На базе опыта компании «К2 Кибербезопасность» выделим практические рекомендации по построению защиты КИИ на примере промышленных АСУ ТП и других информационных систем, подпадающих под закон № 187-ФЗ.
- Введение
- Типичные сложности на предприятии
- Ускорение внедрения СЗИ
- 3.1. Управление
- 3.1.1. Ответственные лица
- 3.1.2. Работа с персоналом
- 3.2. Техническая часть
- 3.1. Управление
- Выводы
Введение
Последние годы мы все наблюдаем активную эволюцию киберпространства в ответ на глобальные вызовы. Основными триггерами развития в сфере обеспечения информационной безопасности стали пандемия COVID-19 и геополитическая поляризация.
Уход западных вендоров с рынка РФ в феврале 2022 года продемонстрировал как слабые, так и сильные стороны киберпродуктов российских поставщиков, выдвинув на первый план проблемы в защите объектов КИИ (критической информационной инфраструктуры).
Изданные в марте 2022 г. указы Президента РФ № 166 и № 250 расширили требования по защите КИИ, которые описаны в федеральном законе № 187-ФЗ. Проведённое совместно с компанией «К2 Кибербезопасность» исследование показало, что именно эти указы для многих компаний стали стимулом к началу проектов по приведению деятельности в соответствие с законом.
Текущее состояние сферы безопасности КИИ в России таково: 90 % компаний приступили к выполнению требований 187-ФЗ, но только 8 % из них уже завершили построение системы защиты. Из основных трудностей в реализации проектов — подбор отечественного ПО и оборудования, трактовка формулировок в законе, а также организационные вопросы и аудит.
Рисунок 1. Основные трудности при внедрении защиты КИИ
В этой публикации затронем техническую сторону и выделим практические рекомендации для построения защиты АСУ ТП и любых информационных систем, подпадающих под 187-ФЗ. Рекомендации основаны на реальном опыте компаний, принимавших участие в исследовании, и практической экспертизе специалистов «К2 Кибербезопасности» в защите значимых объектов КИИ.
Начнём с рекомендаций, которые могут помочь преодолеть наиболее распространённые проблемы, возникающие как на старте, так и в ходе работ по интеграции механизмов защиты.
Типичные сложности на предприятии
Организация защищённой сетевой инфраструктуры
Организационные проблемы прежде всего связаны с нехваткой данных об ИТ-инфраструктуре предприятия. Это может быть устаревшая или неполная информация, которая получена при обследовании специалистом-исполнителем. При этом важно собрать сведения не только об объектах АСУ ТП, но также о смежных системах и о готовности инженерной инфраструктуры.
Этот процесс рекомендуется проводить совместно. Заказчик лучше знает отраслевые особенности и план предприятия, а обследование подрядчиком позволяет увидеть то, что упускает заказчик в контексте плана предстоящих работ. Например, в помещении серверной может быть не предусмотрено дополнительное пространство в серверных шкафах под новое оборудование или не обеспечено надлежащее охлаждение для поддержания температурного режима эксплуатации. Чем больше исходных данных об ИТ-системе предприятия известно, тем меньше сроки исполнения проекта и выше уровень защищённости в результате.
Перед стартом работ особенно важно уделить внимание сети предприятия и собрать сведения о её структуре и объектах.
Сетевая сегментация
Внедрение АСУ ТП в сеть предприятия зачастую происходит хаотично, без учёта требований по информационной безопасности. Поэтому рекомендуется тщательно исследовать сетевое оборудование и топологию, чтобы разделить корпоративную и технологическую сети с учётом категорирования АСУ ТП. Сегментация позволяет отделить значимые объекты от остальных, это существенно облегчает работу в построении защиты и последующую эксплуатацию. В случае когда перепроектирование сети невозможно, менее значимые сетевые объекты приходится защищать по более высокому классу, что требует дополнительных расходов.
Важно отметить, что безопасное дистанционное взаимодействие персонала с АСУ ТП возможно с только учётом выполнения требований приказов ФСТЭК России № 239, 35 и 75. Рекомендуется открывать удалённый доступ к сети значимых объектов КИИ лишь в самых крайних случаях.
Неготовность инфраструктуры ко внедрению СЗИ
Промышленные предприятия могут занимать огромные площади, иметь множество филиалов, изолированные сегменты сети, использовать устаревшее оборудование и т. д. Иногда в шкафах не хватает места для средств защиты, питания или охлаждения. Все эти нюансы необходимо выявить при обследовании инженерной инфраструктуры и учесть в смете. В неё нужно заложить все необходимые материалы: устройства, кабель, стойки, инструмент. Это экономит время в последующей работе и оптимизирует расходы уже на этапе комплексного проектирования.
Проблемы совместимости средств защиты и компонентов АСУ ТП
Совместимость СЗИ с компонентами АСУ ТП всегда подтверждается сертификатами вендора, которые находятся в открытом доступе. Если они отсутствуют, то поставщику СЗИ направляется запрос на предмет проведения соответствующих тестов. Вендоры АСУ ТП также могут поддерживать поставляемое оборудование и по запросу помогать обеспечивать надлежащую совместимость с СЗИ.
Другие пути — воспользоваться тестовым стендом или провести предварительные тесты на некритических мощностях предприятия. Эта рекомендация подходит и для того, чтобы определить совместимость с СЗИ и оценить риски отказа применительно к устаревшим компонентам АСУ ТП, которые уже не поддерживаются производителями.
Обновления версий СЗИ также могут влиять на функционирование автоматических промышленных систем. Все обновления рекомендуется устанавливать только после проверки на резервных серверах или тестовом стенде.
Производительность АСУ ТП
В АСУ ТП зачастую используются устаревшие АРМ или серверы. Когда на компоненты АСУ ТП ложится дополнительная нагрузка в виде средств защиты, возникает риск перегрузки и отказа. Эти компоненты могут работать на пределе возможностей, что снижает производительность, увеличивая время отклика и вероятность отказа.
Если возможность повысить производительность «железа» путём замены комплектующих на более современные отсутствует, рекомендуется оптимизировать конфигурацию СЗИ более гибко, настроив только базовые функции защиты и отключив другие. Например, если речь идёт об антивирусе, то глубокое сканирование системы может происходить в рамках технологического окна, когда проводится технико-механическое обслуживание АСУ ТП, или во время внепланового останова.
Функционирование АСУ ТП после установки СЗИ
При наличии стенда, который полностью эмулирует работу АСУ ТП, можно провести полнофункциональное тестирование совместимости СЗИ. Это позволяет снизить риск возникновения сбоев в работе оборудования после внедрения СЗИ: падения производительности, возникновения ошибок ПО, «синих экранов» ОС и т. д.
В любом случае всегда рекомендуется разграничивать во времени и отслеживать строгий порядок установки обновлений и программных средств, чтобы понимать, после каких действий начались отказы.
Ускорение внедрения СЗИ
Исследование также показало, что каждая пятая компания не успевает реализовать проект по приведению своей деятельности к требованиям законодательства к 2025 году. Выделим оптимальные пути ускорения.
Управление
Ответственные лица
Зачастую на производственных площадках персонал АСУ ТП не знает о задаче внедрения средств защиты в инфраструктуру предприятия или считает, что к ним это не относится. На самом старте проекта, когда есть понимание сроков начала работ, руководству отдела ИБ нужно проинформировать о предстоящих работах всех управленцев на предприятии и наладить с ними взаимоотношения. Также важно подключить к проекту все необходимые департаменты и назначить в каждом из них ответственных за внедрение — для оперативного решения вопросов на всех этапах выполнения работ.
Работа с персоналом
Важный момент — взаимодействие с персоналом АСУ ТП. Персонал зачастую опасается за работоспособность АСУ ТП после установки средств защиты и может пытаться различными способами отдалить момент сдачи работ.
Рекомендуется продемонстрировать полную безопасность СЗИ на практике. Можно воспользоваться виртуальным демостендом или запустить СЗИ на тестовом оборудовании. При использовании СЗИ с сертификатом совместимости вендора риски возникновения сбоев в работе минимальны. Живая демонстрация снимает все опасения сотрудников, упрощает дальнейшее взаимодействие и позволяет провести внедрение по плану.
Также будет полезным объявить персоналу АСУ ТП на предприятии об отсутствии каких-либо административных наказаний в случае обнаружения вредоносных программ, которые часто детектируются при первом сканировании промышленной системы. Важно донести до персонала, что СЗИ помогает и защищает, а не создаёт проблемы в работе.
Техническая часть
Ошибки в конфигурации
Человеческий фактор также учитывается, никто не застрахован от ошибки. Поэтому перед любыми работами рекомендуется выполнить резервное копирование образов жёстких дисков АРМ и серверов АСУ ТП с загрузочными областями. В случае некорректной работы всегда можно восстановить стабильную конфигурацию системы. Наличие копии также помогает успокоить персонал АСУ ТП.
Здесь же необходимо учесть и технический риск, когда функционирующее годами оборудование перестаёт работать в процессе перезагрузки, настройки ОС и при установке средств защиты: сгорает плата, не запускается ОС и т. д. Важно заблаговременно подготовить минимальный набор запчастей для замены комплектующих. Всё это должно учитываться в смете после изучения объекта и при разработке плана внедрения.
Дефицит технологических окон
Самые массивные работы по интеграции АСУ ТП и СЗИ часто проводятся в технологических окнах. Это может лечь дополнительной нагрузкой на персонал АСУ ТП, который работает в условиях дефицита времени при техобслуживании. В случае СЗИ рекомендуется использовать время за пределами технологического окна. Например, адаптированный под АСУ ТП антивирус может быть установлен в состоянии полноценной работы оборудования, что никак не влияет на функционирование промышленной системы (не требуется перезагрузка, нет риска остановки техпроцесса и т. д.).
Конфигурационные настройки и индивидуализация
В случае полностью изолированной системы АСУ ТП при массовом внедрении СЗИ с идентичными настройками рекомендуется применять конфигурационные файлы. Это экономит время на начальном этапе работ, когда сервер управления и обновления внутри периметра сети ещё не запущен и не подключён к данному сегменту.
С автоматизацией настроек следует быть осторожным в случае наличия критических систем. АСУ ТП образовывает обширный парк ОС, который включает в себя устаревшие и неподдерживаемые ОС, а также индивидуализированные инсталляции под самые разные SCADA. Поэтому рекомендуется соблюдать баланс между автоматизацией и настройками в ручном режиме при массовых инсталляциях.
Блокировка трафика при передаче
При установке межсетевого экрана «в разрыв» между корпоративной и технологической сетью часто возникают блокировки ранее незадекларированного трафика. Рекомендуется не торопиться и взять паузу в две недели для мониторинга сети и выявления ранее неизвестных потоков трафика. Также важно учитывать риск наличия в сети тех устройств АСУ ТП, о которых забыли или которые остались незамеченными.
Проводить установку межсетевых экранов следует строго в рамках технологических окон. Также рекомендуется применять правила «разрешить всё» для выявления всех сетевых взаимодействий на периметре, которые не были указаны ранее.
Выводы
Технические и управленческие особенности защиты КИИ выделены в рекомендации, которые основаны на практическом опыте компании «К2 Кибербезопасность». Рекомендации формируют оптимальный путь построения защиты АСУ ТП и других информационных систем, подпадающих под действие 187-ФЗ.
Из основных сложностей выделяются сбор данных об объекте, когда требуется тщательная совместная работа заказчика и исполнителя, а также оценка готовности инфраструктуры предприятия ко внедрению нового ПО и оборудования.
При любых работах с АСУ ТП важно иметь под рукой резервную копию. При массовых инсталляциях СЗИ полезны конфигурационные файлы и предварительное тестирование взаимодействия ПО и промышленной системы в случае отсутствия сертификата совместимости.
Информирование сотрудников о предстоящих работах и взаимодействие с персоналом предприятия также помогают ускорить внедрение защитных механизмов.
Компаниям и подрядчикам, которые приступили к выполнению требований 187-ФЗ, данные практические рекомендации будут крайне полезны и помогут сэкономить значительные ресурсы и время.