ИБКВО: Десять лет на службе безопасности АСУ ТП

На пленарном заседании первого дня выступил заместитель директора департамента экономической безопасности Минэнерго России Евгений Владимирович Новиков, который рассказал о практике реализации требований закона №187-ФЗ «О безопасности КИИ РФ» в рамках ТЭК. Министерство несколько лет назад создало ведомственный центр ГосСОПКА, а сейчас проводит пилотное тестирование отраслевого центра, в котором участвуют 12 компаний из отрасли. Кроме того, ведомство подготовило и согласовало с ФСТЭК методические рекомендации для подотчетных компаний по проведению процедуры категорирования – далеко не все представили отрасли ее завершили.

На пленарном заседании также выступил заместитель начальника управления организации обеспечения безопасности КИИ ФСТЭК России (8-е управление ФСТЭК России)  Алексей Валентинович Кубарев. Он подробно рассказал о первоочередных мерах, которые его ведомство рекомендует принять в условиях массовых атак на объекты информационной инфраструктуры РФ.

Меры первой очереди, которые необходимо реализовать максимально быстро, следующие:

• отключить автоматическое обновление программного обеспечения через сеть Интернет;
• выявить возможные точки проникновения (ВТП) внешнего нарушителя на объекты ИИ;
• ограничить доступ к объектам ИИ через ВТП, в том числе удаленное подключение к объектам и подключение к системам связи общего пользования (ССОП);
• проанализировать уязвимости узлов, являющихся ВТП, в частности, уязвимостей конфигураций и кода прикладного и системного ПО;
• устранить критические уязвимости узлов объектов ИИ, являющихся ВТП;
• активировать все функции межсетевых экранов (в том числе DPI) и других СЗИ, в частности, WAF по защите от компьютерных атак и анти-DDoS;
• провести инвентаризацию веб-сервисов и служб, используемых для функционирования сайтов, веб-приложений, и отключить неиспользуемые;
• обеспечить взаимодействие администраторов и пользователей с сайтами и веб-приложениями по защищенным протоколам;
• исключить применение на сайтах сторонних зарубежных сервисов, API и виджетов;
• ограничить количество подключений к ИИ, сайтам и веб-приложениям с каждого IP-адреса;
• сменить аутентификаторы УЗ пользователей ПО, установленного на соответствующих узлах сети;
• ограничить возможность удаленного управления прикладным и системным ПО, телекоммуникационным оборудованием через ССОП;
• исключить применение систем удаленного доступа;
• обновить базы данных антивирусного ПО и решающих правил СОВ;
• организовать анализ критических событий безопасности.

Меры второй очереди требуют подготовки и тщательной настройки, поэтому их рекомендуется вводить после реализации мер первой очереди:

• настроить межсетевые экраны на блокировку по «белым спискам», блокировку входящего трафика с иностранных IP, из Tor, по ненужным портам и ограничить использование ССОП;
• проверять наличие вредоносного ПО в поступающих незапрошенных электронных сообщениях;
• реализовать многофакторную аутентификацию для удаленного и локального доступа привилегированных пользователей;
• обеспечить мониторинг информационной безопасности объектов ИИ;
• контролировать подключение неучтенных съемных носителей информации и мобильных устройств;
• провести отработку мер противодействия компьютерным атакам, восстановления работоспособности ИИ и устранения последствий компьютерных инцидентов;
• проверить соблюдение ограничений на использование личных СВТ, модемов, накопителей и правила личного использования таких средств;
• проверить соблюдение ограничений на применение наиболее часто используемого при реализации компьютерных атак ПО и правил его безопасного использования;
• проверить соблюдение ограничений на использование ПО, не требуемого для выполнения должностных обязанностей;
• информировать работников и иных лиц, имеющих доступ к объектам ИИ, о необходимости принятия мер по блокированию УБИ и строгого соблюдения требований информационной безопасности;
• актуализировать информацию об объектах КИИ в соответствующих реестрах;
• в случае обнаружения компьютерного инцидента на объектах ИИ незамедлительно связываться с НКЦКИ.

Кроме того, Алексей Валентинович Кубарев поделился опытом проведения первых плановых проверок объектов КИИ и рассказал о выявляемых нарушениях и недостатках. В частности, он отметил, что «с документами все хорошо, с аппаратным обеспечением в целом тоже, с силами также все нормально – прошли обучение и получили необходимые сертификаты, а вот с процессами организации защиты КИИ по-прежнему остаются проблемы».

Второй день конференции начался с дискуссии между разработчиками средств защиты и их пользователями. Основной темой была организация диалога между всеми участниками процесса обеспечения безопасности промышленных объектов: разработчиками средств защиты, ИТ-подразделениями, инженерами АСУ ТП, разработчиками оборудования для промышленной автоматизации и службами ИБ на предприятиях. Сейчас необходимость такого диалога уже никем не оспаривается, поскольку всем заинтересованным сторонам понятно, что требуется координация деятельности всех сторон для повышения эффективности защиты от попыток дистанционного взлома оборудования и остановки технологических процессов. Основные споры вызывает минимально необходимый набор технических средств и организационных мер, который позволил бы эффективно защитить объекты КИИ предприятия от постороннего вмешательства со стороны злоумышленников.

Всего в рамках конференции было заслушано 35 докладов. Модераторами были главный научный сотрудник ФИЦ ИУ РАН Виктор Евдокимович Гаврилов и заместитель генерального директора ИД «Коннект» Дмитрий Юрьевич Корешков.

В фойе конференции была организована выставка продукции партнеров, в которой приняли участие компании «Крок», «КСБ-Софт», Angara Security, UserGate, Ideco, Security Vision, Центр компетенции МЭИ и The Stendoff. Спонсорами второго дня конференции стали компании etherCUT, IBS Platformix и «Норси-Транс». Среди участников конференции прошел опрос, результаты которого, как и подробный отчет о мероприятии, будут опубликованы на страницах журнала «Коннект».