Давно и незаслуженно не писал про КИИ, при том, что КИИ уже больше двух лет
остается центральной темой обсуждений большинства безопасников нашей страны на
конференциях и в социальных сетях. Достаточно обратить внимание на то, что
самая многочисленная тематическая группа по ИБ в Рунете – это группа в Telegram, посвященная
теме КИИ, в которой на текущий момент насчитывается почти три тысячи
участников.
Каюсь и исправляюсь. Сегодня речь пойдет про SOC-Форум, а точнее про его небольшую часть. SOC-Форум это всегда
что-то глобальное и актуальное с широким охватом тем, экспертов и регуляторов,
которые всегда открыты к диалогу на сцене и в кулуарах. А еще как оказалось на
форуме есть не числящиеся в программе секции, к которым в том числе относятся
пресс-конференции для СМИ. Так, на одной из таких, посвященной практике защиты
КИИ от кибератак, предоставилась возможность поучаствовать в качестве
модератора. Опыт получился интересный, вопросов было как всегда больше, чем
времени. За отведенные 40-50 минут удалось обсудить с десяток вопросов – часть
из них была от модератора, часть от представителей СМИ. От СМИ были как
представители многих известных печатных и электронных изданий по ИТ и ИБ, так и
телеканалов.
В ряду
экспертов расположились:
· Игорь Ляпунов, вице-президент по информационной
безопасности ПАО «Ростелеком», генеральный директор компании «Ростелеком-Солар»
· Роман Кобцев, директор по развитию бизнеса,
компания «Перспективный мониторинг»
· Дмитрий Кузнецов, директор по
методологии и стандартизации Positive Technologies
· Антон Шипулин, менеджер по развитию решений по
безопасности критической инфраструктуры Лаборатории Касперского
· Валерий Богдашов, директор Центра
экспертизы R-Vision.
Откровенно говоря, список участников был бы более полным,
если бы в нем кроме представителей СМИ и экспертов расположились представители
регуляторов, но их к сожалению не было, поэтому по всем вопросам пришлось
отбиваться экспертам, благо тема пресс-конференции была ориентирована на
обсуждение практических вопросов и поэтому отряд не заметил особо потери бойца.
Далее приведу совсем немного сокращенную стенограмму
пресс-конференции в формате вопрос-ответ.
Вопросы к
экспертам от модератора.
1.
Минэкономразвития
предложило запретить использовать зарубежное оборудование и софт на системах
критической инфраструктуры. К такой инфраструктуре относятся, например, сети
связи банков, транспортных, нефтяных компаний и энергообъектов. На сколько это
реализуемо и на что стоит обратить внимание субъектам КИИ?
Ляпунов. Я считаю, что подобные инициативы конечно же полезны. Во-первых, это помогает развивать
наш рынок ИБ, создавая российские технологии и добавленную стоимость. И
конечно, когда мы говорим о защите КИИ, мы защищаемся как правило не от
каких-то обычных хакерских группировок, это во многом иностранные разведки,
целью которых является воздействие на наши национальные интересы и мы должны
понимать, что их уровень технической оснащенности и вооруженности очень высокий.
Когда мы пользуемся американским ПО или оборудованием, это их точка присутствия
в нашей стране на самых критических участках. Но очевидно, что подобные меры
будут вводиться с некоторым отлагательным условием, т.к. невозможно построить
новую электрическую турбину полностью на российских технологиях за год и даже
за два. Конечно, это будет длинный процесс, потому что все тут же начнут
вспоминать про ПО и операционную систему. И если тут мы с российскими
технологиями разберемся, то, когда мы начнем говорить про элементную базу, то
здесь мы все дружно и закопаемся. Конечно это направление правильное, дальше
вопрос как долго мы будем к этому идти и конечно за чей счет банкет, как все
это будет финансироваться. Инвестиции длиною в 10 лет невозможно делать
коммерческим компаниям. Это должна быть государственная программа субсидий,
поддержки производителей, чтобы они могли выдерживать такие длинные процессы
разработки.
Модератор. Возможно
с этим связано и то, что регуляторы в 187-фз и подзаконных актах не прописали
требование по обязательности использования сертифицированных СЗИ, потому что на
момент принятия этих актов сертифицированных российских аналогов СЗИ многих
классов просто не было. Но в процессе появления таких сертифицированных СЗИ
возможно требования регуляторов будут меняться в сторону необходимости
использования именно сертифицированных СЗИ, которые со временем смогут покрыть
отечественными средствами большинство требований закона и подзаконных актов.
Шипулин. Говоря не
с точки зрения российского вендора, а с точки зрения глобальной ситуации,
сейчас наметился в целом тренд на импортозамещение и локализацию. С одной
стороны, это хорошо для развития российских продуктов, с другой стороны плохо
для потребителя, который лишается лучших технологий. И тут хорошо бы обратиться
к авторам данной инициативы за подробным планом реализации высказанных
предложений, потому что факторов очень много и эта задача непростая. Большое
количество ПО основывается на компонентах с открытым кодом, на компонентах
разработчиков из других стран, и все это устранить, включая средства разработки
– это огромная задача.
Кузнецов.
Есть два противоречащих друг другу желания. С одной стороны, есть желание
использовать российские сертифицированные СЗИ, а с другой стороны понятно
желание не навредить. Мы если ставим какую-то железку в технологическую
установку, то оператор этой системы должен быть уверен, что эта железка не
нарушит работоспособность системы. И требование ФСТЭК, что при реализации мер
защиты преимущество должно отдаваться не специализированным СЗИ, а встроенным
механизмам безопасности технологических систем это вынужденная мера. Т.е. тот, кто эксплуатирует систему может оказаться в дурацкой ситуации – с одной стороны
если не дай Бог появится требование в обязательном порядке использовать только
сертифицированные СЗИ он вроде как должен будет в свой технологический процесс
поставить стороннее устройство, пусть даже сто раз доверенное, прошедшее
сертификацию российской лабораторией, с другой стороны ему нужно подтверждение
зарубежного производителя своей системы АСУ ТП о том, что эта железка ему не
помешает. Но скорее всего производитель АСУ ТП такую гарантию не даст, а скажет
используйте наше, нам не интересно что у вас там сертифицировано. Поэтому пока
действует компромисс – ребята, используйте встроенные механизмы, а если их не
хватает используйте сертифицированные, ну или хотя бы собственноручно вами
протестированные. И пока будет сохраняться это противоречие, я не думаю, что
кто-то из регуляторов рискнет в приказном порядке сказать, а ну-ка на все
атомные станции ставьте только российские СЗИ.
Богдашов. Говоря о
КИИ в большинстве случаев приоритетом является бесперебойность работы таких
систем и сервисов. Соответственно нужно обеспечить качество на всех этапах и
уровнях. На уровне ПО, на уровне оборудования, как общесистемного, так и
прикладного. На уровне СЗИ также необходимо обеспечить стабильность их работы.
И клиенты и эксплуатанты такой системы в первую очередь обеспокоены тем, чтобы
бизнес работал без остановки и та зона ответственности, которая у них есть в
плане стабильной работы, была безопасна. Есть локальные достижения в области
отечественных разработок ПО – касательно СЗИ, специального ПО, ОС, но есть и
определенные сложности в комплексной работе этих решений друг с другом и с
аппаратным обеспечением российского производства. Это большая история, которая
наверняка нами будет пройдена, но не быстро, и сейчас говорить вот такие
заявления преждевременно.
2.
На сколько, по
вашему мнению, строг закон к нарушителям в области КИИ? За почти два года
действия 187-ФЗ обвиняемые ни разу не получили реальный уголовный срок. Пока
суд обходился условными сроками, либо вообще прекращал уголовное дело, либо
переквалифицирован на другие статьи. С чем это может быть связано и какие
прогнозы можно дать на будущее?
Кобцев. Не было
реальных сроков именно по 274.1. Давайте разделим – не было ущерба и был ущерб.
Не было ни одного случая, когда был ущерб или информация об инциденте дошла до
руководства региона или выше, и чтобы должностные лица так или иначе не были
наказаны. И если есть реальные наказания по другим статьям, то зачем нам
усиливать давление на бизнес еще дополнительным каким-то уголовным
инструментом. А тем более, если мы говорим о том, что нет каких-то действий и
сроков по результатам деятельности надзорных органов, то тем более мы должны
возрадоваться за наших регуляторов, за нашу следственную систему. Если учесть, что некоторые документы были приняты только в этом году, то, если бы они начали
сразу как говориться кошмарить бизнес, то это было бы неправильно. Поэтому
говорить о том, что это не работает преждевременно, а на сколько это сурово,
это уже другой вопрос.
Модератор.
Предположу, что надзорные мероприятия пока не начались в связи с тем, что еще
ни для одного субъекта КИИ не прошел срок в три года с момента попадания
объектов КИИ в реестр значимых объектов КИИ.
Кузнецов.
Давайте сравним с уголовной статьей нарушения правил пожарной безопасности.
Сроки сопоставимы. До трех лет лишения свободы за нарушение правил пожарной
безопасности и до шести лет за такое же нарушение, если пострадали люди – двое
или более. В случае с КИИ и 274.1 разброс сроков за нарушение правил
эксплуатации большой, которое привело к ущербу КИИ – от двух месяцев и до 6 лет.
И какое наказание назначить решает не закон, а судья, исходя из собственного
убеждения, исходя из собственного представления о степени общественной
опасности и т.д. Когда говорим, что закон суров, мы почему-то упираемся в
верхнюю границу, но действительно, какое наказание понесет человек, это не
вопрос к закону, это вопрос к конкретному судье, который будет принимать
решение в рамках конкретных обстоятельств уголовного дела. У судьи должна быть
вилка, потому что уж очень широкое понятие КИИ и слишком разные последствия
могут быть в разных случаях.
Шипулин. Хотелось
бы для сравнения рассказать, что в этой части происходит в других странах. За
рубежом не так налегают на человека с точки зрения уголовной ответственности,
сколько с точки зрения штрафов. Так, в США, в рамках регулятора NERC штрафы
составляют от сотен тысяч до десятков миллионов долларов. В рамках европейского
законодательства NIST директив
рекомендуется странам вводить наказания, но опять же измеримые с нарушениями. У
нас же к сожалению, выбирается путь радикальной негативной мотивации, хотя
бедные безопасники у нас находятся под постоянным прессом и регуляторов, и
рынка, и собственного бизнеса, и от отсутствия правильных кадров, поэтому нашим
регуляторам нужно больше смотреть в сторону позитивной мотивации, чтобы
предотвращать нарушения, нежели негативной.
3.
Одна из
крупнейших кибератак в 2019 году - атака шифровальщиком на крупного норвежского
производителя алюминия, вызвавшая остановку производства. Как защититься от
подобных случаев субъектам КИИ - крупным отечественным промышленным компаниям и
компаниям из других сфер? Достаточно ли для этого реализовать требования 187-ФЗ
и подзаконных актов или необходима реализация дополнительных мероприятий?
Ляпунов. Наша
нормативная база написана достаточно широкими мазками, чтобы большинство
разумных усилий в этой области под нее попадало. Но есть буква закона, есть дух
закона и ключевой момент, отличающий новую регуляторику от всего, что было
раньше, это то, что есть требования к процессу, а не к наличию
сертифицированных СЗИ. И там играют два фактора – первый, это работающий
процесс, второй, это реальная ответственность именно за инциденты, а не за
несоответствие требованиям, и это дает хороший стимул компаниям защищаться. На
чем нужно делать акцент – на инструментарии, процессах и людях, для выявления
самих атак, для выявления признаков атак, идущих на инфраструктуру. А дальше
конечно же необходимы выстроенные процессы реагирования на эти атаки. И, если
ваша система ИБ будет выстроена как некий центр управления изменениями, центр
выявления изменений внешних и внутренних атак, когда, например, айтишники
выставили что-то на периметр непропатченное, тогда система будет достаточно
защищенной. Ключевой момент – обеспечить возможность выявления атаки, а дальше
возможность реагирования на нее.
Кузнецов. В случае
с атакой на Norsk Hydro, это по сути
была диверсия. По отчету о расследовании сперва нарушители получили контроль
над инфраструктурой, затем распространили шифровальщик по всей инфраструктуре.
С такими атаками в российских компаниях мы часто сталкиваемся в ходе
расследований. Во всех случаях оказывается, что уровень защищающихся не
соответствует уровню атакующих. Когда защищающиеся никогда не сталкивались с
реальными атаками и защитой от них и выстраиванием архитектуры защиты от
хакерских атак. И это общемировая тенденция и беда, когда защитники не готовы
противостоять точечным узкоспециализированным атакам, когда атакующий хочет,
умеет, практикует выводить из строя крупные инфраструктуры. С этим как-то
придется бороться на протяжении ближайших 20-30 лет и пока каких-то готовых
решений нет. Нужно повышают квалификацию защищающейся стороны.
Богдашов. Здесь
немного не соглашусь с этой позицией. Это стандартный тип атак в последнее
время и механизмы защиты тоже в целом понятны. Здесь нет никакой уникальности.
Все мы как эксперты понимаем, как от этого защититься. И понимаем, что
сертификация средств защиты здесь ни при чем. Единственное «но» возникает, когда
речь идет про масштаб. Чем больше организация, тем более сложным становится
процесс. Все больше потребность возникает в автоматизации рутинных действий.
Если организация небольшая, то тут все перед глазами, до всего руки дотянутся,
все можно проконтролировать, быстро среагировать. Если организация большая,
масштаб растет, то здесь нужно использовать либо некие скелеты для людей, либо
дополнять мозги некими внешними сервисами, либо прокачивать свою внутреннюю
экспертизу. Т.е. здесь сама проблема, помноженная на масштаб. И это проблема
крупного бизнеса у нас в стране и заниматься ей нужно комплексно.
4.
Законодательство
по КИИ явным образом не требует подключение к технической инфраструктуре (ТИ)
НКЦКИ, формально достаточно передавать информацию об инцидентах в систему
ГосСОПКА по телефону или электронной почте. Какая мотивация может быть у
субъекта КИИ для подключения к ТИ НКЦКИ. Какие преимущества предоставляет такое
полноценное подключение к ГосСОПКА?
Кобцев. Этот
вопрос нужно рассматривать исходя из двух аспектов. Если для галочки нужно
незамедлительно проинформировать НКЦКИ, это один вопрос, и тут действительно
можно отправить по почте. Если выстраивать процесс обнаружения, предупреждения
и ликвидации последствий компьютерных атак полноценно, то это затрагивает достаточно
большой пул процессов и именно автоматизированные системы упрощают эти
действия. И еще специфический момент – не так много заказчиков пока готовы
отдавать информацию об инцидентах в НКЦКИ. И когда заказчики подключаются через
нас к НКЦКИ, у них сразу первый вопрос – а вы прямо сразу будете автоматически
отправлять информацию в НКЦКИ? Нет, мы отправляем только подтвержденные
инциденты. Мы их с вами вместе подтверждаем. Люди действительно боятся
передавать информацию об инцидентах, потому что они пока не привыкли к тому,
что им помогают, они привыкли, что им бьют по голове. И пока это разовые вещи,
это не сильно экономит силы и средства. Но как только этот процесс встанет на
поток, это просто будет экономить силы и средства за счет использования автоматизированных
систем.
Модератор.
ГосСОПКА, как и любая другая система, чем больше в ней участников обменивается
информацией, тем более полезной она становится для каждого из участников.
Кузнецов. Есть
регламент взаимодействия с НКЦКИ, где прописано следующее. Если у вас есть
значимый объект, то вам нужно в течение месяца разработать план реагирования на
инциденты. Если уверены, что справитесь сами, так и пишете - сами справимся,
помощь ФСБ не нужна. Но в принципе каждый субъект имеет право на методическую
помощь ФСБ. Например, вы столкнулись с неизвестным ранее вирусом, не бросится
антивирусная компания вам сразу помогать. ФСБ такую помощь оказать может.
Субъект такую помощь может запросить и ему эту помощь предоставят. Но, если в
своем плане субъект рассчитывает на помощь ФСБ, ему придется выполнять так
сказать определенные пожелания коллег из ФСБ. Например, ФСБ может настоятельно
рекомендовать или потребовать подключиться к технической инфраструктуре НКЦКИ.
Это не будет обязательным требованием, но субъект вправе выбирать – либо он
остается с нарушителем один на один, или ему нужна помощь, и тогда он
подключается к технической инфраструктуре. Вот она мотивация. Один из
вариантов.
Модератор. Если
субъект обратится, например, по почте, то ФСБ не откажет, примет запрос, но
ответит по этому же каналу.
Вопросы
от представителей СМИ:
5. Немецкая статистика – по 2/3 инцидентов информация
скрывается. Какая статистика в России?
Богдашов. Такой
статистики сейчас нет. Говоря даже не о ГосСОПКА, а в общем – руководство либо
не узнает об инциденте, либо узнает об уже побежденном. И второе - пока у нас
еще плавает понимание того, что такое инцидент.
6. Как будет развиваться ситуация с СЗИ? В ближайшие 2-3
года будет упор на встроенные механизмы защиты или они будут как-то дополняться
наложенными? Если наложенными, то сертификация ФСТЭК станет необходимым
атрибутом? Ситуация останется непонятной как сейчас?
Кузнецов.
Регуляторы занимают следующую позицию – используйте те СЗИ, в которых вы
уверены. Верите вы сертификату, значит используйте сертифицированные. Уверены,
что вы протестировали и доверяете, пожалуйста, используйте несертифицированные,
это ваши риски и ваша ответственность. Регулятор делить эту ответственность с
вами не собирается. Это следует из логики НПА и высказываний регуляторов на
конференциях.
Шипулин. В части
промышленности мы видим, что производители средств промышленной автоматизации
на уровне их штаб-квартир начинают закладывать встроенные СЗИ, начинают
сертифицировать процессы, механизмы безопасности. Но они даже за рубежом не
доходят до потребителя этих решений, а что говорить о России. Эти международные
решения со средствами защиты на борту не доходят до наших заказчиков, а здесь
тренды на импортозамещение и наши вендоры не придают большого значения
внутренним механизмам безопасности, поэтому я вижу, что наложенные средства еще
долго будут востребованы.
Модератор. У
конечного потребителя есть выбор – выбрать и закупить АСУ ТП со встроенными
механизмами ИБ и не переживать за совместимость, либо купить наложенные
средства и отдельно тестировать его на совместимость с АСУ ТП.
6.1. А если речь о базовом уровне – об аутентификации и
шифровании каналов?
Кобцев.
Требования по сертификации в части КИИ на сегодняшний день касаются только
продуктов по узкому пулу технологий. Продукты по достаточно большому пулу
технологий можно использовать и не сертифицированные и соответственно они могут
быть как наложенными, так и встроенными.
7. Каковы потенциальные возможности SOCов в перспективе для того, чтобы бороться с внутренними
угрозами, касаемо утечки критичных данных?
Ляпунов. В первую
очередь это защита от администраторов. И наиболее действенным способом такой
защиты является мониторинг действий администраторов и выявление каких-то
аномалий или неправильных сценариев их работы. Конечно это то, что делается в SOC. Дальше вопрос -
это внешний центр мониторинга или внутренний. Практика показывает, что лучше
доверять внешним парням, дабы не было перекрестного опыления между своими
средствами мониторинга и своими же ИТ-администраторами, которые потенциально
могут их обслуживать.
Кузнецов. Тут еще
нужно понимать, что очень часто внутренняя утечка - это утечка той информации,
к которой пользователь (помощник мошенника) легально допущен в силу своей
работы. Часто менеджер по продажам уводит клиентскую базу. И бороться с такими
утечками с одной стороны – да, это входит в скоуп работ Центра мониторинга, с
другой стороны нужно понимать, что для того, чтобы бороться с такими утечками
нужно досконально знать технологические процессы, которые происходят у конкретного
заказчика. А такое все-таки проще делать внутри. Очень часто внешние SOCи ограничиваются
вопросами ИТ-угроз, но не угроз, связанных со злоупотреблениями служебными
полномочиями конкретного пользователя. Действия такого пользователя
статистически никак не выделяются, их невозможно заменить, не зная, а разрешили
ли человеку сделать эту операцию, или же он сделал ее по своей воле. Для того,
чтобы бороться с такими утечками нужно самой организации менять подход к защите
таких данных. Это не решается волшебной пилюлей в виде внешнего SOCа. Внешний SOC
может очень сильно помочь, но самостоятельно он эту проблему не решит.
8. Вопрос по поводу встроенных средств защиты. Прямой
мониторинг систем АСУ ТП невозможен по требованиям ФСТЭКа, т.е. никакого удаленного
доступа к АСУ ТП со стороны вендора быть не может. И тут возникает забавная
ситуация, когда встроенные средства защиты должны контролироваться
специалистами изнутри. И тогда нужно использовать либо наложенные средства, но
свои, для того, чтобы контролировать действия и возможные атаки со стороны
производителя, либо мы полностью доверяем производителю, используем его
встроенные средства, тогда нужно все это сертифицировать, контролировать.
Модератор. ФСТЭК не
запрещает использовать для удаленного доступа VPN, в этом случае такой доступ не считается прямым. Если
при этом передается информация, содержащая, например, персональные данные, то
решение, на базе которого построен VPN, должно
быть сертифицировано.
Шипулин. С точки
зрения доверия, его можно проверить. ФСТЭК не говорит доверяйте слепо, вы
можете взять и проверить данное оборудование в лабораториях, получить на них
сертификаты. Но вообще защита должна быть эшелонированная. Нужно контролировать
не только оборудование, но и действия с ним.
9. Значительная часть утечек связана с работой парсеров,
которые находятся в серой, а то и ближе к белой зоне. Как с ними бороться и
нужно ли вообще с ними бороться – с площадок Авито, ЭТП и прочего, когда
собираются те же имена, электронные адреса, номера телефонов?
Ляпунов.
Идентификация человека по собранной таким образом информации легко реализуется.
Сейчас очень легко собрать информацию о человеке из открытых источников,
идентифицировать вас, понять ваши интересы, что вы делаете, и соответствующую
атаку на вас совершить. Лично я к своему цифровому следу стараюсь относиться
аккуратно, но большинство из нас даже с самой развитой паранойей отпечатки себя
в киберпространстве оставляют, которые никуда не денешь.
10. Вопрос про сертификацию. ФСТЭК объявил правило, согласно
котором с 1 января те, кто не успеют пересертифицировать свои продукты не смогут
продавать их в госорганы. Насколько все там успевают.
Кузнецов. Есть
информационное сообщений ФСТЭК, в котором регулятор рекомендует переоформить
сертификаты. А у тех, кто это не сделает, ФСТЭК может начать отзывать
сертификаты. По устному общению со ФСТЭК никто не собирается с 1 января взять и
все сертификаты аннулировать. Идет работа с каждым конкретным вендором. Парни,
а вы пересертифицироваться собираетесь, да? А сколько у вас займет этот
процесс? Ну год, два. А быстрее сможете? А быстрее не сможем. Другое дело,
когда вендоры по новым требованиям пересертифицироваться не могут в принципе -
это зарубежные вендоры, которые не готовы предоставлять исходники. С ними
вообще отдельный разговор. Им действительно в конце концов могут обрубить
сертификат, потому что эта ситуация не может длиться вечно. Но опять же, это
произойдет не 1 января 2020 года и даже может быть не через пять лет, потому
что ФСТЭК ведет достаточно аккуратною политику, чтобы не обрушить рынок ИБ при
этом.
10.1
Кто сейчас совсем
не раскрывает исходные коды?
Кузнецов. У
зарубежных вендоров есть выбор. С одной стороны, они могут прийти на российский
рынок, сертифицируя решения. А по новым правилам, чтобы сертифицировать решения
на 5-й или более высокий уровень доверия, нужно проводить анализ уязвимостей в
исходных кодах. С другой стороны, есть закон в США, где Минобороны имеет право
не закупать софт, если исходники софта передавались на анализ зарубежным
организациям. И у каждого вендора, не важно он российский, американский,
французский, есть выбор, а мне что важнее – российский рынок или американский.
Есть большие вендоры, например, Microsoft, они договорятся
с Минобороны, и они не боятся предоставлять исходники, а есть маленькие вендоры,
которые скорее всего не договорятся.
Ляпунов. С одной
стороны, нормативная база и новые требования правильные. С другой - это привело
к двум-трехкратному подорожанию стоимости сертификации и сроки выросли. В общем
для рынка это не очень дружественный ход, особенно это касается тех продуктов,
которые попадают на стык - у кого заканчиваются сертификаты. У нас, например,
они заканчиваются в феврале или марте, и мы сейчас первыми вынуждены топтать
эту лыжню как сертифицироваться по новым требованиям. Это прямо болезненный
процесс. При том, что запас по времени был дан очень небольшой, это меньше
года, и сами лаборатории и те, кто проводят экспертизу они пока практического
опыта не получили и мы вместе с ними изобретаем правильный путь.