Киберзащита критической информационной инфраструктуры: вызовы и требования
Федеральная служба по техническому и экспортному контролю (ФСТЭК) обозначила 6 главных причин успешных кибератак на предприятия и государственные организации. Анализ выявил основные недостатки, которые способствуют успешным хакерским атакам. Это важно для создания эффективной киберзащиты.
Определение основных причин успешных хакерских атак
Итак, разберем, какие факторы способствуют успешным кибератакам:
- Необходимость проведения инвентаризации информационных ресурсов.
- Установка антивирусных программ.
- Защита периметра информационной инфраструктуры.
- Контроль почтовых вложений на предмет вредоносного ПО.
Эти шаги помогут сделать ИТ-системы более устойчивыми к атакам и обеспечат надежную киберзащиту.
Усложнение атак на критическую информационную инфраструктуру
Замглавы Минцифры РФ подчеркнул, что атаки на критическую информационную инфраструктуру все более усложняются. Хакеры используют различные методы, чтобы повлиять на ИТ-системы, включая банки, скрываясь за DDoS-атаками и проводя другие мероприятия для негативного воздействия.
Важность технологической независимости критической информационной инфраструктуры
Стандартизированное понятие технологической независимости критической информационной инфраструктуры России временно представлено для обеспечения интересов страны в сфере информационной безопасности. Стандарт ПНСТ 905-2023 рекомендует использовать соответствующие термины в документации и литературе, связанной с разработкой и проектированием информационных систем.
Помните, что технологическая независимость играет важную роль в обеспечении безопасности ИТ-систем. Следуйте стандартам и рекомендациям для защиты критической информационной инфраструктуры от киберугроз.
Технологическая независимость КИИ и Доверенный программно-аппаратный комплекс
Ключевыми понятиями документа являются определения таких терминов как технологическая независимость КИИ и доверенный программно-аппаратный комплекс.
Это состояние критической информационной инфраструктуры, характеризующееся возможностью ее создания, устойчивым, надежным функционированием и развитием, в том числе в условиях ограничений в доступности технологий и компонентов и программно-аппаратный комплекс, соответствующий требованиям обеспечения технологической независимости критической информационной инфраструктуры, функциональности, надежности и защищенности, соответственно.
Требования к ДПАК и КТП
При этом к ДПАК выдвигается ряд требований: как раз по обеспечению технологической независимости КИИ, по функциональности, надежности и защищенности.
Для этого у ДПАК должно быть ключевое техническое решение (КТП), которое является его неотъемлемой частью и существенным для удовлетворения перечисленных выше категорий требований на всех этапах жизненного цикла.
Что такое КТП, не уточняется, но определение очень похоже на отечественные аналоги аппаратного модуля TPM, которые, видимо, нужно будет устанавливать в каждый ДПАК.
Определения и стандарты
Кроме того, стандарт определяет для ДПАК испытательный полигон, радиоэлектронную продукцию (РЭП) и электронную компонентную базу (ЭКБ), которые используются для его проектирования, тестирования и эксплуатации.
Есть также определение и для программного обеспечения, которое разделено на четыре категории: встроенное, системное, прикладное и специальное.
Все эти категории ПО должны храниться в репозитории кода, который обязан полностью находиться на территории России.
ПНСТ 905-2023
ПНСТ 905-2023 разработан НПО Критические информационные системы (КИС) и экспертной организацией Инженерная безопасность.
Утвержден он техническим комитетом №167 Росстандарта под названием Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них в конце прошлого года – 28 декабря 2023 года приказом Росстандарта №115-пнст.
Стандарт предварительный, поэтому Росстандарт принимает замечания и дополнения к нему, которые должны быть направлены в ведомство не позднее, чем за 4 месяца до завершения действия. На их базе уже будет разработан основной стандарт, но это уже совсем другая история.
Путин разрешил сотрудникам транспортной безопасности сбивать дроны
Президент России подписал закон, разрешающий сотрудникам транспортной безопасности сбивать беспилотные летательные аппараты. Соответствующий документ опубликован 30 января 2024 года. Подробнее здесь.
Отражение 65 тысяч атак на объекты КИИ
Отечественные специалисты отразили более 65 тысяч атак на объекты критической информационной инфраструктуры (КИИ) в 2023 году. Такой информацией поделился вице-премьер РФ Дмитрий Чернышенко, о чем 9 февраля 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.
Объекты критической информационной инфраструктуры составляют основу экономической системы страны, пояснил Антон Немкин.
Значение защиты критической информационной инфраструктуры в России
Именно из-за этих причин объекты КИИ находятся под пристальным вниманием со стороны злоумышленников, подчеркнул Немкин.
Напомню, что только за первое полугодие 2022 года общее количество кибератак на российские организации увеличилось в 15 раз, по сравнению с аналогичным периодом 2021 года. Конечно, здесь не мог не сказаться фактор международной нестабильности, – отметил он.
По словам Немкина, играет роль и переход российских организаций на отечественные ИТ-решения.
Переход с одних систем на другие иногда создает бреши в информбезопасности, которыми активно пользуются злоумышленники. Речь идет об уязвимостях как в прикладном программном обеспечении, так и в самой инфраструктуре. При этом оптимальный уровень защищенности, во многом, зависит от скорости интеграции новых решений, – рассказал депутат.
Статистика о нарушениях безопасности
Почти треть российских компаний, обладающих КИИ, сталкивались с инцидентами безопасности. 32% субъектов КИИ сталкивались с инцидентами безопасности разной степени серьезности. Минимум 35% из них влекут за собой ущерб, который можно оценить в финансовых потерях. Простои — наиболее частое последствие инцидентов, причиной которых называют в основном DDoS-атаки и взломы сайтов. Кроме этого, приводятся следующие негативные последствия: репутационный ущерб, потеря данных без восстановления и прямой финансовый ущерб. Эти данные были получены в ходе исследования, проведенного К2 Тех. Об этом компания сообщила 26 декабря 2023 года.
Роль 187-ФЗ в обеспечении безопасности
К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. Поэтому остановка их деятельности может нанести серьезный ущерб жизни и здоровью людей. 187-ФЗ О безопасности критической информационной инфраструктуры Российской Федерации должен защитить промышленность, банки, больницы и другие учреждения и компании от киберугроз.
Хотя закон был принят в 2018 году, значительное число компаний признались, что все еще не знают, какие решения им понадобятся для реализации требований 187-ФЗ. С планами не определились 24% респондентов. Четкое представление о предстоящих закупках имеют 68% опрошенных, 8% затруднились ответить. В связи со сложностью проектов и требованиями по импортозамещению компании вынуждены приобретать дополнительные решения и заменять уже существующие.
Востребованные решения и проблемы
Самым востребованным классом СЗИ на декабрь 2023 года являются межсетевые экраны. При этом с межсетевыми экранами связано много вопросов, потому что что пока нет российских аналогов, сравнимых по производительности с ушедшими зарубежными вендорами. На втором месте — средства защиты от вредоносного кода. За ними идут сетевое оборудование, средства криптографической защиты и SIEM.
Развитие информационной безопасности в промышленности
Многие компании только в 2023 году начали плотно работать над выполнением требований 187-ФЗ. Это связано с несколькими факторами:
Указ Президента и практические задачи
Во-первых, c появлением 250 Указа Президента, где прописаны конкретные практические задачи, которые необходимо выполнить, сроки и ответственные.
Новый фокус бизнеса
Во-вторых, в 2022 году бизнес был сфокусирован на борьбе с атаками и выполнении предписаний ФСТЭК.
На декабрь 2023 года большинство компаний еще находятся на старте реализации. Самый важный этап для успешного завершения проекта — это качественное проведение категорирования и аудита объектов КИИ.
Доверие внешним подрядчикам
Более половины (57%) компаний частично или полностью доверяют этот процесс внешним подрядчикам. Это значительно экономит время. Когда организация выполняет аудит своими силами, мы иногда сталкиваемся с тем, что объектов КИИ оказывается в 3 раза больше, чем изначально указывалось.
Высокий уровень зрелости заказчиков
С годами мы наблюдаем значительное повышение уровня зрелости наших промышленных заказчиков в области информационной безопасности.
Новые вызовы
Тем не менее, развитие рынка ИБ промышленных инфраструктур диктует необходимость перехода от защиты объектов КИИ, в первую очередь, систем промышленной автоматизации, с использованием пассивного мониторинга, к более плотной интеграции средств защиты в периметр таких систем и реализации активных действий по реагированию на возникающие инциденты и (или) их недопущению.
Дальнейшие задачи
Повышение готовности заказчиков к реализации такого подхода в промышленных сетях — это то, над чем еще предстоит работать.
В последнее время возросло количество кибератак на цепочки поставок, в результате реализации которых на стороне взломанной ИТ-компании хакеры внедряют вредоносный код в ПО, который затем незаметно попадает в инфраструктуру заказчиков, например, вместе с очередным обновлением. По уровню потенциального негативного воздействия такая кибератака действительно может сравниться со взломом значимого объекта КИИ, особенно ввиду того, что внедренный в ПО вредоносный модуль может попасть в инфраструктуры сразу множества субъектов КИИ. Одним из вариантов решения задачи могла бы стать организация государственного сервиса по проверке безопасности ПО и СЗИ, например, с использованием «песочниц», методов композиционного анализа и средств статического, динамического, интерактивного анализа; после такой проверки отсутствия «закладок» в дистрибутиве или пакете обновления значение хэш-суммы инсталлятора можно помещать в публично доступный реестр надежного софта, с которым субъекты КИИ будут сверяться в обязательном порядке», — рассказал Руслан Рахметов генеральный директор Security Vision.
Минцифры выделяет 25,2 млрд рублей на развитие ГИС в сфере кибербезопасности
28 ноября 2023 года стало известно о том, что Минцифры РФ намерено направить 25,2 млрд рублей на развитие государственных систем в области кибербезопасности. Инициатива призвана ускорить импортозамещение в данной области, а также повысить эффективность действующих систем защиты от хакерских вторжений, вредоносного ПО и пр.
Как сообщает газета «Коммерсантъ», об инициативе говорится в материалах национального проекта «Экономика данных». Указанную сумму Минцифры предлагает инвестировать в период до 2030 года. Планируется, что все зарубежные продукты в сфере информационной безопасности (ИБ) получат российские аналоги. Это поможет компаниям и госструктурам отказаться от импортных решений, что важно в условиях сформировавшейся геополитической обстановки.
Минцифры намерено направить 25,2 млрд рублей на развитие государственных систем в области кибербезопасности
Из общей суммы в 25,2 млрд рублей Минцифры выделит 7,1 млрд рублей на развитие новой системы противодействия компьютерным атакам «Мультисканер» на базе ГосСОПКА (госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак; контролируется ФСБ). Эта платформа сможет обрабатывать более 90 млн файлов в год. «Мультисканер» станет аналогом бесплатного американского сервиса VirusTotal, анализирующего объекты на предмет наличия вредоносного кода. Полноценное внедрение нового защитного комплекса намечено на 2025 год.
Еще 3,7 млрд рублей пойдет на развитие госсистем «Антифрод» (противодействие мошенническим звонкам; Роскомнадзор) и «Антифишинг» (блокировка мошеннических сайтов; Минцифры). Примерно 2,4 млрд рублей Минцифры намерено израсходовать на оценку защищенности ключевых государственных информационных систем (ГИС). Около 12 млрд рублей потребуется на другие системы обеспечения кибербезопасности, включая криптографические инструменты.
ФСТЭК выявил сотни нарушений в защите информационной инфраструктуры России
Федеральная служба по техническому и экспортному контролю (ФСТЭК) по итогам оценки защищенности критической информационной инфраструктуры в отношении 900 субъектов выявил около 600 нарушений. Об этом заместитель начальника отдела управления ведомства Павел Зенкин рассказал в середине ноября 2023 года. По его словам, с точки зрения числе обнаруженных нарушений ситуация в сравнении с 2022 годом почти не изменилась.
ФСТЭК выявил около 600 нарушений в защите КИИ
Представитель ФСТЭК отметил, что с момента начала специальной военной операции ФСТЭК России направил в адрес субъектов информационной инфраструктуры более 160 мер, направленных на повышение защищенности объектов, в том числе по анализу уязвимости и обновлению ПО в условиях санкционной политики. По словам Зенкина, сотни нарушений в защите информационной инфраструктуры России – это «просто колоссальная цифра».
«Здесь необходимо выстраивать процессы управления уязвимостями, чтобы минимизировать хотя бы критичные», – считает он.
ИТ-господрядчиков в России заставят соблюдать требования к кибербезопасности
Федеральная служба по техническому и экспортному контролю (ФСТЭК) разрабатывает для ИТ-господрядчиков требования по обеспечению информационной безопасности ИТ-систем. Об этом замглавы ведомства Виталий Лютиков рассказал 14 ноября 2023 года.
По его словам, требования по кибербезопасности к господрядчикам, оказывающим услуги ИТ-разработки, необходимы потому, что большинство взломов и утечек данных из государственных информационных систем происходит через подрядчиков-разработчиков, к которым никаких обязательных требований не предъявляется.
ФСТЭК разрабатывает для ИТ-господрядчиков требования по обеспечению информационной безопасности ИТ-систем
Он отметил, что ФСТЭК проверила 40 тыс. систем критической информационной инфраструктуры и треть из них были отправлены на доработку «с точки зрения переоценки возможного ущерба» в случае нарушения работы при взломе. Почти каждая вторая система, проверяемая Федеральной службой по техническому и экспортному контролю, содержит критические уязвимости, заявил Лютиков.
По данным ФСТЭК, к середине ноября 2023 года в реестр объектов КИИ включено около 19% проверенных информсистем. Еще для 50% информсистем категории не присвоены, а по 31% заявки о присвоении той или иной категории значимости возвращены. При этом владельцам объектов КИИ было направлено около 1,6 тыс. требований о выполнении законодательства в части обеспечения безопасности.
ФСТЭК займется созданием централизованной базы данных для контроля объектов КИИ – указ Путина
Президент России Владимир Путин подписал указ, которым расширил полномочия Федеральной службы по техническому и экспортному контролю (ФСТЭК). Соответствующий документ опубликован в ноябре 2023 года. Подробнее здесь.
ФСБ задержала гражданина РФ, вступившего в киберразведку Украины для атаки на российскую КИИ
Сотрудники ФСБ РФ задержали в городе Белово Кемеровской области гражданина России, который вел противоправную деятельность, направленную против безопасности Российской Федерации. Задержанному предъявлено обвинение в совершении преступления, предусмотренного ст. 275 УК России (государственная измена в форме оказания иной помощи иностранной организации), избрана мера пресечения в виде содержания под стражей. Информация об этом опубликована на официальном сайте ФСБ в сообщении от 31 октября 2023 г.
Установлено, что задержанный с помощью интернет-мессенджера вступил в украинское киберподразделение, действующее в интересах разведывательных служб Украины, в составе которого осуществлял компьютерные атаки с применением вредоносного программного обеспечения на информационные ресурсы России, которые привели к нарушению работоспособности объектов критической инфраструктуры страны.
Минцифры РФ обяжет телеканалы и операторов связи создать ИБ-подразделения
В середине октября 2023 года стало известно о том, что Минцифры РФ разработало новые требования, в соответствии с которыми российские компании — владельцы средств массовой информации (СМИ), а также операторы сотой связи и спутникового телевидения обязаны создать подразделения информационной безопасности (ИБ). Новые правила вступят в силу с 1 января 2025 года.
Как сообщает газета «Ведомости», требования распространяются на все каналы первого и второго мультиплексов, на «Российскую газету», ИТАР-ТАСС и МИА «Россия сегодня». Указанные организации и операторы связи должны перейти на отечественные средства защиты информации, тогда как на использование соответствующих решений из недружественных стран накладывается запрет. Подразделение по ИБ станут своего рода «внутренним аудитором» ИТ-инфраструктуры, поскольку количество кибератак на российские компании в свете сложившейся геополитической обстановки растет.
Минцифры разработало новые требования по ИБ для владельцев российских СМИ
Новые требования частично дублируют положения указа № 250 (принят в мае 2022 года), который распространяется на субъекты критической информационной инфраструктуры (КИИ). Такие организации обязаны обеспечить определенный стандарт защиты от аварийных ситуаций и попыток и последствий намеренного деструктивного воздействия на них. Участники рынка говорят, что в случае распространения жестких требований КИИ на весь операторский бизнес и СМИ потребуются огромные финансовые затраты.
Раскрыты подробности кибератак на предприятия российского ОПК через Microsoft Office
Предположительно начальный вектор проникновения вредоноса в инфраструктуру предприятия эксперты связывают с эксплуатацией уязвимости в компоненте Microsoft Internet Explorer под номером CVE-2021-40444. К сожалению, этот же компонент используется и в офисных приложениях Microsoft Office, что и позволяет сделать эксплойт, который запустит загрузку и исполнение на машине жертвы вредоносного кода. Для успешной атаки нужно, чтобы жертва загрузила документ в формате DOCX и открыла его на редактирование в Microsoft Office.
MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб
Письма с эксплойтом уязвимости CVE-2021-40444 должны побуждать пользователя активировать режим редактирования документа, что является необходимым условием для его отработки. В этих письмах использовалось специфическое оформление текста, которое должно было побудить пользователя включить режим редактирования и сменить цвет шрифта на более контрастный. При включении режима редактирования происходит загрузка и выполнение вредоносного кода с контролируемого атакующими ресурса. Поэтому, если ваши сотрудники получали и просматривали письма с неконтрастным или другим неудобочитаемым оформлением, то стоит обследовать вашу инфраструктуру с помощью индикаторов компрометации, которые опубликовали в отчете исследователи.
Следует отметить, что MataDoor ориентирован на долговременное скрытое функционирование в скомпрометированной системе. Его файлы названы именами, похожими на легальное ПО, установленное на зараженных устройствах. К тому же ряд образцов имел действительную цифровую подпись. Также выявленные исполняемые файлы и библиотеки были обработаны протектором Themida для усложнения их анализа и обнаружения.
Сам же вредонос является модульным троянцем, который состоит из ядра (оркестратора) и модулей (плагинов), которые как раз и обеспечивают всю черную работу вредоноса в зависимости от того, на каком компьютере он установлен. MataDoor также предоставлял для своих модулей инфраструктуру передачи данных на контрольный сервер и асинхронного исполнения команд, загруженных с него. Таким образом, MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб. Ущерб, который был нанесен обнаруженным вредоносом и его собратьями, пока оценить достаточно сложно – в каждом отдельном случае нужно проводить тщательное расследование.
Правительство может смягчить требования к импортозамещению в критической информационной инфраструктуре
Требования указа президента Владимира Путина о переводе объектов критической информационной инфраструктуры (КИИ) на отечественные решения могут быть смягчены. В соответствии указом, подписанным 30 марта 2022 года, все программное обеспечение и программно-аппаратные комплексы (ПАК) на объектах КИИ должны быть замещены на отечественные до 1 января 2025 года.
Но для ПАКов возможно продление до окончания срока эксплуатации уже действующих решений. Такую поправку к указу разработал Минпромторг, рассказал «Ведомостям» федеральный чиновник и подтвердил топ-менеджер одной из нефтегазовых компаний. По их словам, документ был внесен в правительство.
Минцифры создаст реестр ПО для объектов критической информационной инфраструктуры
7 августа 2023 года стало известно о том, что Минцифры РФ разработало новый законопроект о безопасности критической информационной инфраструктуры (КИИ). Документ в перспективе приведет к формированию специального реестра программного обеспечения, разрешенного для использования в КИИ-системах.
Как сообщает газета «Коммерсантъ», документ «наделяет правительство полномочиями определять для каждой отрасли (а не только госкомпаний) типовые решения, которые будут отнесены к объектам КИИ, а также устанавливать для них сроки перехода на российские решения». Кроме того, планируется выбрать типовые ИТ-решения, которые будут отнесены к объектам КИИ. Иными словами, к объектам КИИ приравняют непосредственно информационные системы, используемые в тех или иных отраслях.
Минцифры разработало новый законопроект о безопасности критической информационной инфраструктуры
По состоянию на начало августа 2023 года к субъектам КИИ относятся госорганы, организации в области связи, здравоохранения, науки, транспорта, энергетики, банковской сферы, топливно-энергетического комплекса и других значимых отраслей экономики.
Категорирование самих информсистем значимых отраслей, по сути, расширит сферу действия закона путем включения объектов, которые ранее таковыми не были. А это приведет к появлению реестра софта, рекомендованного для использования на предприятиях и в организациях в различных отраслях экономики.
Минцифры РФ попросило госорганы создать дополнительную ИТ-инфраструктуру с георезервированием
4 августа 2023 года стало известно о том, что Минцифры РФ направило ведомствам методические рекомендации по укреплению устойчивости информационной инфраструктуры. В частности, предлагается выполнить резервирование каналов связи и обеспечить географическое распределение центров обработки данных (ЦОД).
Как сообщает газета «Коммерсантъ», ИТ-системы федеральных ведомств относятся к критической информационной инфраструктуре (КИИ). В сложившейся геополитической обстановке количество кибератак на такие ресурсы значительно возросло, что приводит к необходимости усиления защиты. Резервирование каналов связи требуется, если, например, в ЦОД, где одно или несколько ведомств хранят данные, доступ организован по единственной линии. В случае кибератаки или физического повреждения сетевого канала доступ к информационной системе ведомства будет невозможен.
Минцифры направило ведомствам методические рекомендации по укреплению устойчивости информационной инфраструктуры
На фоне новых угроз в киберпространстве действенным защитным решением может быть создание геораспределенных виртуальных и физических дата-центров с резервными каналами связи. Если это невозможно, то необходимо как минимум подключить к информационной системе дополнительные каналы связи, которые будут построены по географически разным маршрутам.
Данные о недвижимости в России защитят от кибератак
В конце июня 2023 года Госдума приняла в третьем (окончательном) чтении изменения в федеральный закон «О безопасности критической информационной инфраструктуры РФ» в части уточнения субъектов критической информационной инфраструктуры.
Документ относит к таким субъектам информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости. Кроме того, субъектами КИИ также будут считаться лица, которым принадлежат такие системы и сети.
В КИИ включат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости
Данная инициатива, по словам ее авторов, позволит распространить на сферу недвижимости комплекс мероприятий, которые применяются государством для защиты критической информационной инфраструктуры. Новые нормы вводятся для обеспечения безопасности регистрационных данных в сфере недвижимости, «чтобы защитить их от хакерских атак и похищения», говорит председатель думского комитета по безопасности Василий Пискарев.
Можно только предполагать, к каким последствиям приведут попытки хакеров взломать базы данных и, например, изменить данные о собственниках недвижимого имущества или просто похитить эти сведения в мошеннических целях, – отметил он.
Принятие законопроекта позволит реализовать комплекс мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, проводимых в отношении объектов указанной сферы, и создаст условия для противодействия преступлениям, отмечается в пояснении к документу.
Центр кибербезопасности ФСБ фиксирует рост кибератак через ИТ-подрядчиков. Что рекомендуется делать
Кибератаки на информационные системы госорганов и субъектов критической информационной инфраструктуры (КИИ) через цепочку поставок, через ИТ-инфраструктуру подрядчиков в Национальном координационном центре по компьютерным инцидентам (НКЦКИ), подведомственном ФСБ, называют одной из ключевых тенденций в 2023 году.
Эксперт НКЦКИ Андрей Раевский, выступая на международной конференции по ИБ 6 июня, пояснил, что часто ИТ-подрядчик разрабатывает и сдаёт проект, но у него остаются права администратора для авторского надзора или дальнейшего сопровождения системы. И наблюдается тенденция проникновения в инфраструктуру госорганов и субъектов КИИ через административные права ИТ-подрядчика.
При этом на законодательном уровне требования в области ИБ к информационным системам таких подрядчиков сейчас отсутствуют. По словам эксперта, в НКЦКИ задумываются над тем, чтобы предусмотреть требования на законодательном уровне, в первую очередь, для ИТ-подрядчиков, выполняющих работы для госструктур и субъектов КИИ.
Из презентации Андрея Раевского
НКЦКИ со своей стороны рекомендует заказчикам в рамках технических заданий на ИТ-проекты прописывать требования к информационной безопасности ИТ-ресурсов подрядчиков. И некоторые серьёзные организации уже это делают, отмечает Андрей Раевский.
Помимо этого, НКЦКИ рекомендует ограничивать количество уделённых подключений к своим системам привилегированных пользователей из числа подрядчиков.
На рынке есть отечественные разработки в области средств привилегированного доступа. Их использование становится очень актуальным. В НКЦКИ считают, что стоит присмотреться к этим разработкам.
Также необходимо следить за появлением сведений об утечках и компьютерных инцидентах в подрядных организациях, и в случае таких утечек в отношении своих информационных ресурсов нужно запрашивать у разработчиков по реагированию и исследованию причин возникновения утечек.
ФСБ утвердила порядок мониторинга защищённости сайтов субъектов КИИ
2 июня 2023 года Федеральная служба безопасности Российской Федерации (ФСБ) утвердила порядок мониторинга защищённости сайтов субъектов критической информационной инфраструктуры (КИИ).
Речь идёт о ресурсах, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям (компаниям) и иным организациям, созданным на основании федеральных законов. Кроме того, документ распространяется на стратегические предприятия и акционерные общества, системообразующие организации российской экономики, а также на юридические лица, являющиеся субъектами КИИ.
ФСБ РФ утвердила порядок мониторинга защищённости сайтов субъектов критической информационной инфраструктуры
Говорится, что мониторинг осуществляется в целях оценки способности информационных ресурсов организаций противостоять угрозам информационной безопасности. Соответствующие работы будут выполняться Центром защиты информации и специальной связи ФСБ и территориальными органами безопасности. Под мониторинг подпадают информационные системы (в том числе сайты в интернете), информационно-телекоммуникационные сети и автоматизированные системы управления.
ФСТЭК призывает госорганы и банки отключить доступ к корпоративной почте через зарубежные IP
21 марта 2023 года стало известно о рекомендациях в части информационной безопасности, которые Федеральная служба технического экспортного контроля (ФСТЭК) субъектам безопасности критической информационной инфраструктуры (КИИ — госорганы, связь, финансы, ТЭК, операторы связи и т. п.).
Объектам КИИ рекомендуется отключить удаленный доступ к критичным узлам, запретить open relay и взаимодействие через почту с иностранных IP
ФСТЭК пояснила, что эти меры позволят дополнительно защитить почтовые системы значимых компаний в РФ, относящихся к КИИ. Также ФСТЭК напомнила о необходимости записи действий всех привилегированных пользователей в ИТ-системах объектов КИИ для борьбы с возможными «внутренними нарушителями», включая тех, кто обеспечивает технологические процессы компаний в рамках аутсорса или привлечённых к работам сторонних сотрудников из других отделов.
ФСТЭК объяснила, что делать, если у владельца КИИ нет денег на ИБ-систему для обеспечения её защиты
По итогам проведённых мероприятий госконтроля ФСТЭК выявила типовые проблемы в области защиты значимых объектов критической информационной инфраструктуры. О них 15 марта 2023 года рассказала начальник управления ФСТЭК России Елена Торбенко на мероприятии, посвящённом информационной безопасности АСУ ТП критически важных объектов.
К значимым объектам КИИ, напомним, относятся такие объекты КИИ, которым присвоена одна из категорий значимости, и они включены в соответствующий реестр, который ведёт ФСТЭК.
Нехватка денег для создания системы безопасности значимых объектов КИИ – нередкая проблема
По словам Елены Торбенко, финансовая проблема по созданию системы безопасности значимых объектов КИИ – одна из основных. Вместе с тем, когда объекту присваивается категория значимости в 2019-2020 гг., а в 2023 году ФСТЭК видит, что создание подсистемы защиты информации запланировано лишь на 2024-2025 гг., – это халатность, сказала представитель регулятора.
Невыполнение требований законодательства – это ответственность. Хорошо, если административная. А если произойдёт инцидент по данному вопросу, то это будет уже уголовная ответственность.
Не нужно сейчас спихивать задачу – «это был не я, это было до меня, у нас нет финансирования». Если вы не можете реализовать технические меры, то нужно что-то компенсирующее – организационные меры. Они не требуют существенных затрат, – отметила Елена Торбенко.
Если, например, в организации в промышленной системе, у которой жизненный цикл 5-10 лет, не могут реализовать те или иные меры, к примеру, установить туда антивирус, то следует применить организационную меру: оставить какое-то промежуточное место, где будет проводиться соответствующая проверка носителей информации, которые работают в значимой системе, в промышленном объекте, пояснила представитель ФСТЭК.
Или, если в организации не могут поставить парольную политику и разделение ролей, это можно сделать организационно, классически – журналированием.
Большинство этих организационных, «нулевых», как мы называем, мер уже реализованы в рамках ваших мер по промышленной безопасности. Просто примените их в своём значимом объекте, задокументируйте и живите спокойно, – рекомендовала начальник управления ФСТЭК России. – Но, тем не менее, создать подсистему нужно, в том числе с учётом тех организационных мер, которые вы можете применять в своих значимых объектах.
Другая основная выявленная проблема в том, что фактический состав таких объектов не соответствует тому, что субъекты КИИ предоставили в ФСТЭК ранее. Сведения о них не обновляются. Это ведёт к тому, что ни ФСТЭК, ни НКЦКИ зачастую не могут вовремя предупредить субъекты КИИ о проблемах, угрозах и опасностях, которые возникают в нынешней ситуации.
Следующей распространённой проблемой является то, что технологические объекты подключаются к корпоративным системам, и формально в организации считают, что выхода в интернет нет, однако корпоративная система зачастую без применения дополнительных средств защиты информации взаимодействует с интернетом.
Минимальная защита на периметре вашего значимого объекта КИИ, минимальные средства защиты и меры на периметре вашей корпоративной системы приводят к тому, что нарушитель может спокойно действовать в ваших системах. Статистика показывает, что до проявления нарушителя в системе он может находиться там до нескольких месяцев, – отметила представитель ФСТЭК.
Что касается выполнения правил категорирования значимых объектов КИИ, тут ФСТЭК указывает на то, что при категорировании зачастую не учитывается взаимодействие таких объектов с другими объектами. В организациях часто забывают, что один объект может зависеть от другого в своём функционировании. В итоге в ФСТЭК сталкиваются с тем, что зависимые объекты имеют разную категорию, что также несёт в себе угрозы безопасности.
А в некоторых организациях поступают так: разбивают свои объекты КИИ на отдельные небольшие подсистемы, пытаясь исключиться из реестра значимых объектов КИИ. Но это не пройдёт, заверила Елена Торбенко. От тех, кто так поступает, регулятор требует обосновать взаимодействие этих объектов.
Кроме того, имеет место занижение ущерба, который может повлечь прекращение или нарушение функционирования значимых объектов КИИ. К данной проблеме в ФСТЭК привлекают экспертов из других министерств, чтобы они помогли разработать необходимые методики и рекомендации.
Количество кибератак через подрядчиков выросло в 2 раза. Национальный центр по компьютерным инцидентам – о главных трендах 2022 года
В Национальном координационном центре по компьютерным инцидентам (НКЦКИ) констатируют, что на обстановку в российском информационном пространстве в 2022 году существенное влияние оказывало проведение СВО на территории Украины. Против России была развёрнута «беспрецедентная по масштабам» киберкампания, основными целями которой является выведение из строя информационной инфраструктуры и несанкционированный доступ к ИТ-системам организаций и предприятий различных отраслей критической информационной инфраструктуры РФ. Замдиректора НКЦКИ Николай Мурашов на отраслевом мероприятии 7 февраля резюмировал ключевые тенденции в области киберугроз за 2022 год.
Количество компьютерных атак на объекты российской информационной инфраструктуры в 2022 году увеличилось в разы. При этом отмечается увеличение и скорости реализации угроз: с момента появления сведений об угрозах – например, публикации сведений об уязвимостях – до практической реализации иногда проходит всего несколько часов.
Повышается доступность хакерского инструментария: на специализированных ресурсах регулярно публикуются исходные коды программных средств проведения атак, а также подробные сведения о компьютерных инцидентах для их дальнейшего анализа.
В 2022 году против России была развёрнута «беспрецедентная по масштабам» киберкампания, отмечают в НКЦКИ
Имеют место «политизированные недружественные действия» международного киберсообщества. Так, международное сообщество для реагирования на киберугрозы FIRST (Forum of Incident Response and Security Teams) прекратило работу с российскими центрами реагирования на компьютерные инциденты. Это решение подтверждает высказанную ранее НКЦКИ озабоченность о декларативном характере подхода некоторых стран к решению задачи по созданию мирной, стабильной и защищённой ИКТ-среды, считает Николай Мурашов.
В 2022 году увеличилось количество атак через цепочку поставщиков: это и интеграторы, и производители средств защиты, поставщики услуг и другие деловые партнёры. Количество атак через подрядчиков за год выросло в 2 раза, по имеющейся в распоряжении НКЦКИ информации. Получив доступ к инфраструктуре подрядчика, злоумышленники оказываются внутри целевой системы.
В 2022 году фиксировались массированные атаки на корневые DNS-сервера, отключение провайдеров от крупных магистральных каналов, встраивание вредоносного ПО в широко используемые элементы веб-страниц, а также появление вредоносного кода в обновлениях ПО – как свободно распространяемого, так и коммерческого.
Особенностью DDos-атак последних месяцев стало по-настоящему большое количество их участников. В кратчайшие сроки были сформированы Telegram-каналы, в которых проводилась агитация обычных людей, инструктаж участников, координация целеуказания, а также распространялись элементы проведения атак.
При этом большой объём DDoS-атак явился прикрытием для более серьёзных воздействий. Немало компьютерных атак было направлено на хищение информации из систем организаций и выведения из строя технологических процессов.
Одним из трендов стали атаки с использованием шифровальщиков для получения выкупа. В качестве целей злоумышленники выбирали платёжеспособные организации, в которых шифрование данных может нарушить функционирование основных бизнес-процессов. Поэтому они проявляли интерес к крупным компаниям, в том числе к промышленным предприятиям.
Большое внимание злоумышленники уделяют атакам, которые могут иметь значительный общественный резонанс, публикуется много утечек данных. В то же время, отмечают в НКЦКИ, в погоне за инфоповодом и общественным резонансом злоумышленники часто выдают сведения из ранее произошедших утечек за новые, делают компиляции из данных, полученных из публичных источников. Нередки случаи, когда взлом небольших организаций выдаётся за утечку из ключевых государственных систем или объектов критической информационной инфраструктуры. Тем самым поднимается якобы значимость произошедшего события, говорит Николай Мурашов.
Отдельно в НКЦКИ отмечают угрозы, связанные с возможным нарушением работы средств защиты информации. Прекращение их поддержки производителями, массовый отзыв сертификатов и другие ограничения могут оказывать негативное влияние на функционирование российского сегмента интернета.
Для повышения эффективности противодействия обострившимся угрозам ИБ необходима активизация и консолидация сил и технических средств субъектов критической информационной инфраструктуры, отметил Николай Мурашов.
В НКЦКИ также привели статистику по присоединениям к системе ГосСОПКА: к ней присоединились 1277 новых участников, а общее их количество теперь превышает 3,5 тыс.
Владельцы критических для России ИТ-систем наступают на старые грабли. ФСТЭК назвала типовые ошибки в безопасности
В 2022 году представители ФСТЭК в рамках мероприятий по реализации субъектами КИИ мер защищённости своих объектов осуществили выезды к более чем 700 организациям. По итогам представители регулятора увидели «неутешительные результаты», заявила на отраслевой конференции 7 февраля 2023 года начальник управления ФСТЭК России Елена Торбенко.
Ряд проблемных вопросов, актуальных уже несколько лет, остаются нерешёнными. Среди организаций в различных сферах были выявлены типовые ошибки, создающие возможность реализации угроз безопасности объектов КИИ. Представитель ФСТЭК их озвучила.
По итогам контрольных мероприятий ФСТЭК выявила типовые ошибки в области защиты объектов КИИ (фото – securitylab.ru)
Прежде всего, на компонентах значимых объектов КИИ в периметре организации выявляется ПО, в котором присутствуют уязвимости критического уровня опасности, которые могут быть проэксплатированы в том числе за счёт уязвимостей архитектуры системы.
Анализ защищённости субъектами КИИ не проводится, – говорит Елена Торбенко. – Коллеги, если у вас нет своих специалистов и ресурсов, за счёт которых вы могли бы это произвести, допускается привлечение лицензиатов, т.к. анализ защищённости периметра – это анализ той системы, с которой сталкивается нарушитель в первую очередь. Если вы там оставляете «дыры», вы оставляете открытую дверь для захода нарушителя в вашу систему.
Кроме того, ФСТЭК всё ещё сталкивается с тем, что на значимых объектах, в том числе на используемых для них средствах защиты информации, стоят пароли по умолчанию. Т.е. софт закуплен, установлен, и в нём остались предустановленные пароли. Это также по сути является приглашением для нарушителя проэксплуатировать уязвимость.
Те меры, которые реализует субъект КИИ, в ряде случаев являются формальными: они недостаточны для того, чтобы обеспечить полноценную защиту значимых объектов. При этом в случае невозможности реализации тех или иных мер на значимых объектах не применяются компенсирующие меры, говорит представитель ФСТЭК. Регулятор сталкивается с тем, что антивирусная защита не устанавливается в информационных компонентах. И там, где в системах автоматизированного управления невозможно установить антивирус, не реализуются дополнительные меры проверки носителей, которые есть.
Ещё одна типовая ошибка – использование неучтённых носителей информации, которые могут являться разносчиками вредоносного ПО в системах организации. И случаи шифрования промышленных систем уже встречаются в практике.
Некоторые субъекты КИИ также не считают целесообразным делать разграничение прав доступа к системам, привела ещё один пример Елена Торбенко. Соответственно, рядовой оператор может сделать всё что угодно из-под своей учётной записи, например, вывести объекты КИИ во внештатный режим функционирования.
Остаётся проблемой и взаимодействие с цепочкой поставок – т.е. с теми, кто обслуживает системы субъектов КИИ как в плане обеспечения безопасности, так и их штатного функционирования. В некоторых случаях полностью отсутствует контроль за такой внешней организацией, в договорных отношениях не предусматриваются вопросы того, что поставщики должны выполнять требования законодательства и также обеспечивать безопасность объектов КИИ.
И я уже не говорю о таких классических нарушениях, как контроль машинных носителей, отключение неиспользованных USB-портов и т.д. – то есть тех мерах, которые с незапамятных времён применяются в информационных системах, – добавила Елена Торбенко.
Представитель ФСТЭК также сообщила, что в 2022 году субъекты КИИ продолжали деятельность по определению своих ИТ-объектов, как объектов КИИ, отнесению их к значимым и созданию для них систем обеспечения безопасности. За 2022 год количество объектов, отнесённых к значимым, увеличилось более чем в два раза по сравнению в 2021-м, по данным ФСТЭК.