Как выбрать средства обеспечения кибербезопасности КИИ, учитывая быструю цифровизацию промышленности и строгие требования российских регуляторов
Кибербезопасность промышленности
Учитывая ускоряющиеся темпы цифровизации на предприятиях, имеющих объекты КИИ, интеграцию IT и OT контуров, а также растущее количество кибератак, многие специалисты по ИБ АСУ ТП столкнулись с необходимостью выбора «наложенных» — внешних по отношению к АСУ ТП — средств защиты информации, чтобы обеспечить безопасность систем, процессов и данных. Дело осложняется тем, что курс на импортозамещение вносит коррективы на этапе выбора поставщиков, а разрозненность информации о современных отечественных решениях зачастую оставляет специалистов в состоянии неопределенности и сомнений. Поговорим о конкретных подходах к защите информации в АСУТП и примерах реализации такой защиты с экспертами по ИБ АСУ ТП ГК InfoWatch.
Мощный скачок в развитии технологий по обеспечению кибербезопасности АСУ ТП в России произошел после того, как была создана нормативно-правовая база, регулирующая безопасность КИИ (Критической Информационной Инфраструктуры). Законом № 187-ФЗ о КИИ определены 12 сфер деятельности, субъекты которых обязаны провести категорирование своих объектов КИИ и создать соответствующие системы безопасности в соответствии с требованиями регуляторов (в т.ч. ФСТЭК России), которые отражены в Приказах № 235 и № 239. Большинство компаний уже прошли этап категорирования и перешли к созданию систем безопасности. Это значит, что в ближайшее время у заказчиков прибавится еще одна «головная боль» — вопрос выбора СЗИ, из которых будет состоять система ИБ АСУ ТП.
Насколько грамотно будет сделан этот выбор, зависит от двух факторов влияния. Первый и очевидный — это соответствие СЗИ требованиям регуляторов. Второй фактор, более неоднозначный, это понимание реального положения вещей с ИБ АСУТП в вашей организации. Мы все наслышаны, что киберугрозы становятся все ближе к промышленным и инфраструктурным объектам. Все знаем цифры из глобальных исследований про то, что более 70% уязвимостей АСУ ТП могут эксплуатироваться удаленно и анонимно, а площадь современных атак намного больше, чем когда-либо, и продолжает расти вместе с распространением Индустрии 4.0 и IIoT. При этом большинство из нас сходится во мнении, что человеческий фактор является основным риском при оценке угроз. Действительно, успешно атаковать эшелонированную защиту — дело сложное и затратное, а вот добраться до незадачливого сотрудника с зараженной флешкой или фишинговым письмом — пустяк. При таких вводных становится очевидно, от полноты картины, которую нам обещает внедрение очередного СЗИ, зависит эффективность той защиты, которую мы строим.
Отсюда подход, которого придерживаются в InfoWatch при разработке решений для ИБ АСУТП: создание эшелонированной защиты с возможностью видеть картину целиком, опираясь на данные из разных промышленных систем, контроллеров, устройств.
Обратная связь, которая поступает в ГК InfoWatch от заказчиков, практически в 80% случаев свидетельствует о том, что встроенные системы кибербезопасности АСУ ТП не дают достаточного уровня защиты. И тогда в ход идут «наложенные» средства, характерные для традиционной ИТ-инфраструктуры, которые далеко не всегда в состоянии учитывать специфику систем АСУ ТП. «Мы видим, что количество специализированных СЗИ от разных вендоров на предприятиях растет, при этом они устанавливаются точечно и часто слабо интегрированы между собой.
Понимая, что создание эшелонированной защиты требует серьезной работы по централизации управления всеми системами, мы разрабатываем систему кибербезопасности InfoWatch ARMA c учетом фактора стоимости владения. Единая система InfoWatch ARMA, продукты которой интегрированы между собой, собирает и обрабатывает данные со всех СЗИ, позволяет сократить время и затраты на внедрение, повысить скорость обнаружения угрозы и расследования инцидента, да еще и закрыть до 90% технических требований ФСТЭК России», — комментирует Игорь Душа, директор по развитию продуктов ИБ АСУ ТП InfoWatch ARMA.
Для построения эшелонированной защиты, во-первых, необходимо поставить под контроль те участки сети, где коммуникации АСУ ТП выходят в корпоративную сеть или за пределы контролируемой зоны: на границе с корпоративным сегментом, при подключении технической поддержки, на участке сети между обособленными и смежными АСУ ТП, между SCADA и ПЛК. С этим справляется InfoWatch ARMA Industrial Firewall, способный своевременно обнаружить и блокировать атаки на промышленные сети, а также защищать от несанкционированного доступа (соответствует требованиям № 187-ФЗ и ФСТЭК России № 239, проходит сертификацию как МСЭ по типу «Д» и 4 классу защиты). Применение InfoWatch ARMA Industrial Firewall значительно расширяет видимость промышленной сети за счет глубокой инспекции промышленных протоколов (Modbus TCP, Modbus TCP x90 func. Code (UMAS), OPC UA, OPC DA, IEC 60870 5 104, IEC 61850-8-1 MMS, IEC 61850-8-1 GOOSE, S7 Communication и др.) на основе содержания пакетов трафика, а не только номера порта. Основной эффект, который дает такая полнота данных, — это сокращение времени, которое уходит на обнаружение угроз.
Во-вторых, практика применения СЗИ в АСУ ТП показывает, что самого факта обнаружения вторжений недостаточно, необходим инструмент реагирования. InfoWatch ARMA Industrial Firewall обладает встроенной системой обнаружения и предупреждения вторжений (СОВ), позволяющей заблокировать угрозу и ее источник в автоматическом режиме. Реагирование происходит только по заранее согласованным сценариям со службой АСУ ТП. InfoWatch ARMA содержит одну из самых больших в стране баз решающих правил СОВ для АСУ ТП и обновляется ежедневно.
В-третьих, невозможно представить эшелонированный подход без защиты промышленных рабочих станций и серверов SCADA, поэтому в систему входит InfoWatch ARMA Industrial Endpoint. Позволяет контролировать подключение съемных носителей и запуск приложений, целостность ПО рабочих станций и серверов, а также создает безопасную замкнутую среду, в которой не позволяет исполнять вредоносное ПО.
И наконец, возвращаясь к полноте картины происходящего. Для своевременного обнаружения вторжений важно получать данные со всех СЗИ в едином интерфейсе, а также централизованно расследовать инциденты и автоматизированно управлять всеми активами АСУ ТП, в том числе СЗИ от других вендоров. Для этого была разработана InfoWatch ARMA Management Console, которая автоматически формирует правило блокировки и настраивает по нему одновременно все средства защиты, как только получает информацию об атаке и ее источнике. А также позволяет централизованно управлять обновлениями всех продуктов системы InfoWatch ARMA.
Таким образом, продемонстрирован пример системного подхода к построению эшелонированной защиты, которая в состоянии защитить АСУ ТП от современных угроз и при этом выстроена в соответствии с требованиями ФСТЭК РФ. Рекомендации в качестве следующего шага — это тестирование работы системы на вашем объекте. InfoWatch всегда выступает за то, что только работа на реальных, пусть и ограниченных на этапе пилотного проекта, данных поможет убедиться, насколько эффективно технологии отрабатывают задачи заказчиков. У современных систем кибербезопаности , к которым относится InfoWatch ARMA, предусмотрены удобные способы тестирования, разработаны методики и экспертное сопровождение, а значит, заказчик тратит минимальные ресурсы со своей стороны, при этом на выходе получает конкретный результат, позволяющий усилить контроль и предпринять оперативные действия по защите своей АСУ ТП.