Повысить безопасность без расширения штата

По мере цифровизации промышленности обязанности службы информационной безопасности (ИБ) существенно расширяются, поскольку увеличивается площадь атаки. Однако специалистов по защите промышленных объектов сейчас не очень много, поэтому компании вынуждены обходиться минимальными силами. Для этого необходимо повышать уровень автоматизации средств, находящихся в распоряжении службы ИБ. О возможностях интенсивного развития защиты мы поговорили с руководителем отдела технического сопровождения продаж компании InfoWatch ARMA Федором Владимировичем Трифоновым.

Вопрос: С помощью каких технологий, по вашему мнению, можно обеспечить защиту сложных объектов минимумом персонала служб ИБ?

Ответ: Если говорить про безопасность АСУ ТП, то сейчас на рынке следующая ситуация: большая часть компаний не планирует расширять штат сотрудников для защиты промышленных объектов по требованиям закона №187-ФЗ или собирается увеличить его незначительно. Как следствие на специалистов помимо задач, которые у них уже были – выдача прав, обновление антивирусного ПО, контроль подрядчиков, ложится еще ряд новых задач. Сначала это категорирование, потом составление организационно-распорядительной документации или контроль ее качества от исполнителя, интеграция СЗИ, затем ее эксплуатация. Вариантов качественного решения перечисленных задач всего два – либо создание выделенного подразделения, либо автоматизация этих процессов. Наша компания берет на себя задачу предоставить продукт, который будет автоматизировать деятельность специалиста по ИБ на протяжении всего жизненного цикла системы защиты информации. Мы создали систему продуктов, позволяющую категорировать объекты КИИ, создавать документы, обновлять их, настраивать продукты, контролировать политики, автоматизировать реакцию на инциденты и при этом сокращать их количество. Все это позволит сэкономить массу времени и денег промышленным компаниям и значительно повысить их безопасность без расширения штата.

Вопрос: Какие инструменты помогают проводить категорирование объектов КИИ? Насколько они востребованы у российских промышленных предприятий?

Ответ: Мы рекомендуем применять инструменты, которые позволяют проводить инвентаризацию сетевых активов в режиме реального времени, после чего использовать инструмент, способный сформировать пакет документов по объектам КИИ для отправки регулятору. Что касается востребованности, то у нас есть закон, который обязывает провести категорирование и построить системы безопасности. Самих инструментов на нашем рынке не так много, а вот спрос на них довольно большой, особенно со стороны крупных холдингов, в которых есть отдел, занимающийся категорированием объектов. В частности, наше решение позволило одной крупной компании, не прибегая к найму субподрядчиков, провести полноценное категорирование с первого раза, без ошибок в категории и всей документации в едином рабочем пространстве. Это дало возможность сэкономить бюджетные средства на информационную безопасность, которые впоследствии были потрачены на приобретение СЗИ.

Вопрос: Каковы основные тенденции развития рынка средств защиты АСУ ТП в России и мире? Какие технологии стали наиболее популярными в прошедший год?

Ответ: Мы видим спрос на комплексность решений: заказчики хотят строить моновендорную защиту в конкретном сегменте, поэтому приоритеты все-таки у экосистем одного производителя. В течение 2021 г. мы получали запросы на анализ кода ПЛК. На текущий момент мне неизвестно ни одного выпущенного продукта ни в России, ни за рубежом, который способен справиться с данной задачей. Никуда не исчезли и старые тенденции – защита от шифровальщиков и целенаправленных атак, автоматизация реагирования на инциденты, соответствие специфики ИБ АСУ ТП. Многие компании начинают заниматься сегментацией сети, уделять больше времени выбору сертифицированного решения по защите рабочих станций и серверов специалистов АСУ ТП.

Вопрос: С помощью каких инструментов можно обеспечить видимость сети? Насколько российским компаниям близка концепция Zero Trust?

Ответ: По моему мнению, сегодня в модель Джона Киндервага верят большинство российских компаний. Для специалиста в области информационной безопасности всегда важно сохранять данные в целостности и сохранности, и если для этого необходимо внедрять дополнительный функционал, то почему бы и нет? Что касается инструментов, то у разных компаний разный подход. Мы за счет своих межсетевых экранов прослушиваем трафик и видим коммуникацию внутри сети, благодаря нашим агентам понимаем, подключались ли какие-то внешние устройства к рабочим станциям, не даем возможности использовать программы, которые не нужны на рабочих станциях, тем самым создавая полноценную замкнутую среду. На мой взгляд, этого достаточно для того, чтобы обеспечить базовый уровень безопасности промышленного сегмента АСУ ТП.

Вопрос: Какие наиболее интересные проекты в области защиты АСУ ТП специалисты InfoWatch реализовали в прошедшем году?

Ответ: Если говорить об интересных исследованиях, то это анализ доступных из сети Интернет устройств АСУ ТП, которое было проведено при помощи поисковой системы Shodan. В рамках этого исследования мои коллеги установили огромное множество АСУ ТП, имеющих открытый доступ в Интернет. Проект всколыхнул большое количество обсуждений в сети, но важно то, что перед публикацией статьи вся информация была передана в НКЦКИ, который провел работы по оповещению владельцев АСУ ТП для устранения найденных проблем. Данный проект помог многим организациям узнать, где у них есть «болевые точки» и как их нужно закрыть. Результаты нашей работы были опубликованы, кроме того, был проведен вебинар.

Хотелось бы также отметить проекты в области защиты медицинских учреждений. Пандемия набирает обороты, ставятся очередные антирекорды по заболевшим, вследствие чего расширяется инфраструктура медучреждений, возрастает количество профильного оборудования. Совместно с несколькими компаниями мы выяснили, что аппараты МРТ, ИВЛ и пр. работают по «промышленным» протоколам. По результатам исследования был сделан вывод, что использование классических межсетевых экранов в этом случае неэффективно.


(c) 2013-2022