это — обучаемый сенсор или их набор (отметим особенно слово «обучаемый»), который знает карту своей сети и все разрешённые и запрещённые для устройств сети операции.
Таким образом обнаруживаются либо кибератаки, либо нелегитимные действия в промышленных сетях и — как высшее проявление разума — предаварийные ситуации на технологическом оборудовании.
Если говорить о продукте в сравнении с другими такими же из этой линейки, то многие параметры схожи. Но «Лаборатория Касперского» двигает свою систему на передовые позиции в том плане, что она не только разбирает промышленные протоколы, строит карты промышленных сетей и анализирует уязвимости, но и имеет встроенный инструментарий с целью контроля значений технологических параметров. Более того, это программное обеспечение может использовать методики машинного обучения. Если лично от себя, то меня радует, что достаточно хорошо система справляется с обработкой больших объёмов данных, хотя лучше всё-таки использовать SSD-диски.
Широкий функционал и создаваемая узнаваемым российским вендором экосистема программной среды, включающая в том числе русскоговорящую поддержку и близость разработчиков, настойчиво стимулируют заинтересованных лиц использовать эту систему. Если у заказчика есть антивирус и KSC — логично подумать о [KICS for] Networks. Далее в иерархии ИБ, если мы получили и обработали тревожное сообщение и доказали его важность в SIEM-системе, то логична его передача дальше в SOC и ГосСОПКА.
Можно ли использовать KICS for Networks в корпоративном сегменте или эта система — только для промышленности? Что там есть особенного?
И. Р.: [KICS for] Networks мог бы работать и в корпоративном сегменте, но это — скорее вопрос стоимости решения, позиционирования продуктов и общей архитектуры. Предназначен продукт всё-таки в первую очередь именно для промышленного сегмента сети предприятия. Кроме того, на рынке есть системы класса, например, NDR, которые тоже позиционируют себя как умные сенсоры с функционалом понимания ICS (Industrial Control Systems — сети АСУ ТП или промышленные сети. — Прим. ред.) и SCADA.
Если посмотреть на зарубежные решения, то там видно, что рынок промышленных СОВ отвечает требованиям заказчиков и зачастую интегрируется с инвентаризационными и специализированными мониторинговыми системами. В KICS for Networks инвентаризация устройств (assets) также присутствует, хотя принцип и технология сбора данных — собственные. Мониторинг — само собой.
Использовать технологии машинного обучения для анализа данных — чрезвычайно прогрессивно, так как события в сети могут измеряться миллионами.
Это аналогично «сырым» данным в ИТ. Если мы принимаем все правила — есть опасность пропустить уязвимость. Если не принимаем, то тонем в количестве информации, которое на постоянной основе не может обработать человек. Нужна машина, точнее — AI и / или ML. У KICS [for Networks] есть платформа MLAD (Machine Learning for Anomaly Detection), хотя, по правде сказать, в реальных проектах пока хватает с лихвой и уже имеющегося функционала и интеллекта.
Если говорить об интеллекте, то хотелось бы отметить, что KICS for Networks регистрирует события по одной из следующих технологий: DPI, NIC, IDS, CC, EXT, AM.
Контроль технологического процесса (DPI) — по этой технологии регистрируются события, связанные с нарушениями технологического процесса (например, событие при превышении заданного значения температуры).
Контроль целостности сети (NIC) — по этой технологии регистрируются события, связанные с целостностью промышленной сети или с безопасностью взаимодействий (например, событие при обнаружении взаимодействия устройств в промышленной сети по новому для этих устройств протоколу).
Обнаружение вторжений (IDS) — по этой технологии регистрируются события, связанные с обнаружением в трафике аномалий, которые являются признаками атак (например, событие при обнаружении признаков ARP-спуфинга).
Контроль системных команд (CC) — по этой технологии регистрируются события, связанные с обнаружением в трафике системных команд для устройств (например, событие при обнаружении неразрешённой системной команды).
Внешние системы (EXT) — к этой технологии относятся инциденты, а также события, которые поступают в [KICS for] Networks от внешних систем, в том числе с использованием методов KICS API.
Контроль устройств (AM) — по этой технологии регистрируются события, связанные с обнаружением в трафике информации об устройствах (например, событие при обнаружении нового IP-адреса у устройства).
Кроме того, система имеет функционал по обнаружению паролей по умолчанию при подключении к устройствам и системам АСУ ТП. Простая, но для ИБ — важная штука.
Эффективная ИБ-система, конечно, должна иметь свежие обновления, и поэтому в KICS for Networks предусмотрена возможность обновления баз и программных модулей, системных правил обнаружения вторжений, правил получения сведений об устройствах и протоколах взаимодействий, правил корреляции событий для регистрации инцидентов, модулей обработки протоколов прикладного уровня для контроля технологического процесса.
Что, по вашему мнению, определяет уровень защищённости предприятия: используемые продукты, компетенции сотрудников, реализованные стандарты, нормативные акты?
И. Р.: Всё перечисленное определяет уровень информационной безопасности на предприятии, но, на мой взгляд, одно из главных условий — создание корпоративной культуры информационной безопасности, доведение до всех сотрудников требований по информационной безопасности. Необходимо добиться понимания того, что от действий каждого сотрудника зависит, будет ли этот бизнес существовать и развиваться завтра, будет ли работать информационная система или «ляжет» после первой же атаки компьютерных хулиганов.
В каком направлении планирует развиваться ваша компания в области защиты промышленных систем? Как будет совершенствоваться ассортимент используемых вами продуктов, развиваться партнёрская политика?
И. Р.: По сообщениям аналитических отчётов, число инцидентов по информационной безопасности в мире увеличилось в 2020 году на 30 % за счёт именно действий злоумышленников в промышленных сетях (ICS). Поэтому защита промышленных систем — это, безусловно, одно из перспективных направлений бизнеса информационной безопасности. Три года назад был создан Центр промышленной безопасности, и сегодня он уже вышел на хорошие объёмы работ. Но самое главное — нам удалось создать коллектив единомышленников, которые способны решать любые задачи в сложных организационных производственных условиях.
Мы делаем большие инвестиции в нашу тестовую базу: сегодня у нас в компании — более 150 стендов, на которых можно смоделировать ситуацию, инцидент, тестовую среду для отработки задач по проекту. Наша команда ориентируется на весомое партнёрство с производителями технологий и программного обеспечения АСУ ТП, знакомится с интересными технологическими трендами и бизнес-проектами в реальном производстве. Также мы, безусловно, стараемся обладать знаниями по лучшим мировым практикам и продуктам области ICS Security.
Спасибо!