Ведущий консультант Центра компетенций по информационной безопасности Т1 Интеграции Евгений Воробьев: «Будущее безопасности КИИ будет определяться развитием технологий кибербезопасности»

– Евгений, какие новые угрозы появились в части КИИ, с чем они связаны?

– В последние годы появилось множество новых угроз для критической информационной инфраструктуры (КИИ), которые связаны с развитием технологий, изменением векторов атак и усилением киберпреступности, а также повышением рисков ИБ, связанных с переходом источников угроз на межгосударственный (международный) уровень и, соответственно, повышением уровней их оснащенности и мотивации. К таким угрозам можно отнести атаки на устройства интернета вещей (IoT), которые используются на объектах КИИ – умные электросчетчики, промышленные датчики и т.д. Примером может служить атака, посредством которой подключенные к сети устройства IoT используются в качестве ботнета для DDoS или развития других векторов атак.

Кроме того, уход с российского рынка зарубежных поставщиков ПО, оборудования и средств защиты информации, приостановление их технической поддержки и невозможность получать критические важные обновления, могут привести к серьезным угрозам в системе информационной безопасности объектов КИИ, где данные продукты и средства уже функционируют.

Не новыми, но все еще актуальными являются атаки на используемые для КИИ облачные системы, на цепочку поставок (supply chain attack), на управляющие системы (например, SCADA-системы). Источником угроз продолжают оставаться кибершпионаж, фишинговые атаки на обслуживающий объекты КИИ персонал, внутренние угрозы, связанные с утечками конфиденциальных данных за счет недобросовестных сотрудников и недостаточной подготовки кадров в области ИБ.

– Какие объекты КИИ наиболее уязвимы и почему?

– Объекты КИИ наиболее уязвимы, когда они имеют слабые места в своей защите. С этой точки зрения наибольшего внимания компаний заслуживают обслуживающий объекты КИИ персонал, а также системы обеспечения информационной безопасности.

Человеческий фактор является одним из самых сложных для контроля и управления. Многие сотрудники КИИ могут не иметь достаточных знаний и навыков в области информационной безопасности, что делает их более подверженными ошибкам и недостаточному противодействию угрозам безопасности. Кроме того, атакующие могут использовать социальную инженерию, чтобы обмануть сотрудников КИИ и получить доступ к необходимым системам. Основными векторами являются фишинговые атаки, ложные телефонные звонки и электронные письма. Также персонал может быть подвержен внутренним угрозам, таким как мошенничество, кража данных и т.д.

К дополнительным угрозам в системе могут привести недостаточное соблюдение политик безопасности. Например, если сотрудники КИИ не следуют установленным политикам и регламентам безопасности, случайно или намеренно загружают вредоносное программное обеспечение. Многие сотрудники КИИ могут не осознавать риски безопасности, связанные с их действиями и привычками, что делает их более подверженными к атакам и угрозам.

– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?

– Традиционные инструменты защиты КИИ включают в себя: физическую защиту объектов (установление пропускного и внутриобъектового режима, контроль доступа, видеонаблюдение, датчики движения и т.д.), сетевые меры безопасности (межсетевые экраны, виртуальные частные сети (VPN), аутентификация, авторизация и управление доступом и т.д.), криптографические средства защиты (шифрование данных, подпись сообщений и т.д.), управление уязвимостями (сканирование уязвимостей, тестирование на проникновение, патч-менеджмент и т.д.).

Однако сегодня с развитием технологий и угроз традиционные инструменты не всегда могут обеспечить должную защиту. В связи с этим современные методы защиты должны включать в себя использование искусственного интеллекта, машинного обучения, блокчейна, систем обнаружения и реагирования на инциденты, аналитики больших данных и т.д.

Среди новых инструментов и технологий защиты объектов КИИ нужно выделить подход, реализованный на концепции распределенного реагирования на ИБ-угрозы. Сегодня это один из самых эффективных способов защиты от кибератак. В отличие от централизованного (включает централизованную систему мониторинга и управления угрозами), распределенное реагирование подразумевает использование множества узлов, каждый из которых способен обнаруживать и реагировать на угрозы. Каждый узел обладает своей собственной системой мониторинга и защиты, что обеспечивает повышенную отказоустойчивость и защиту от целенаправленных атак. Кроме этого, распределенное реагирование должно включать сотрудничество и координацию между различными организациями и ИБ-специалистами для быстрого обмена информацией и опытом в борьбе с угрозами.

– Каков прогноз развития угроз КИИ и противодействующих им решений?

– Основываясь на тенденциях 2022-го года, можно ожидать дальнейшего роста угроз со стороны APT-группировок. Будет также увеличиваться использование технологий ИИ в кибератаках. Например, ИИ может использоваться для автоматического сканирования системы на уязвимости, а также для масштабных атак на инфраструктуру. Уже сейчас существуют примеры создания популярной нейросетью ChatGPT новых вирусов для заражения компьютерных систем.

С увеличением числа подключаемых устройств IoT увеличивается и количество уязвимостей, связанных с этими устройствами. Например, компрометация подключенного к сети КИИ устройства IoT может привести отказу в работе инфраструктуры.

В результате, будущее безопасности КИИ будет определяться растущими киберугрозами, постоянным развитием традиционных и новых технологий кибербезопасности, растущими требованиями регуляторов, а также необходимостью сотрудничества и обмена информацией между организациями, ответственными за обеспечение информационной безопасности объектов КИИ.

– Большое спасибо за беседу!