Российские АСУ ТП: актуальные векторы угроз и регулирование
В настоящее время ИБ-специалисты промышленных предприятий по всему миру, в том числе в России, сталкиваются с растущим количеством кибератак: публикуются новости о масштабных DDoS-атаках на сайты компаний, а также о целевых атаках на АСУ ТП, некоторые из которых наносят значительный ущерб. Подразделения ИБ тратят огромное количество усилий на то, чтобы оперативно реагировать на возникающие серьезные инциденты.
Еще одним ощутимым риском ИБ в последнее время стал уход с российского рынка иностранных разработчиков СЗИ – в частности, таких известных вендоров, как Cisco, Fortinet, Palo Alto. Пользователи систем безопасности этих вендоров зачастую остаются без должной поддержки, функциональность и эффективность решений резко падает, а в самом критическом сценарии системы просто перестают работать.
Риски связаны и непосредственно с обслуживанием АСУ ТП крупнейших мировых производителей систем промышленной автоматизации – такие, как Schneider Electric и Siemens. Часть АСУ ТП осталась без обновлений. Вероятно, в этом одна из причин того, что российские производства (например, производство бумаги) временно приостановили деятельность или резко завысили цены на свою продукцию.
Четвертая проблема, с которой сталкиваются промышленные предприятия, – поставки оборудования. «С начала марта практически все предприятия начали оперативно осуществлять закупки, во многих из них всё было построено на решениях западных производителей. Страдают цепочки поставок и логистика. Тем не менее, ведущие российские производители систем защиты, как InfoWatch ARMA, обладают мощными складами ЗИП, и на текущий момент проблем с оборудованием для заказчиков у нас не наблюдается», – говорит Федор Трифонов.
При этом темпы импортозамещения в России до недавнего времени нельзя было назвать быстрыми. Когда эта тенденция только зарождалась в 2014 году, проблематика не была очерчена столь явно, а об отечественных аналогах промышленных софтверных продуктов и «железа» было мало известно. В направлении АСУ ТП изменения произошли в 2017 году, когда начал действовать 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» – с этого момента предприятия начали интересоваться вариантами выбора и оценивать возможные варианты использования отечественных продуктов. Правда, некоторые заказчики, продолжали пользоваться привычными импортными системами.
Наконец, совсем недавно вышел Указ Президента РФ от 30 марта 2022 года №166, согласно которому с 1 января 2025 года на объектах критической инфраструктуры вводится полный запрет на использование иностранного ПО, а закупки такого софта невозможны уже сейчас (с 31 марта).
На данный момент эксперты InfoWatch ARMA выделяют три актуальных вызова кибербезопасности для АСУ ТП: ограниченная видимость сети, размытие периметра кибератак и недостаток квалифицированных кадров. «Сейчас в стране не так много вузов, которые готовят специалистов по кибербезопасности, но все-таки они есть. Кроме того, большинство сотрудников, даже прошедших соответствующие программы обучения, на практике понимают, что их знания во многом не применимы на текущем ландшафте угроз и решений. Тем не менее, позитивные сдвиги в образовании по ИБ есть, многие вузы сотрудничают в том числе и с нами, пользуются нашей экспертизой. Это показатель того что уровень культуры кибербезопасности растет», – отмечает Федор Трифонов. Кроме того, существует известная проблема оттока кадров за рубеж и увеличение стоимости профильных ИБ-специалистов.
Этот фактор приводит к тому, что предприятия стараются автоматизировать типовые процессы ИБ, чтобы предоставить возможность сотрудникам заниматься более сложными задачами, требующими аналитики и применения компетенций.
СЗИ для АСУ ТП: основные тенденции
В InfoWatch ARMA говорят о трех тенденциях в направлении ИБ для АСУ ТП. Первая тенденция заключается в необходимости создавать эшелонированную защиту. Проведение любой кибератаки требует времени и ресурсов. Чем больше в компании будет выстроено различных барьеров, пограничного контроля, чем мощнее будет защита, тем больше ресурсов потребуется злоумышленнику для проникновения. Это может сделать целевую атаку невыгодной.
Вторая тенденция – необходимость создания замкнутой программной среды: если в организации существует хорошо защищенный внешний периметр, возникает задача обеспечить безопасность и изнутри. Для этого есть разные решения: например, инструменты для пресечения использования сотрудниками личных программ.
Третья тенденция – создание высокой видимости сети и централизованное управление системой защиты.
InfoWatch ARMA: комплексная защита АСУ ТП
Компания InfoWatch ARMA разрабатывает одноименную отечественную систему защиты промышленных сетей, основное назначение которой – защитить сеть заказчика, создать замкнутую программную среду, автоматизировать процессы для сотрудников блока ИБ и при этом выполнить требования 239 приказа ФСТЭК.
«Многие компании соблюдают требования ФСТЭК о строгом разделении сети на корпоративный и технологический сегмент. Но есть ряд организаций, которые не могут это сделать физически либо технологически – например, потому, что у них ERP-система привязана к системе управления станками, и зарплата операторов рассчитывается на основании того, сколько он отработал на том или ином объекте. В таких ситуациях, которых довольно много, мы прибегаем к созданию DMZ-зоны, где корпоративная сеть отделена от технологической с помощью межсетевого экрана, на рабочие станции установлен Endpoint, а управление всей сетью происходит в единой консоли. При этом если у компания-заказчика есть несколько филиалов, безопасность и надежность передачи данных с разных фаерволов обеспечивается нашим VPN», – поясняет Федор Трифонов.
Экосистема InfoWatch ARMA состоит из нескольких продуктов. Первый из них – это промышленный межсетевой экран нового поколения (NGFW) InfoWatch ARMA Industrial Firewall, сертифицированный ФСТЭК по уровню доверия 4, включенный в реестр отечественного программного обеспечения. Основные функциональные преимущества этого инструмента – глубокая инспекция промышленных протоколов, встроенные средства обнаружения и предотвращения вторжений, возможность создания безопасного удаленного подключения, функция межсетевого экранирования. «Мы разбираем по командам промышленные протоколы, это важно в том числе с точки зрения построения корректных политик информационной безопасности. Этот продукт способен работать не просто как межсетевой экран, который будет блокировать все подозрительные команды: при настройке грамотных правил он может распознать команду и понять, легитимна она сейчас или нет», – говорит эксперт.
Решение имеет шесть вариантов установки в промышленную сеть, есть также два варианта поставки – на ПАК и на виртуальных машинах. Оборудование представлено в промышленном и серверном исполнениях: допускается монтаж в 19-дюймовую стойку или на DIN-рейку. Гарантия на оборудование от производителя составляет от одного года (базовая гарантия) до 3 лет (расширенная гарантия).
Второй продукт – InfoWatch ARMA Industrial EndPoint, инструмент для контроля целостности файлов, контроля съемных носителей, антивирусной защиты и блокировки недоверенного списка программного обеспечения на основании белых списков. «Создание замкнутой программной среды обеспечивает нам то, что даже при попадании на отдельную рабочую станцию у злоумышленника не будет возможности совершить действия как у сотрудника. Если он попытается что-то изменить в реестре, установить какое-то приложение в тихом режиме – он не сможет этого сделать», – говорит Федор Трифонов.
Третий представленный продукт – InfoWatch ARMA Management Console, единый центр управления всеми решениями InfoWatch ARMA. На текущий момент этот продукт проходит сертификацию ФСТЭК и уже включен в единый реестр российского программного обеспечения.
Первая основная задача Management Console – инвентаризация сети, возможность визуализации в режиме онлайн всех подключенных к сети устройств, их IP-адреса, mac-адреса, операционной системы и других параметров. При необходимости каждое устройство можно отключить с помощью консоли. Модуль сбора и анализа событий собирает все события в сети, анализирует их и при необходимости создает инцидент. На каждый инцидент дается оценка – уровень критичности, информацию по устранению. Модуль управления и автоматизации дает возможность администратору управлять любым количеством межсетевых экранов, в том числе эндпойнтов, создавать шаблоны по настройкам и настраивать группы экранов из единой консоли.
В составе экосистемы InfoWatch ARMA появился модуль взаимодействия с ГосСОПКА (возможность передавать оперативную информацию по всем инцидентам из Management Console сразу в НКЦКИ, получать ответ и применять рекомендации, используя консоль) и модуль потокового антивируса в межсетевой экране InfoWatch ARMA Industrial Firewall.
«Мы всегда готовы дорабатывать наши продукты под запросы клиентов. Также стоит напомнить, что у нас есть программа поддержки заказчиков: если вам необходима консультация по настройке штатных механизмов ИБ, бесшовно перейти на российское ПО, мы готовы помочь», – говорит Федор Трифонов.