Игорь Рыжов, «Информзащита» - об инновациях в промышленной безопасности
В современных условиях высокий уровень развития информационных технологий можно отметить во всех видах промышленности: в атомной, горнодобывающей, оборонной промышленности, нефте- и газодобыче. Практически все такие предприятия являются объектами критической информационной инфраструктуры (КИИ), на них есть значимые объекты КИИ (ЗОКИИ) различных категорий. В то же время эти предприятия зачастую являются градообразующими, часто в нескольких регионах страны; рядом находятся объекты, обеспечивающие жизнедеятельность местного населения. Нарушение бесперебойной работы предприятий не только создает угрозу здоровью и жизни людей, но и негативно влияет на экономическую и социальную устойчивость региона. Объекты КИИ требуют защиты от угроз и в соответствии с законодательством РФ, и со здравым смыслом.
Когда мы говорим о производстве, главными показателями эффективности здесь являются качество продукции, её своевременный выпуск и отгрузка покупателю. Как защищать такие структуры, есть ли место инновациям там, где главный принцип защиты – «не навреди»?
Об этом мы поговорили с руководителем направления защиты АСУ ТП компании «Информзащита» Игорем Рыжовым.
Рыжов
Прежде всего, расскажите, от чего обычно приходится защищать промышленные компании?
Игорь Рыжов: От любой нелегитимной активности в сети предприятия. Это – и некорректные действия персонала, и злонамеренные действия или даже спланированные атаки, которые направлены на остановку работы систем (например, поточной линии выпуска продукции) или на кражу проектной, тендерной документации. На сегодня уже не единичны кейсы и по антифроду АСУ ТП. Словом, всё то, что относится к автоматизации и может привести к прямому и косвенному финансовому ущербу, а также несет угрозу социальной компоненте и экологии.
Самое «популярное» – это не киберугрозы, а киберинциденты, то есть занесенные в систему вирусы: шифровальщики, вымогатели. На втором месте находятся некорректные действия администраторов и злонамеренное проникновение в сети предприятия с целью наживы, мести, «слива» информации конкурентам.
Насколько проекты в области информационной защиты промышленных сетей востребованы сейчас на российском рынке?
Игорь Рыжов: Безопасность АСУ ТП активно обсуждается уже почти десять лет – с момента появления понятия о критически важных объектах (КВО). Отличием сегодняшнего дня является то, что мы уже имеем на рынке зрелые, готовые к применению российские продукты защиты информации, адаптированные к работе в промышленных сетях. Кроме того, за последние два года предприятия «откатегорировались» и перешли к проектированию или выполнению проектов по ЗОКИИ.
Проекты востребованы. Их организационная сложность в том, что участвуют три стороны: сотрудники ИБ-департамента, ИТ-департамента, инженеры службы АСУ ТП. Названия на предприятиях могут быть разными в зависимости от масштаба – технологи, метрологи, «киповцы», суть от этого не меняется. Ответственной стороной является ИБ, а бесперебойной работоспособностью рискуют прежде всего сотрудники АСУ ТП – они отвечают перед менеджментом непосредственно за выпуск продукции вместе со всей службой главного инженера.Догнать и перегнать: Российские ВКС прирастают новыми функциями 
Для построения правильной системы защиты не обойтись без всех трех сторон. Поэтому в компании «Информзащита» работает специализированная структура – Центр промышленной безопасности, хотя занимаемся мы в подавляющем большинстве случаев не охраной труда и промышленной безопасностью, а именно категорированием по ФЗ-187 и кибербезопасностью. Наши специалисты работали в добывающих и энергетических компаниях, на производстве. Им знакомы традиционные информационные системы, серверные и сетевые технологии, SCADA-системы, РЗА (релейная защита и автоматика) и ПА (противоаварийная автоматика). Преимуществом «Информзащиты» является то, что рядом с нами в других департаментах есть эксперты по SIEM-системам, файрволам, криптозащите и прочим отраслям ИБ, и мы можем сосредоточить свою экспертизу именно на защите АСУ ТП. Специалистами не рождаются, и мы выращиваем кадры в том числе из студентов в сотрудничестве с ведущими московскими вузами. Работая в данной тематике, надо быть в курсе мировых трендов и в этом нам помогает сотрудничество с ведущими производителями промышленного оборудования – Siemens, Yokogawa, Man, и другими уважаемыми в мире компаниями, чье технологическое оборудование установлено на предприятиях РФ.
Какие отрасли промышленности для вашей компании наиболее интересны? Какого типа проекты в этих отраслях популярны?
Игорь Рыжов: Если говорить о тех отраслях промышленности, которые на сегодняшний день в большей степени заинтересованы в наших услугах, то речь пойдет скорее всего о предприятиях с непрерывным циклом производства. Прежде всего – металлургия, нефтехимия, энергетика, нефтегазовый комплекс. Хотя есть и более специфичные запросы: транспорт и ОПК.
Что же касается востребованных проектов по ИБ, то наиболее популярны тесты на проникновение в сети АСУ ТП, анализ уязвимостей сетей, систем или кода, внедрение средств защиты информации в промышленных сетях. Но начинают все с очевидной задачи: заказчик хочет знать, насколько уязвима его организация и в каком месте с наибольшей вероятностью эта уязвимость будет проявляться. Ну и, конечно, выполнить требования регуляторов, в первую очередь – ФСТЭК, а для кого-то – других ведомств или внутренних распоряжений.
В чем особенности обеспечения информационной безопасности объектов КИИ?
Игорь Рыжов: Особенности – в масштабе потенциальной опасности последствий вторжения в систему таких предприятий, в потенциальном ущербе, который может стать реальным, при аварийной ситуации или приостановлении работы. Именно высокие риски и уровень значимости объектов стали поводом для принятия 26 июня 2017 года закона ФЗ-187 о безопасности КИИ, который направлен прежде всего на мониторинг и предотвращение нелегитимной активности в сети предприятия и на недопущение захвата управления злоумышленниками.
Процесс по защите КИИ не только непростой, но и небыстрый. С начала работы закона идет структурированная работа по категорированию. Каждая категория нуждается в разной степени защиты, так как несет разные степени риска. После присвоения категории данные направляются во ФСТЭК. От момента определения категории объекта до начала работ по ЗОКИИ проходит зачастую не один год. Соответственно, решения, которые закладывались в начале проекта, претерпевают изменения, так как продукты защиты развиваются, появляются новые. Меняются должностные лица, специалисты, не все помнят, почему первоначально принимались те или иные принципиальные решения.
Для многих отраслей можно отметить и такую ситуацию, что в эксплуатации находятся так называемая унаследованная инфраструктура – это когда мало кто помнит, как внедрялась какая-то система АСУ ТП. Она работает со времен чуть ли не СССР, работает без сбоев, и трогать ее никто не хочет. Там стоит старый компьютер, который не обновляется, и доступа к нему из сети никогда не было. Решение по защите такого «уязвимого» сегмента – это серьезная головная боль ИБ. Или даже очень современное оборудование, но установлено оно в ходе крупного проекта зарубежным вендором, и в договоре технической поддержки четко написано: «тронете – гарантию снимаем». Вот и задумываются – защищать или не защищать, как бы не стало хуже…
Надо отметить, что еще недавно мировые лидеры-производители технологического оборудования не закладывали в свои решения компоненту ИБ. Сегодня у них у всех есть собственные концепции и решения информационной безопасности, но и время изменилось, – теперь есть обязательные требования ФТЭК и ФЗ-187, реестр российского ПО, требования по применению сертифицированных продуктов и еще много интересного.
В то же время на предприятиях действуют целые подразделения цифровизации, стартуют проекты по накоплению и анализу данных – все они требуют прямого доступа к информации от производства и технологии. Кроме того, усложнились современные АСУ ТП и взаимодействие их со смежными системами: инсталляции и хранение данных размещается на виртуализированных ресурсах, в катастрофоустойчивых серверных группах, в сочетании с облачными технологиями. И это опять в конечном итоге усложняет эксплуатацию и ложится на плечи департамента ИБ.
Поэтому ИБ директора нуждаются в помощи нас как подрядчика, и на уровне «просто проконсультироваться» и на уровне выполнения сложных проектов по защите.
А какие инновационные решения существуют для промышленного сектора?
Игорь Рыжов: Набор продуктов, который формируется по защите объектов КИИ достаточно стандартен: антивирусы, перестройка сетей, выделение демилитаризованных зон. Далее расширенное меню: системы контроля привилегированных пользователей, защита виртуализации, системы мониторинга событий и так далее. И независимо от категории КИИ, многие заказчики хотят получить современную систему обнаружения вторжений для промышленных сетей.
Мы, как интегратор, предлагаем несколько решений, используя как собственные, так и лучшие зарубежные и российские продукты и наработки по кибербезопасности. Если говорить про реальные кейсы и инновационный подход, то можно привести в пример Kaspersky Industrial CyberSecurity for Networks (KICS for Networks).
KICS for Networks – это система обнаружения вторжений, которая выявляет потенциально враждебные действия в промышленной сети. Это обучаемый сенсор или их набор (отметим особенно слово «обучаемый»), который знает карту своей сети и все разрешенные и запрещенные для устройств сети операции. Таким образом обнаруживаются либо кибератаки, либо нелегитимные действия в промышленных сетях – и как высшее проявление разума – предаварийные ситуации на технологическом оборудовании.
«Лаборатория Касперского» двигает свою систему на передовые позиции в том плане, что она не только разбирает промышленные протоколы, строит карты промышленных сетей и анализирует уязвимости, но и имеет встроенный инструментарий с целью контроля значений технологических параметров. Более того, это программное обеспечение может использовать методики машинного обучения. Если лично от себя добавить, то меня радует, что достаточно хорошо система справляется с обработкой больших объемов данных, хотя лучше все-таки использовать SSD-диски.
Широкий функционал и создаваемая узнаваемым международным вендором со штаб-квартирой в Москве экосистема программной среды, включающая в том числе русскоговорящую поддержку и близость разработчиков, настойчиво подталкивают заинтересованных лиц использовать эту систему. Если у заказчика есть антивирус и KSC – логично подумать о KICS for Networks. Далее в иерархии ИБ, если мы получили и обработали тревожное сообщение и доказали его важность в SIEM-системе, то логична его передача в дальше в SOC и ГосСОПКА.
Можно ли использовать KICS for Networks в корпоративном сегменте или это система только для промышленности? Что там есть особенного?
Игорь Рыжов: KICS for Networks мог бы работать и в корпоративном сегменте, но это скорее вопрос стоимости решения, позиционирования продуктов и общей архитектуры. Предназначен продукт все-таки в первую очередь именно для промышленного сегмента сети предприятия. Кроме того, на рынке есть системы класса, например, NDR, которые тоже позиционируют себя как умные сенсоры с функционалом понимания ICS (Industrial Control Systems – сети АСУ ТП или промышленные сети) и SCADA.
Если посмотреть на зарубежные решения, то там видно, что рынок промышленных СОВ отвечает требованиям заказчиков и зачастую интегрируется с инвентаризационными и специализированными мониторинговыми системами. В KICS for Networks инвентаризация устройств (assets) также присутствует, хотя принцип и технология сбора данных собственные. Мониторинг – само собой.
Использовать технологии машинного обучения для анализа данных чрезвычайно прогрессивно, т.к. события в сети могут измеряться миллионами. Это аналогично сырым данным в ИТ. Если мы принимаем все правила – есть опасность пропустить уязвимость. Если не принимаем, то тонем в количестве информации, которое на постоянной основе не может обработать человек. Нужна машина, точнее AI и/или ML. У KICS for Networks эту функцию выполняет MLAD (Machine Learning for Anomaly Detection).
Если говорить об интеллекте, то хотелось бы отметить, что KICS for Networks регистрирует события по одной из следующих технологий: DPI, NIC, IDS, CC, EXT, AM.
Контроль технологического процесса (DPI) – по этой технологии регистрируются события, связанные с нарушениями технологического процесса (например, событие при превышении заданного значения температуры).
Контроль целостности сети (NIC) – по этой технологии регистрируются события, связанные с целостностью промышленной сети или с безопасностью взаимодействий (например, событие при обнаружении взаимодействия устройств в промышленной сети по-новому для этих устройств протоколу).
Обнаружение вторжений (IDS) – по этой технологии регистрируются события, связанные с обнаружением в трафике аномалий, которые являются признаками атак (например, событие при обнаружении признаков ARP-спуфинга).
Контроль системных команд (CC) – по этой технологии регистрируются события, связанные с обнаружением в трафике системных команд для устройств (например, событие при обнаружении неразрешенной системной команды).
Внешние системы (EXT) – к этой технологии относятся инциденты, а также события, которые поступают в KICS for Networks от внешних систем в том числе с использованием методов KICS API.
Контроль устройств (AM) – по этой технологии регистрируются события, связанные с обнаружением в трафике информации об устройствах (например, событие при обнаружении нового IP-адреса у устройства).
Кроме того, система имеет функционал по обнаружению паролей по умолчанию при подключении к устройствам и системам АСУ ТП. Простая, но важная для ИБ штука.
Эффективная ИБ система, конечно, должна иметь свежие обновления, и поэтому в KICS for Networks предусмотрена возможность обновления баз и программных модулей, системных правил обнаружения вторжений, правил получения сведений об устройствах и протоколах взаимодействий, правил корреляции событий для регистрации инцидентов, модулей обработки протоколов прикладного уровня для контроля технологического процесса.
Что, по вашему мнению, определяет уровень защищенности предприятия: используемые продукты, компетенции сотрудников, реализованные стандарты, нормативные акты?
Игорь Рыжов: Все перечисленное определяет уровень информационной безопасности на предприятии, но, на мой взгляд, одно из главных условий – создание корпоративной культуры информационной безопасности, доведение до всех сотрудников требований по информационной безопасности. Необходимо добиться понимания того, что от действий каждого сотрудника зависит, будет ли этот бизнес существовать и развиваться завтра, будет ли работать информационная система или «ляжет» после первой же атаки компьютерных хулиганов.
В каком направлении планирует развиваться ваша компания в области защиты промышленных систем? Как будет совершенствоваться ассортимент используемых вами продуктов, и развиваться партнерская политика?
Игорь Рыжов: По сообщениям аналитических отчетов, число инцидентов информационной безопасности в мире увеличились в 2020 году на 30% за счет именно действий злоумышленников в промышленных сетях (ICS). Поэтому защита промышленных систем – это, безусловно, одно из перспективных направлений бизнеса информационной безопасности. Три года назад был создан Центр промышленной безопасности, и сегодня он уже вышел на хорошие объемы работ. Но самое главное – нам удалось создать коллектив единомышленников, которые способны решать любые задачи в сложных организационных производственных условиях. Мы делаем большие инвестиции в нашу тестовую базу: сегодня у нас в компании более чем 150 стендов, на которых можно смоделировать ситуацию, инцидент, тестовую среду для отработки задач по проекту. Наша команда ориентируется на весомое партнерство с производителями технологий и программного обеспечения АСУ ТП, знакомится с интересными технологическими трендами и бизнес-проектами в реальном производстве. Также мы, безусловно, стараемся обладать знаниями по лучшим мировым практикам и продуктам области ICS Security.
