Количество хорошо подготовленных целевых кибератак на критическую информационную инфраструктуру предприятий и целых городов в разных странах растёт с каждым годом. Причём в некоторых случаях пострадавшие объекты КИИ даже не имели выхода в интернет. По мнению специалистов от кибербезопасности, выбор цели, задействованные ресурсы, подбор методов, уровень подготовки и действий в целом может говорить о том, что та или иная хакерская группировка, стоящая за каждой высококлассной атакой, работает на ту или иную иностранную спецслужбу.
В России, как всегда, «долго запрягают». ФЗ-187 о безопасности КИИ на фоне вышеупомянутого выглядит запоздалым и долго исполняемым. Конечно, во многом по объективным причинам… и это лучшее, что у нас сейчас есть. Без системной масштабной работы по организации кибер (и не только) безопасности защитить КИИ любого масштаба невозможно. Здесь уровень ответственности для крупной организации, субъекта КИИ, перед клиентами и государством — необходимый стимул к кибертрансформации.
Но важнее не угроза наказания, и не буква закона, а его дух — все те причины и их последствия, которые заставили государство обратить самое пристальное внимание на безопасность в глобальной информационной сфере. Со своей стороны, важное решение уровня государства — появление и исполнение закона о «суверенном интернете». Следующий закономерный шаг — безопасность стратегических узлов страны.
Любое предприятие имеющее некритическую информационную инфраструктуру тоже рискует, возможно, только своим бизнесом. Но разве этого мало? Какое решение принять среднему и малому бизнесу, не имеющему часто нескольких миллионов на необходимые масштабные мероприятия по защите своей информационной инфраструктуры, и чья работа невозможна сегодня без интернета?
Немного статистики
Громкие атаки происходят в мире практически ежемесячно. В первом полугодии 2020 года была нарушена работа заводов Picanol Group в Бельгии, Румынии и Китае — 2,3 тыс. сотрудников остались без работы. Произошли целевые успешные атаки на промышленность Азербайджана, португальскую энергетическую компанию EDP, на металлургический концерн BlueScope в Австралии, на бразильскую энергокомпанию Light S.A.… В начале 2021 года во Флориде хакеры пытались отравить систему водоснабжения, воспользовавшись дырой в кибербезопасности.
Всё это только некоторые примеры. В России тоже далеко не спокойно. Крупные компании периодически сообщают об утечках баз данных пользователей, или в их информационной структуре находят дыры. Не так давно в очередной раз состоялось этичное проникновение во внутреннюю сеть ОАО РЖД. В результате выявлен доступ к большому количеству камер видеонаблюдения на объектах предприятий РЖД, найдено множество сетевых устройств с заводскими паролями и многое другое. После этого в компании задумались о механизме привлечения внешних пользователей к аудиту уязвимостей сети.
Евгений Касперский (Лаборатория Касперского) сообщил, что активность хакеров во время пандемии возросла примерно на 20—25%. Во многом это связано с переходом сотрудников разных компаний на удалённую работу.
Из исследований уязвимостей, имеющихся в технологических системах (отчёт IBM X-Force Incident Response and Intelligence Services (IRIS) за 2019 год) следует, что 65% из них имеют высокую степень риска, 82% могут эксплуатироваться удалённо и анонимно, а 90% не требуют специальных знаний и навыков для вторжения в производственные системы.
Летом 2019 года Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky ICS CERT) зафиксировал очередную затронувшую большое количество промышленных предприятий волну рассылок фишинговых писем для взлома средств удалённого доступа RMS и TeamViewer. В атаках использовались приёмы социальной инженерии и легитимные документы, такие, как служебные записки и документы с настройками оборудования или другой информацией о технологическом процессе.
Наталья Касперская (InfoWatch), ссылаясь на данные Международной системы оценки уязвимостей CVSS (Common Vulnerability Scoring System), рассказала, что в 2020 году признаны опасными 53% всех выявленных уязвимостей. В АСУ ТП за первые шесть месяцев 2020 года обнаружено 365 новых уязвимостей, отмечен 10%-ый рост в сравнении с первым полугодием 2019 года. «В оборонном бюджете США 2020 года инвестиции в кибербезопасность составляют 9,6 млрд долларов, из которых 3,7 млрд предназначены для киберопераций. Зарубежное вредоносное ПО размещается в отечественных системах для «сдерживания» России».
Компания «Ростелеком-Солар» привела для «Ъ» следующие данные: за январь—ноябрь 2020 года зафиксировано более 200 профессиональных хакерских атак на российские компании. Это вдвое больше, чем за весь 2019 год. В том числе 30 атак совершили группировки наиболее высокого уровня, работающие, как считают в «Ростелекоме», на иностранные государства. Чаще всего мишенью киберпреступников становились объекты КИИ: военные объекты, банки, предприятия атомной промышленности, объекты здравоохранения, электроснабжения, госструктуры. В компании также поясняют, что хакеры находят в софте российских объектов КИИ так называемые уязвимости нулевого дня, о которых неизвестно самим разработчикам ПО. Затем киберпреступники пытаются взломать почтовые серверы и компьютеры руководителей организаций. Такая тактика хакеров была зафиксирована в 85% случаев.
Спецслужбы США и Украины пытаются найти уязвимости в информационной инфраструктуре Крыма, чтобы нарушить её работу, не так давно заявил секретарь Совета безопасности РФ Николай Патрушев.
В.В. Путин на расширенной коллегии ФСБ, проходившей 24 февраля 2021 года, сообщил, что число наиболее опасных атак на российские информационные порталы, включая ресурсы органов власти и управления, выросло почти в 3,5 раза.
Власти США намерены провести серию кибератак на внутренние системы российских властей, как писали различные СМИ.
ФЗ-187 о безопасности КИИ РФ
В России ранее было создано несколько законов, призванных обеспечить защиту персональных данных граждан, коммерческой и государственной тайны, безопасность операций «онлайн» с помощью электронной подписи. Эти законы определяют понятия, термины, в них распределена ответственность между лицами и организациями. А в 2018 году появился ФЗ №187, цель которого — обеспечить защиту информационной инфраструктуры предприятий, чья деятельность является критически важной для нашего государства.
Судя по всему, на сегодняшний день этап категорирования благополучно завершён существенным числом субъектов КИИ. За 2020 год в 2 раза увеличилось количество субъектов КИИ, подавших перечни ОКИИ, в 4,5 раза выросло количество ЗОКИИ. Вместе с этим ФСТЭК констатирует, что усиливается тенденция на занижение субъектами КИИ показателей значимости. В обосновании, обычно, защитная роль в непредвиденных ситуациях отводится дублирующим мерам предотвращения компьютерных инцидентов, не подверженных компьютерным атакам (противоаварийная автоматика, предохранительные клапана и т.д.). Но сегодня этого уже не всегда достаточно.
Практика применения ФЗ-187 показывает объективные трудности в этом процессе. В компаниях часто больше озабочены «бумажной безопасностью», чем проведением реальных мероприятий. В конце января 2021 года ГД РФ приняла в первом чтении законопроект о штрафах за нарушение требований безопасности КИИ. Максимальный штраф в 100 тыс. рублей вводится за нарушение требований к созданию систем безопасности значимых объектов КИИ. Но на проведение всех мероприятий по защите КИИ в некоторых случаях могут потребоваться миллионы рублей, что доступно не всем организациям.
Остро стоит вопрос и с импортозамещением. Несмотря на громкие случаи удалённого отключения оборудования, как, например, отключение в 2008 году используемых в ОПК станков иностранного производства с числовым программным управлением, на российских промышленных предприятиях превалирует оборудование и ПО зарубежного производства. Подавляющее большинство средств защиты информации также иностранные. Сроки перехода на отечественное оборудование и ПО периодически переносятся.
Кадры решают всё. ФСТЭК настаивает на том, чтобы на предприятиях были назначены отдельные работники, ответственные за обеспечение безопасности объектов КИИ, не совмещающие свои обязанности с другими обязанностями, что означает дополнительную нагрузку на организацию. С другой стороны, специалисты по безопасности могут быть перегружены неавтоматизированным расследованием инцидентов, ложными срабатываниями разрозненных средств защиты, большинство из которых непромышленного назначения. Либо, что хуже, вообще не заниматься этими вопросами.
Одна из главных проблем — компетенция сотрудников на местах, начиная с операторов АСУ ТП, инженеров и заканчивая специалистами по ИБ. Очень часто слабым звеном в защите инфраструктуры оказывается именно человеческий фактор — непродуманная система ответственности, «уязвимости» в организации самой КИИ. Всё, что в итоге ведёт к дырам в защите или подвержено применению методов социальной инженерии. Но иногда всё бывает ещё печальнее. Известен случай банальной отправки важной информации по электронной почте. Закрытая информация после отправки на личный почтовый ящик сохранилась в памяти облачного хранилища компании, предоставляющей бесплатный сервис электронной почты и зарегистрированной за рубежом.
Нюансов и сложностей много. Отсутствие единой методологии, централизованного управления всей системой защиты удалённых объектов, компетентных сотрудников в штате или компетентного исполнителя, барьеры разного характера на пути оперативного реагирования на вторжения и атаки — всё это на руку охотникам-одиночкам и тем более на руку организованным и хорошо подготовленным хакерским группировкам.
Что всё это значит для малого бизнеса?
В регионах своя атмосфера. Представим себе аптеку или магазин, или сеть магазинов. Компания может не входить в одну из 13 сфер деятельности, подпадающих под действие ФЗ-187. Но что если в данном регионе только у данного магазина есть сайт, пользующийся большим спросом, и любой продолжительный простой, с одной стороны, несёт значительные убытки бизнесу, с другой — лишает тысячи людей возможности получать товары и услуги в условиях пандемии?
Информационная инфраструктура подобной организации может представлять собой 1-2 сервера у иностранного хостера, сервер в офисе для 1С, несколько ПК в магазине, возможность удалённого подключения для сотрудников, администрации, сторонних разработчиков. Плюс, «разношёрстные» решения по программному обеспечению, использование иностранных сервисов CDN и защиты от DDOS атак. Очевидно, что здесь потребуется услуги специалистов и определённый стандарт качества.
Многие организации, защищая персональные данные клиентов, перенесли свои сервисы в Россию. Российские хостеры действуют в сфере связи, и попадают, в отличие от иностранных хостеров, под действие ФЗ-187 о безопасности КИИ. То есть их информационная инфраструктура является критической, соответственно, она защищена и подключена к ГосСОПКА. Есть смысл по возможности выстраивать на их базе инфраструктуру своего бизнеса.
Компании малого и среднего бизнеса, не имеющие КИИ, но стремящиеся обеспечить безопасность своей инфраструктуры, не всегда располагают достаточными средствами на полноценную защиту с последующим переходом на отечественное оборудование и ПО. В этом случае остаётся обратить внимание на OpenSource-решения, пусть пока не отечественного производства, но зарекомендовавшие себя как относительно надёжные. Особенно это востребовано для высоконагруженных проектов, требующих высокого аптайма и отказоустойчивости.
Для условного магазина или аптеки, да и в принципе для компании, ищущей безопасность, с инфраструктурой любого масштаба, архитектурное решение может содержать следующие действия.
- Максимально перенести инфраструктуру организации к одному из российских хостеров, в облако или на отдельные выделенные сервера;
- Выбор хостера с хорошим каналом связи и защитой от DDOS;
- ПО, обычно эксплуатирующиеся на офисных серверах, по возможности перенести к хостеру. Например, 1С;
- Работу сотрудников организовать с использованием терминального доступа или виртуального рабочего места (VDI). Такой подход актуален в плане безопасности в условиях удалённой работы;
- Канал VPN к ресурсам компании;
- При необходимости: репликация, кластеризация (Kubernetes), обязательно резервное копирование;
- Регулярная проверка целостности данных, контроль уязвимостей и открытых портов силами специалистов в штате или на аутсорсе.
Надёжная и грамотно выстроенная инфраструктура только полдела. Другая половина —
компетентные специалисты ИТ и ИБ на страже интересов компании, и подкованные сотрудники организации, которых тоже кто-то должен обучить.
Кто это всё будет делать?
Кто виноват — выяснили. Что делать крупному и малому бизнесу — тоже понятно.
Очень крупный бизнес с большой вероятностью подпадает под ФЗ-187, где более-менее чётко обозначены все нужные шаги. Для всех остальных бизнесов, имеющих хоть какую-то информационную структуру, требуется взрастить или нанять специалистов соответствующего профиля и уровня. Чтобы они, в свою очередь, не только произвели все необходимые защитные мероприятия, но и обучили персонал компании азам безопасности. Почти любая профессиональная защита спасует перед безграмотными, грубыми действиями сотрудника. Так называемый «человеческий фактор». Или действиями злоумышленника внутри организации. Поэтому на каждый вызов должна быть подготовлена адекватная реакция организации, как минимум в целях минимизации ущерба.
С появлением интернета бизнес изменился существенно, и эти изменения продолжаются по мере роста качества услуг связи. Бизнес продолжает меняться и вследствие возросшего «качества» и масштаба хакерских атак. Относительно недавно понятие «безопасник» было нарицательным и носило негативный оттенок, подразумевая каких-то личностей, покусившихся на наши информационные свободы. Сегодня люди понимают, что благодаря этим специалистам во многих случаях сам бизнес имеет возможность существовать, а значит, есть и возможность трудиться для сотрудников компаний. Относительно недавно понятие «аутсорсинг IT» подразумевал необоснованно высокие цены, неопределённое качество услуг и часто неадекватные IT-шные решения. Сегодня, как и во многих других сферах, аутсорсинг услуг в IT получил свои границы и стандарты.
В принципе, можно отследить тенденцию. Чем крупнее компания и сложнее бизнес, тем больше IT-решений она использует, тем больше внутренних и внешних специалистов трудится над её безопасностью. По мере уменьшения компании и по мере появления возможности удовлетворения её IT-потребностей типовыми решениями остаются задействованными либо внутренние, либо внешние специалисты. В самом простом случае это единственный IT-шник, мастер на все руки: и витую пару проложит, и офисный сервер настроит и т.п. Просто в одном случае он в штате, в другом — работает на несколько небольших организаций в регионе. На его же «плечах» лежит и вся безопасность, целиком зависящая от уровня его компетенции и используемых решений. Возможно, это не самый лучший вариант, но для многих небольших организаций — самый приемлемый.
Если ещё раз взглянуть на всё изложенное выше, становится ясно, что на многие вещи невозможно повлиять как в крупных корпорациях, так и в совсем небольших компаниях. Как вы относитесь к взломам безопасности? Считаете ли вы их сегодня привычными бизнес-рисками или фатальным провалом? Или может быть это своего рода естественный отбор среди компаний? Готовы ли вы вложить большие ресурсы, чтобы победить эту проблему? Предлагаю обсудить в комментариях.
mkovalevskyi
Власти США пресс-релизы выпускают перед хакерскими атаками? Прикольно…