Привет, Хабр! Меня зовут Марат Сафин, я эксперт по направлению безопасности объектов КИИ и АСУТП в компании К2 Кибербезопасность. Наша команда отвечает за построение комплексных систем обеспечения информационной безопасности на объектах КИИ в промышленности.

Сегодня мы вместе с моим коллегой Денисом Муруновым из компании К2Тех решили разобраться, как правильно и безопасно выстраивать ИТ-инфраструктуру промышленных объектов в условиях тотального импортозамещения.

Марат Сафин, K2 Кибербезопасность. Более восьми лет занимаюсь кибербезопасностью промышленных объектов и АСУТП. До этого пять лет внедрял и обеспечивал функционирование самих АСУТП. Считаю, что безопасность превыше всего, но готов прислушиваться к потребностям инфраструктурщиков.

Денис Мурунов, K2Тех. Более 20 лет создает надежные, производительные и эффективно управляемые ИТ-инфраструктуры. Считает, что требования со стороны безопасников зачастую добавляют сложности, усугубляют и без того непростую, ввиду импортозамещения, ситуацию. Однако, уверен, что ИБ можно и нужно подружить с ИТ-инфраструктурой.

Импортозамещение в ЗОКИИ неизбежно

Позиция специалистов по информационной безопасности обоснована: они несут ответственность за бесперебойную работу критически важных объектов как на уровне отдельных предприятий, так и в масштабах государства — ставки высоки, поэтому на них всерьез давят регуляторы, которые требуют выполнения всевозможных мер защиты и обязывают использовать отечественные решения.

Марат Сафин, ИБ: В 2022 году вышли в свет важные законы об импортозамещении программного обеспечения на объектах КИИ. С 1 января 2025 года государственным и стратегическим организациям, в том числе субъектам КИИ, запрещено использовать не только иностранные средства защиты информации производства недружественных стран, но также и вообще любое иностранное программное обеспечение на значимых объектах КИИ, включая инфраструктурное ПО:

Это совершенно логичные требования в нынешних обстоятельствах. Однако заказчикам теперь приходится очень сложно, так как времени на решение задач импортозамещения практически не осталось.

Преступление и наказание

Марат Сафин, ИБ: По некоторым экспертным оценкам, указ президента РФ №250 затрагивает более 500 тысяч российских организаций. К2 Кибербезопасность анонимно опросила около сотни ИТ и ИБ-директоров крупных предприятий и субъектов КИИ. Результаты показали: больше половины (59%) респондентов не успевают завершить переход на отечественные средства защиты к концу 2024 года.

Если сделать некоторые допущения и экстраполировать эти данные, то получается, что сотни тысяч предприятий не уложатся в установленные сроки, а значит, не выполнят требования указов. Это поднимает важный вопрос о возможных последствиях несоблюдения требований законодательства.

Понятно, что сложившейся судебной практики пока нет, но есть различные прогнозы, оценки, экспертные мнения. Если сразу отбросить вариант продления сроков импортозамещения, можно говорить о нескольких вариантах развития событий.

Первый сценарий предполагает отсутствие прямой ответственности за неисполнение отдельных указов, или, что можно будет обойтись утвержденным планом перехода на отечественное ПО до 2030 года, по аналогии с доверенными ПАК.

Второй сценарий, который допускают некоторые эксперты, предполагает уже реальную ответственность либо в рамках административной статьи 13.12 КоАП РФ с наложением штрафов на организацию и выдачу предписаний к устранению, либо даже уголовную ответственность по статье 274.1 УК РФ с максимальным сроком лишения свободы до 10 лет. И надо сказать, что в наши непростые времена вероятность применения строгих мер повышается.

По моему мнению, мы можем столкнуться правоприменением case-by-case в зависимости от того, что тот или иной конкретный субъект предпринял или не предпринял для исполнения требований указов.

Денис Мурунов, ИТ: Надеюсь, уголовная ответственность будет наступать не просто из-за несделанного, а в случае серьезных последствий?

Марат Сафин, ИБ: Если говорить об уголовной ответственности за последствия, которые наступили на значимом объекте КИИ, то, по сути, она уже есть и сейчас — в рамках статьи 274.1 УК РФ. Однако вопрос ответственности за невыполнение требований по импортозамещению находится немного в иной плоскости. Здесь будет кстати вспомнить законопроект 2014 года, согласно которому, в УК РФ вводилась статья за халатность, связанную с неисполнением или ненадлежащим исполнением указов, распоряжений и поручений Президента РФ. Поэтому мы считаем, что импортозамещение неизбежно и данную задачу нужно выполнять в любом случае.

Строим безопасную инфраструктуру ЗОКИИ

Приобретение и внедрение отечественных решений — хорошо, но важно еще и правильно их приготовить. Для результативной безопасности очень важно грамотно спроектировать архитектуру защиты значимого объекта КИИ, в том числе и в части построения его инфраструктуры.

Марат Сафин, ИБ: При построении защиты значимого объекта КИИ первое и незыблемое правило состоит в том, что обязательно нужно отделить его контур от корпоративного сегмента предприятия. Для безопасного обмена данными между промышленным и корпоративным сегментом строят демилитаризованную зону (ДМЗ). Есть много разных способов и решений, как это сделать под конкретную задачу и запросы.

Думаю, здесь все предельно ясно и вопросов не вызывает, поэтому перейдем к более интересным и, может быть, не всегда очевидным нюансам.

Важно строить для ЗОКИИ собственную независимую инфраструктуру и базовые инфраструктурные сервисы, которые будут полностью обособлены от корпоративного сегмента.

Нельзя замешивать на серверах управления СрЗИ управление защитой корпоративного и промышленного сегментов. Нельзя для критически важных объектов использовать какие-либо инфраструктурные сервисы, которые, может быть, предоставляет корпоративный сегмент. Даже для банального сервиса NTP, нужно предусматривать свою независимую спутниковую антенну (об этом мы подробнее поговорим чуть позже). С точки зрения безопасности это правильно, и делать надо именно так.

Как делать не надо и почему

Как показывает практика пентестов, компрометация корпоративного сегмента предприятия не представляет большой сложности, особенно если разрешается использовать социальную инженерию и фишинг. А кроме человеческого фактора имеется еще и множество различных технических уязвимостей.

Что не так в этой схеме? Проблема в том, что для управления СрЗИ значимого объекта используется сервер антивирусной защиты, который находится в корпоративном сегменте.

Это пример реального кейса со взломом Бахрейнской нефтяной компании ВАРСО в 2019 году. Как раз используя такую архитектурную уязвимость, злоумышленники смогли реализовать многоступенчатую атаку:

1. Проникновение в корпоративный сегмент через уязвимость периметрового криптошлюза (начало положено).

2. Эскалация привилегий и захват корпоративного контроллера домена (классика).

3. Авторизация на сервере управления АВЗ с помощью корпоративных УЗ (уже интереснее).

4. Отключение антивирусной защиты на конечных точках (ожидаемо).

5. Использование базового функционала сервера управления АВЗ для распространения ВПО на конечные точки в сети, в т.ч. в промышленном сегменте и уничтожение данных (в яблочко!).

Этот инцидент с точки зрения обывателя возможно не укладывается в голове — как же так, сервер управления антивирусной защиты был использован для распространения вредоносной нагрузки! А с точки зрения безопасника это вполне себе реальная угроза, от которой тоже нужно защищаться.

Денис Мурунов, ИТ: Думаю, что в момент настройки для них это выглядело как удачное решение с точки зрения удобства, минимизации затрат и единства средств управления инфраструктурой, хотя так делать все-таки не надо. Это доказала практика.

Платформа виртуализации тоже должна быть обособленной

Отделение значимых объектов от корпоративной инфраструктуры должно быть выполнено не только на уровне базовых инфраструктурных сервисов и компонентов управления СрЗИ.

На практике мы встречали такие ситуации, когда для технологического и корпоративного сегментов были реализованы отдельные инфраструктурные сервисы и компоненты управления СрЗИ. Казалось бы, все было сделано верно, но серверы управления СрЗИ функционировали в виде виртуальных машин на базе единой платформы виртуализации корпоративного сегмента. Это создавало существенные ИБ-риски. 

Марат Сафин, ИБ:  Такая ситуация была выявлена у одного из наших крупных заказчиков. Кстати, платформа виртуализации в данном случае была иностранная, по которой только в этом году вышло 4 серьезных уязвимости, одна из которых критическая с рейтингом CVSS более 9 баллов. Большая архитектурная ошибка тут заключалась в том, что при компрометации корпоративного сегмента, злоумышленник мог получить полный доступ на уровне платформы виртуализации к виртуальным машинам, управляющим защитой значимого объекта КИИ.

Денис Мурунов, ИТ: Увидев такую конфигурацию, мы порекомендовали данной компании создать полностью независимую платформу виртуализации для ЗОКИИ со своими средствами управления. Позже мы создали ее на базе отечественной платформы виртуализации. 

Возвращаясь к NTP

Даже, казалось бы, обычный сервис синхронизации времени (NTP) играет критически важную роль для функционирования АСУТП, и в технологическом сегменте его тоже нужно делать обособленным и независимым.

Марат Сафин, ИБ: Например, существуют так называемые системы обнаружения утечек. При нарушении целостности трубопровода — будь то криминальная врезка или технологическая авария, от места утечки в обе стороны с одинаковой скоростью начинает распространяться волна падения давления. Зная скорость распространения волны падения давления для данной жидкостной среды, а также время прихода волны падения давления на датчики на концах контролируемого участка, СОУ по известной формуле определяет координату произошедшей утечки. И ключевое слово здесь — “время”. Как несложно догадаться, если время на контроллерах будет рассинхронизировано, то система не сможет корректно определить координату утечк, что может привести к значительному усугублению последствий.

Денис Мурунов, ИТ: То есть, если спровоцировать расхождение времени между двумя ПЛК, то можно спокойно воровать продукт без риска быть быстро обнаруженным?

Марат Сафин, ИБ: Да, именно так. И мы как раз работаем для того, чтобы защитить заказчиков от подобных ситуаций, которые могут привести к реальным киберфизическим последствиям.

Также приведу один пример из своей практики эксплуатации АСУТП, который показывает, насколько критичной может быть синхронизация времени в АСУТП.

Однажды мы внедрили у себя систему линейной телемеханики, и все, казалось бы, хорошо и стабильно работало. Но, когда разворачивался сервер ввода-вывода, инженер забыл убрать автоматический переход на летнее время в настройках ОС (это, кстати, был тот бородатый год, когда переход на летнее время только отменили). И это, по сути, стало бомбой замедленного действия.

Когда наступила календарная дата перехода, ОС ночью автоматически перевела сервер на летнее время. И что же тогда начал делать сервер ввода-вывода? А начал он попросту отбраковывать все сигналы от ПЛК, потому что они имели метку времени, которая аж на час отличалась от его собственного. Это привело к тому, что диспетчер ночью на своем АРМ потерял все значения сигналов и перестал видеть, как реально идет технологический процесс. По сути — ослеп. Понятно, что сразу же начались звонки, всех подняли на ноги, и вместо того, чтобы спокойно спать, пришлось ехать на работу и экстренно разбираться в случившемся инциденте.

К слову, разбираться в инцидентах, в том числе инцидентах безопасности, читать логи и восстанавливать хронологию событий в случае, если время на компонентах системы рассинхронизировано, — становится крайне сложно. Это тоже одна из причин, почему NTP так важен.

Именно поэтому важно предусмотреть для сегмента ЗОКИИ собственный NTP-сервер со спутниковым приемником сигналов точного времени. В свете последних событий, когда спутниковые сигналы в определенных локациях могут глушиться в целях безопасности, альтернативным вариантом может быть установка локальных атомных часов.

Также одна из причин, почему нельзя пользоваться NTP-сервером корпоративного сегмента, — это возможные атаки на клиентов через механизм NTP‑амплификации. Если компоненты АСУТП будут клиентами уязвимого корпоративного NTP‑сервера, то они могут быть подвергнуты атаке этого типа.

Инфраструктура плюс информационная безопасность

Обычно ИТ-инфраструктура строится так: сначала создается надежная и производительная инфраструктура, а затем она окружается средствами защиты информации. Однако практика показывает, что даже при наличии межсетевых экранов, защищенных каналов связи и других средств защиты, злоумышленники находят уязвимости и проникают в инфраструктуру. Это указывает на необходимость пересмотра существующих методов и разработки комплексного подхода к обеспечению безопасности.

Денис Мурунов, ИТ: Мы в К2Тех вместе с коллегами из К2 Кибербезопасность сформировали общий подход к обеспечению безопасности инфраструктуры. Усложняем жизнь хакерам, сразу максимально возможно применяя встроенные средства защиты без ущерба для работы пользователей.

Обучаем наших инженеров и администраторов заказчиков правильному и безопасному поведению, а также разрабатываем и внедряем специальное руководство по безопасной настройке решений.

Марат Сафин, ИБ: Если говорить об отечественных инфраструктурныех решениях, то насколько они зрелые с точки зрения функционала для полноценной замены иностранных решений? И как у них обстоят дела со встроенными механизмами безопасности?

Денис Мурунов, ИТ: В части инфраструктурного системного ПО, функциональности отечественных решений вполне достаточно для большинства организаций.

Если говорить про встроенные средства защиты информации, то уровень их зрелости зависит от класса решений. Например, в решениях по виртуализации и операционных системах, на которых функционирует все остальное, встроенные средства безопасности достаточно хорошо проработаны.

А вот в решениях, больше ориентированных на конечных пользователей, безопасность не всегда реализована в достаточной мере. Разработчики таких продуктов сейчас сфокусированы на добавлении новых фич. Они стремятся достичь удобства работы на уровне западных аналогов, а вопросы безопасности отложили на потом. Однако есть и такие производители пользовательского ПО, которые изначально заявили о своей приверженности безопасной разработке и, хотя они медленнее выпускают новые функции в своем ПО, безопасность в них реализована на более высоком уровне.

На рынке присутствуют инфраструктурные решения, сертифицированные для применения в аттестованных контурах с акцентом на безопасность. Их функциональность консервативна и не включает новейшие технологические опции, так как обычно сертифицированные версии примерно на год отстают от несертифицированных вариантов того же ПО (процесс сертификации требует времени). Например, в отечественных средствах виртуализации уже появляется очень полезная в плане безопасности функция микросегментации на сетевом уровне, которая существенно затрудняет продвижение злоумышленника в инфраструктуре, но она пока еще не прошла сертификацию. 

Если необходимо использовать новейшие функции и при этом соответствовать строгим требованиям регулятора, можно использовать несертифицированную версию системы в связке с сертифицированными средствами защиты. Такой подход зарекомендовал себя на практике — многие заказчики успешно его применяют.

Hardening-гайды делают сложное простым

Сейчас безопасность настраивается на всех уровнях инфраструктуры разными способами. Это включает защиту при аутентификации и авторизации, регистрацию событий, настройку межсетевых экранов и сетевых возможностей. Важно также отключить неиспользуемые службы и правильно настроить права доступа. Для быстрой и корректной настройки всех параметров существуют подробные инструкции.

Денис Мурунов, ИТ: Для наших инженеров мы разрабатываем специальные руководства по защите систем (hardening guides). В них содержатся протестированные конфигурации и рекомендованные параметры безопасности для различных комбинаций системного и прикладного ПО. Мы заранее проверяем совместимость всех настроек, чтобы избежать проблем при внедрении. Полученный опыт мы документируем в этих руководствах и предоставляем их специалистам на этапе внедрения. Такой подход позволяет инженерам быстро применить рекомендованные настройки без долгих проверок. 

Безопасные настройки важно применять сразу при внедрении системы. После запуска в эксплуатацию любые изменения могут повлиять на бизнес-процессы, а возможные простои вызовут недовольство пользователей. Именно поэтому ИТ-специалисты и специалисты по безопасности с осторожностью относятся к усилению защитных мер в работающих системах.

С помощью инструкций по безопасной настройке ИТ-инфраструктуры сложную задачу «настроить безопасно» можно сделать проще, однако, жизнь не всегда проста. Инфраструктуры у заказчиков разные, и бывают случаи, когда настроить наилучшим, самым безопасным образом, не получается.

Например, когда выполняется настройка системы мониторинга для аутентификации и шифрования соединений между сервером и агентами. Согласно харденинг-гайду, в этом случае рекомендуется использовать цифровые сертификаты. Однако, если у заказчика нет инфраструктуры с открытым ключом (PKI), в руководстве приводится рекомендация использовать для защиты этих соединений общие ключи, которые необходимо сгенерировать и установить на сервер и конечные узлы. 

Суть в том, что если не получается использовать лучшие практики, используем хорошие, но не оставляем все по умолчанию и небезопасно. 

Марат Сафин, ИБ: Тут отмечу, что данный пример действительно очень актуален, так как в промышленном сегменте инфраструктура PKI практически никогда не внедряется, просто ввиду специфики и закрытости самих АСУТП. И если мы строим систему мониторинга в промышленном сегменте, то вариант с симметричным шифрованием действительно будет хорошим альтернативным вариантом, раз нельзя применить лучший.

Выводы кратко

Инфраструктура и безопасность должны идти вместе, чтобы получилась максимально защищенная среда, в которой злоумышленникам будет максимально некомфортно. Увеличение времени, необходимого для преодоления рубежей защиты и взлома системы, позволяет своевременно обнаружить и предотвратить атаку.

Марат Сафин, ИБ: Импортозамещение неизбежно. Надо это принять как данность и обязательно выполнить эту задачу. Как говорится, дорогу осилит идущий.

Денис Мурунов, ИТ: Отечественное ПО, если его правильно применять, способно обеспечить не только бумажную, но и реальную информационную безопасность.

Мы знаем, как это делать правильно и всегда готовы бизнесу в этом помочь. И если у вас информационная безопасность с ИТ-инфраструктурой до сих пор существуют раздельно и не дружат, тогда, как говорится, мы идем к вам.