– Алексей, какие новые угрозы появились в части КИИ, с чем они связаны?
– В 2022 году ключевой проблемой стала масштабная реализация угроз для КИИ – их количество резко возросло. Раньше в фокусе кибератак были компании, взлом которых приведет к явной финансовой выгоде. В прошлом году и сейчас атакуются субъекты КИИ, где главная цель – парализовать работу организации. При этом ФСТЭК отмечает, что повысилась скорость реализации угроз с момента публикации сведений об их уязвимостях до практической реализации.
Технологически способы атак не изменились, но появились новые мотивы их осуществления. Основным мотивом в прошлом году стал «хактивизм», когда злоумышленники действуют не для финансовой или подобной выгоды, а из идейных соображений.
В лидерах по-прежнему атаки на отказ в обслуживании, фишинг, распространение вредносов, целенаправленные атаки, кража данных. Но для КИИ также актуальны стандартные риски ИБ, ведь и в них хранятся ПДн, есть коммерческая тайна, идет взаимодействие с поставщиками, контрагентами, клиентами. Здесь обычно речь идет об утечке конфиденциальной информации и персональных данных. В 2022 году такие риски стали реализовываться на предприятиях, работающих с инженерной документацией, выпускающей отдельные типы продукции, работающих с ГОЗ.
Руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев
Технические средства для борьбы с киберугрозами остались прежними – антивирусы, файрволы, SIEM и прочие – и активно используются в КИИ.
Отдельно выделю инфраструктурные риски. В прошлом году многие зарубежные компании из сферы ИБ покинули российский рынок, нарушив договорные обязательства с клиентами. Кроме того, указ Президента РФ, направленный на ускорение темпов импортозамещения, уже почти год назад запретил субъектам КИИ приобретать иностранное ПО для обслуживания своей инфраструктуры.
На данный момент есть две проблемы. Во-первых, необходимо экстренно заменить ИТ и ИБ-решения, что сопряжено с серьезной перестройкой инфраструктуры и некоторых бизнес-процессов, переобучением сотрудников и наймом новых специалистов. Во-вторых, возникли непредвиденные траты – средства на переход с одних ИТ-продуктов на другие не были заложены в бюджет.
– Какие объекты КИИ наиболее уязвимы и почему?
– Государство задало вектор на оценку правильности категорирования объектов КИИ. Пока количество атак резко не выросло в прошлом году, к задаче категорирования подходили достаточно мягко, случались ошибки категорирования, часть объектов не попадали в перечень КИИ. А значит, требования регуляторов и профильные законы их не касались. Как итог: на защиту выделялось недостаточно средств и специалистов. Сюда же наложились задачи импортозамещения. И теперь необходим дополнительный бюджет на обеспечение совместимостей нового технологического стека с имеющимися СЗИ и, по необходимости, на внедрение новых защитных средств.
Таким образом, наиболее уязвимы те субъекты КИИ, где есть дефицит финансирования и ИБ-кадров.
– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?
– К традиционным инструментам относятся классические СЗИ, криптосредства, централизация выявления и обработки инцидентов – это надежные решения, они давно себя зарекомендовали.
Из новых технологий выделяются два направления. Первое – единая стандартизация работы с инцидентами, введенная регулятором через НКЦКИ проектом ГОССОПКА. За этим стоят строгие регламенты, реакции и отчетности. На данный момент разработчики отдельных ИБ-решений стремятся реализовать совместимость с ГОССОПКА.
Второе направление – смещение вектора с защиты узлов на защиту данных с привлечением пользователей. Далеко не все сотрудники – злонамеренные нарушители или злоумышленники, в большинстве случаев инциденты происходят по незнанию, невнимательности, халатности.
Зачастую документы в организации находятся в беспорядке – без установленного режима конфиденциальности и регулирования прав доступа. Здесь поможет принцип разделения ответственности: он усилит реальную защиту и дисциплину. Реализовать это на практике можно с помощью решений для аудита файловой системы, маркировки документов и ранжирования доступа к ним, тогда вся система ИБ будет работать с информацией более эффективно.
– Какие из них продвигает ваша компания, какие лучше всего себя зарекомендовали?
– У нас есть несколько ключевых продуктов, которые используют не только организации КИИ, но и других категорий, потому что задачи по обеспечению ИБ зачастую универсальны. Сюда относится DLP («СёрчИнформ КИБ»), SIEM («СёрчИнформ SIEM») и DCAP («СёрчИнформ FileAuditor»).
Когда иностранные вендоры покинули российский рынок и компании остались с неработающим софтом, нужны были аналогичные отечественные продукты. Ситуация экстренная и мы пошли навстречу заказчикам – предоставили существенные скидки. Так в 2022 году провели акцию по импортозамещению: для тех компаний, которые внезапно остались без защиты, предоставляли наши лицензии бесплатно, нужно было оплатить только техподдержку.
В этом году запустили акцию по нашей DCAP-системе – любая компания может использовать ее бесплатно в течение трёх месяцев, чтобы навести порядок в файлах и усилить защиту конфиденциальной информации, особенно персданных. Кроме того, на всем цикле внедрения и использования продукта заказчику оказывает поддержку наша команда (инженеры, специалисты внедрения и техподдержки, аналитики).
Также доступ к нашему ПО возможен в формате сервиса – услуги аутсорсинга ИБ «под ключ». Для компаний это особенно важно в условиях жесткого дефицита ИБ-кадров. Кроме того, в 2022 году была введена персональная ответственность руководителей по ИБ, так что поддержка профессионалов в области безопасности крайне актуальна.
С технической точки зрения мы одними из первых на рынке реализовали бесшовное взаимодействие с ГОССОПКА в SIEM-системе, а принцип разделения ответственности и вовлечения сотрудников в ИБ-процессы в отечественных DCAP-системах реализован пока только в нашем решении – СёрчИнформ FileAuditor.
– Приведите примеры таких проектов.
– С клиентами мы подписываем NDA и, исходя из обязательств по конфиденциальности, не можем подробно рассказывать о результатах внедрений.
С помощью наших решений обеспечивают защиту такие компании, как: ООО «Иркутская нефтяная компания», ООО «Газпромнефть Хантос», ПАО «Татнефть», ПАО «Объединенная авиастроительная корпорация», ПАО «Авиационный комплекс им. С.В. Ильюшина», ПАО «Компания «Сухой», ГК «Фармасинтез», «РЖД Логистика» и другие. А также ряд государственных структур – сейчас прослеживается тренд государства на комплексную защиту субъектов РФ: наши решения используют в учреждениях ХМАО, Республики Удмуртии, Республики Татарстан, Астраханской области и других.
– Ваш прогноз развития угроз КИИ и противодействующих им решений.
– Резкого снижения количества киберугроз ожидать не стоит. Политико-экономическая ситуация это подтверждает и располагает к тому, чтобы субъекты КИИ «подтянули» уровень защищенности. Такие проекты можно и нужно реализовать в том числе в рамках ИЦК, где сейчас очевиден фокус на экстренное замещение продуктов ушедших вендоров. Такое замещение необходимо, но оно не отменяет поддержку государством внедрения средств для противодействия рискам ИБ – особенно там, где такие решения вовсе отсутствуют. Для объектов КИИ – это первоочередная задача: только так можно наладить их бесперебойную работу и минимизировать ущерб от реализованных киберугроз.
– Большое спасибо за беседу!