2021/09/07 14:39:33

Как защитить критическую инфраструктуру.
Обзор большой экспертной дискуссии


Содержание

Приказано быть кибербезопасным: как осуществить непрерывность бизнеса и защитить КИИ

В рамках прошедшего в июне цифрового форума ITSF-2021 состоялась дискуссионная панель, посвящённая информационной безопасности критической инфраструктуры. Эксперты обсуждали широкий спектр вопросов, в числе которых были: практика реализации ФЗ-187, категорирование КИИ, импортозамещение, оценка ущербов при различных угрозах и многое другое. Модератором сессии выступил независимый эксперт по информационной безопасности Алексей Лукацкий.

В сессии приняли участие директор по развитию бизнеса и продажам в индустрии «Нефти и газа» компании Fortinet Аркадий Прокудин, руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев, директор по развитию бизнеса по информационной безопасности Макрорегионального филиала "Волга" компании «Ростелеком-Солар» Владимир Левин, заместитель директора Департамента информационной безопасности ЦБ РФ Андрей Выборнов, директор по ИБ Ак Барс Банка Владислав Бубенников и руководитель группы консалтинга и аудита информационной безопасности ICL Системные технологии Алексей Симцов.

Поднятая на круглом столе тема очень непростая, так как российское законодательство в данном контексте достаточно молодое. Прошло всего 3,5 года с момента вступления закона ФЗ-187 в силу, некоторые подзаконные акты вышли еще позже, некоторые готовятся в данный момент. И на сегодняшний день по оценке регуляторов в России существует порядка 1 млн объектов КИИ, и эта оценка, на взгляд экспертов дискуссионной панели, занижена из-за смены понятий, которые вкладывались в описание объектов КИИ. Буквально в феврале этого года ФСТЭК поменял свой подход, и сегодня под объектом КИИ понимается абсолютно любая информационная система, которая работает в организации из 13 отраслей, упомянутых в 187 законе. А это означает, что и системы для бухгалтерии и кадров, веб-сайт и электронная почта - все это может считаться объектом КИИ.

Сегодня бизнесу стоит пересмотреть свою точку зрения на категорирование объектов КИИ и на правильность отправки данных регулятору. Это связано с тем, что буквально месяц назад вступили поправки в Кодекс об административных правонарушениях, которые несут за собой административную ответственность и штрафы за непредоставление во ФСТЭК результатов категорирования.

Нововведения в законодательстве: мнения экспертов

Представители интеграторов, вендоров и бизнеса первым делом обсудили нововведения в законодательстве, как они проходили этапы категорирования и с какими трудностями столкнулись в объяснениях заказчикам, зачем вообще все это необходимо делать.

Представитель интегратора Алексей Симцов отмечает, что бизнес не готов выделять необходимые бюджеты на выполнение требований регуляторов, а обязанности по закрытию требований часто ложатся на плечи непрофильных специалистов, которые боятся брать на себя ответственность по защите КИИ и тормозят процессы:

«
Например, в промышленности, при отсутствии отдела ИБ вся работа по СОИБ ложится на технологов, метрологов АСУ ТП, на специалистов по эксплуатации оборудования. В связи с этим, не разбираясь в процессах и из-за боязни взять на себя эту боль по КИИ, исполнители часто тормозят работы. С нашей точки зрения, это не очень правильно, потому что чаще всего, особенно если это касается небольших систем, работы по реализации требований стоят не так дорого, как кажется. В большинстве случаев объекты получаются без категории, и сделать по ним необходимо по минимуму. Но бизнес не готов выделять требуемые ресурсы и находится в поиске максимально бюджетных вариантов. Поэтому мы часто сталкиваемся с дилеммой - выполнить качественнее или дешевле, постоянно ищем пути по сокращению затрат, - отмечает представитель интегратора.
»

Владислав Бубенников из Ак Барс Банка считает, что проблема настолько актуальна, что даже приходится сталкиваться с КИИ-диссидентами:

«
Есть заказчики, которые решили пройти этот процесс формально, есть те, кто понял, что сделали неправильно, и они сейчас переосмысливают и перекатегорируют свои объекты. А есть те, кто надеется, что регулятор не обратит внимание, и что у них ничего не произойдет. Есть также КИИ-диссиденты, которые говорят «ну вот, когда к нам придут омоновцы в масках, тогда мы будем что-то делать». Как правило, это маленький процент, и в основном это такие компании, у которых есть проблемы по исполнению и других требований регуляторов. Но те бизнесы, которые понимают, что требования регуляторов можно повернуть в эффективность для бизнес-процессов, для самого бизнеса, он естественно получает от этого эффект, в том числе и коммерческий.
»

Эксперты отметили также, что важно рассматривать все нововведения в законодательстве не с точки зрения карательных мер, а с точки зрения возможностей для развития бизнеса. Важно донести до бизнеса, что все проведенные меры помогут защитить бизнес от рисков, потерь и простоев.

Представители финансовой отрасли отметили, что эта проблема в финансовой отрасли не стоит так остро, так как финансовые организации уже давно имеют регулятора в лице Центрального банка РФ и определенным требованиям они уже частично соответствуют. Поэтому процесс категорировании КИИ для них проходит более гладко нежели для компаний, которые до этого не имели регулятора.

Представитель Центробанка Андрей Выборнов отметил, что они уже давно работают по отраслевому принципу:

«
В свое время мы согласовали наш принцип обмена информацией с ФСБ. И сейчас наша система обмена информаций об инцидентах является таким хабом для взаимодействия финансового рынка с ГосСОПКой. У нас порядка 20 тысяч поднадзорных организаций, каждая из которых независимо от размера обязана информировать о компьютерных атаках через ГосСОПКу. И если говорить о требованиях ФСТЭК, то по нашим оценкам не так много организаций будут категорированы, как значимые, из нашего финансового сектора. Скорее всего это будут единицы.
»

Про категорирование КИИ

Категорирование систем — это далеко не новость и не новация закона о КИИ, но почему-то до сих пор вызывает вопросы. Вопрос категорирования уже давно лежит в области персональных данных, в антитеррористической защищенности, оно существовало и для государственных органов при квалификации государственных информационных систем или муниципальных информационных систем. Но почему же это проблема возникла для всех только сейчас?

Представитель интегратора Алексей Симцов отмечает, что бытует мнение, что позиция регулятора - не привлекать интегратора при проведении работ по категорированию, так как это может быть рассмотрено как нецелесообразное расходование средств.

«
Но после самостоятельных работ заказчика по категорированию КИИ мы часто сталкиваемся с дисбалансом между масштабом системы и ее значимостью. Иногда системы можно объединить, а иногда раздробить. Именно интегратор может помочь найти баланс между дроблением и объединением ОКИИ - не завысить категорию значимости и максимально эффективно распространить проектные решения на все объекты.
»

Эксперты не стали делиться лайфхаками, как понизить категорию объектов КИИ, так как считают эту идею совершенно нежизнеспособной и бесполезной для бизнеса.

«
Понижать нет смысла. Лучше знать свою инфраструктуру, знать, на что она опирается, чтобы потом не краснеть и не говорить «ой я не знал», - отметил представитель банка Владислав Бубенников.
»

Его поддержал и представитель вендора Владимир Левин.

«
Лучше горькая правда. Чтобы не повысить и не понизить, а все сделать правильно, нужно подойти ответственно к деталям: к тому, что мы категорируем, к той информации, которую мы анализируем. Субъекты КИИ развиваются, поэтому при категорировании важно, в том числе, закладывать этапы своего дальнейшего развития. И заказчики понимают, что тот объект КИИ, который есть у меня сейчас, он одной категории, но через полгода он разрастется и будет другой категории. И нужно сделать шаг к тому, чтобы быть к этому готовым и не тратить дополнительные ресурсы.
»

Советы небольшим организациям при категорировании прозвучали от представителя Центробанка Андрея Выборнова:

«
На мой взгляд, чем организация больше, тем тяжелее категорироваться, чем меньше - тем легче. Мы в свое время использовали методологии ФСТЭКа, изучали иные методологии. Мы шли от процессов и в рамках процессов смотрели, какие системы задействованы в них. Поэтому малым организациям надо понять свой основной вид деятельности, в которой она попала как субъект КИИ, и дальше смотреть, от какого рода ИТ-системы зависит выполнение этого процесса. Если организация небольшая, таких систем будет небольшое количество. И затем к этим системам следует применить категории из законодательства.
»

Как защищать значимые объекты КИИ?

Большое внимание было уделено вопросам защиты значимых объектов и мерам, которые необходимо применять, чтобы защититься от максимального количества угроз. Представитель вендора Аркадий Прокудин считает, что первое, на что нужно обратить внимание, это вопросы межсетевого экранирования, так как считает их ключевым моментом для объектов КИИ:

«
Дальше ранжирование по мерам защиты динамичное и зависит от того, с какой индустрией мы работаем. Если, например, это нефтегаз, то следующий этап — это защита рабочих мест, операторов, которые работают с этими системами, и, конечно же, интеграция с ГосСОПКой для передачи информации.
»

Представитель другого вендора Павел Корыстылев отчасти не согласился с Аркадием и призвал всех ознакомиться с документом «The 18 CIS Controls»[1], в котором прописаны 18 категорий действий, которые необходимо сделать в определённой ситуации. Выполнение этих мер позволит, как гласит правило Парето, с помощью 20% действий получить 80% результата.

«
3 самые главные меры, которые надо сделать для защиты, это инвентаризация – вам нужно понимать, какое оборудование у вас работает, какой софт у вас работает, и кто у вас на нем работает. Далее инвентаризация управления обновлениями, потому что, если ваши система не обновлена, то она содержит уязвимости, и вам нужно срочно это исправить. И третий момент — это сегментация, - подытожил свой ответ Павел Корыстелев.
»

Представитель интегратора Алексей Симцов всем напомнил, что важно не только строить систему защиты, а, в том числе, обращать внимание на то, кто будет защищать информацию:

«
По нашему мнению, топ защитных мер – это организация защиты сетей, настройка правил доступа и организация процесса обеспечения информационной безопасности. Даже если мы внедрим межсетевой экран, но им никто не управляет и не назначены ответственные люди, значит, эта история закончится через месяц, через два. Очень важно выстроить процессы по менеджменту ИБ.
»

По поводу статистики наиболее актуальных угроз и рекомендуемых мер защиты, эксперты также призвали изучить отчет Verizon Data Breach Investigations Report 2021 года[2], который вышел в мае, и где собрана статистика по 3000 собранным инцидентам ИБ с подтвержденным ущербом и с теми мерами защиты, которые неплохо было бы реализовать.

Оpen source & Коммерческие решения для защиты КИИ

Можно ли построить защиту КИИ на базе open source или стоит использовать только коммерческие решения, как найти баланс, и какие подводные камни ждут бизнес. Эксперты также обсудили эти вопросы на дискуссионной панели.

Представитель банка Владимир Бубенников отмечает, что если у заказчиков и присутствует open source – решения, то они унаследованные, и заказчики неохотно меняют то, что уже реализовано:

«
Нет смысла выбрасывать то, что работает. В любом случае, это средство защиты информации, которое уже удовлетворяет требованиям регуляторов и закрывает те потребности, которые вытекают из проектов.
»

О том, что open source – решения действительно можно применять, согласились и другие эксперты. Но есть несколько важных моментов, на которые эксперты призвали обратить внимание.

«
Если говорить про применение в организациях, которые являются объектами КИИ, то здесь надо понимать, что сейчас действуют требования о том, что средства защиты, даже если они open source, должны поддерживаться кем-то в жизненном цикле и иметь техническую поддержку. На кого ложится эта задача? Если делает интегратор, то это стоит денег, если делает сам субъект КИИ, то это тоже будет стоить денег, поэтому здесь необходимо здраво взвешивать способ решения поставленных задач. Часто получается, что вендорская поддержка готового решения выходит дешевле и качественнее, т.к. имеет требуемую экспертизу, опыт и механизмы для управления продуктом, - отметил представитель интегратора Алексей Симцов.
»

Импортозамещение

В завершении дискуссии поднялась еще одна актуальная тема, связанная с импортозамещением. Как отметил модератор дискуссии, в ближайшее время в администрацию президента РФ поступит проект президентского указа, согласно которому объекты КИИ должны перейти на использование отечественного ПО и оборудования одновременно - с 1 января 2023 г. Ранее предполагалось, что объекты КИИ перейдут на преимущественное использование отечественного ПО до 1 января 2023 г., а на использование отечественного "железа" - до 1 января 2024 г.

Эксперты сошлись во мнении, что если с офисными системами срок в 2-3 года более реалистичен, то с промышленными системами ситуация совершенно другая. Перейти за 3 года на отечественные промышленные системы, оборудование никто ни в состоянии. Тем более их жизненный цикл составляет 5, 10, а некоторые и 20-30 лет. И менять оборудование на новое, пока не кончился срок амортизации старого, никто не готов.

В данной ситуации российским вендорам предстоит предложить свои решения, а главное доказать, что они работают так же надежно и устойчиво. Поэтому представитель вендора Павел Корыстылев сравнил ситуацию с импортозамещением с «мексиканской дуэлью», когда ситуация становится безвыходной, все будут проигравшими, и решить ее сможет только нестандартный подход.

«
Есть технологическая независимость, что стало стратегическим императивом. И есть приземленные вещи, что продукт должен выполнял то, что он должен выполнять. Есть проблема уязвимости продукта. Нужно понять, как решать и как доказать, что вы не хуже иностранных. Самое главное сейчас в работе - знать требования заказчика, их приоритезацию, понять потребности, которые есть сейчас, и какие возникнут через полтора года.
»

В завершении дискуссии Владимир Левин подметил, что не стоит «катастрофизировать» импортозамещение, так как еще будут изменения, будут структуры, которые это оборудование будут готовить, и все будут отталкиваться от субъектов:

«
Главное - не подходите формально к тем процессам, которые вы делаете. Потому что то, что вы сегодня реализуете, вы делаете ни на один день, ни на неделю, ни на месяц.
»

Примечания