Информационная безопасность КИИ на удаленке

28 мая 2020 г.
9:55 - 14:15
Онлайн формат
Как КИИ соблюдают требования ИБ в условиях пандемии SARS-CoV2

28 мая Издательский дом «Коннект» провел дистанционный круглый стол под названием «Информационная безопасность КИИ на удаленке», в котором приняли участие более 100 слушателей из различных сфер деятельности. На нем продолжилось обсуждение практических вопросов обеспечения информационной безопасности промышленных объектов КИИ, поднятых на восьмой международной конференции «Информационная безопасность АСУ ТП КВО», которая состоялась 4–5 марта 2020 г в г. Москве, но уже с учетом новой реальности удаленной работы в условиях ограничений пандемии. Модератором дистанционного круглого стола был главный специалист Федерального исследовательского центра информатики и управления Российской академии наук Виктор Евдокимович Гаврилов. Партнерами выступили компании «Лаборатория Касперского» и «АйТи Бастион».

Когда большинство предприятий страны были переведены на удаленную работу, ФСТЭК России выпустила официальное письмо от 20 марта 2020 г. № 240/84/389, где были опубликованы рекомендации по защите удаленного администрирования объектов КИИ. В круглом столе приняли участие специалисты, которые знакомы с данным документом и, более того, уже имеют опыт реализации предлагаемых мер. По ответам представителей промышленных предприятий можно сделать вывод, что для организации дистанционного подключения были использованы в основном две технологии – криптографическая VPN и подключение по протоколу RDP. В первом случае удаленное устройство включается в контур защиты предприятия, во втором – удаленное рабочее место существенно ограничивается в возможности взаимодействия с локальным устройством, к тому же, на шлюзе все действия удаленных сотрудников контролируются. Сам компьютер, к которому удаленный сотрудник подключается по RDP, находится внутри периметра и контролируется специальными сотрудниками службы ИТ-поддержки.

Представители промышленных предприятий отметили, что на удаленную работу перевели офисный и управленческий персонал, который практически не взаимодействует с технологическим оборудованием и объектами КИИ. Промышленные сегменты сетей управлялись локально, с соблюдением всех эпидемических норм вплоть до формирования «чистых смен», которые в случае необходимости должны были заменить заболевших операторов, технологов и других специалистов. Промышленные предприятия расположены, как правило, на местности с небольшой плотностью населения, что и обеспечило минимальные характеристики по заражению их сотрудников. В результате никакого влияния на работу промышленных сегментов пандемия SARS-CoV2 не оказала.

С точки зрения служб безопасности, акцент в мониторинге во время эпидемии сместился с контроля за процессами внутри сети на тщательный мониторинг периферийных подключений, что было связано с массовым переходом на удаленную работу. Для ключевых сотрудников в соответствии с рекомендациями ФСТЭК были выделены корпоративные защищенные устройства, однако в некоторых случаях подключение выполнялось и с устройств, принадлежащих сотрудникам, но такие подключения контролировались с помощью систем DLP или MDM, которые на некоторых предприятиях уже были внедрены ранее. При этом, по оценкам Алексея Петухова, руководителя направления защиты промышленных систем «Лаборатории Касперского», дополнительная стоимость для удаленного рабочего места в условиях текущей пандемии составила от 1 до 2 тыс. руб.

На круглом столе также было заслушано два доклада от партнеров, которые рассказали об использовании своих продуктов для защиты удаленного доступа. В частности, Алексей Петухов подробно разобрал тему «Обеспечение ИБ АСУ ТП 2020», рассмотрев два варианта применения средств защиты для промышленных объектов из серии Kaspersky Industrial CyberSecurity (KICS): контроль конечных устройств с помощью продукта KICS for Nodes и сетевой контроль трафика посредством KICS for Networks. Первый можно использовать на промышленных узлах – некоторые производители АСУ ТП уже подтвердили легитимность такого использования средств защиты. Однако для защиты шлюза с промышленной сетью можно применять и второе решение, которое контролирует сетевое взаимодействие, а также собирает данные для систем корреляции события и проведения расследования. Этот же продукт позволяет контролировать удаленное сетевое подключение и блокировать несогласованные попытки подключений – такой функционал наиболее востребован в период пандемии.

Более подробно о контроле удаленного подключения сотрудников рассказал руководитель Технического центра «АйТи Бастион» Константин Родин. В своем докладе на тему «Складывая пазл безопасности на "удаленке"» он, в частности, рассмотрел вопрос, как можно контролировать протокол RDP и другие, которые используются для удаленной работы с корпоративными устройствами, при помощи системы контроля действий поставщиков ИТ-услуг (СКДПУ). Это устройство позволяет не только контролировать действия пользователей при удаленной работе, но и записывать и анализировать их. Причем решение находится в реестре российского ПО и имеет сертификаты ФСТЭК и Министерства обороны. Подобный контроль действий пользователей при массовом переходе на удаленную работу поможет оперативно выявить опасные действия и их источник, а в некоторых случаях даже «откатить» внесенные изменения. Следует отметить, что и антивирусные решения, и системы контроля действий пользователей упоминаются в рекомендациях ФСТЭК по защите удаленного доступа к значимым объектам КИИ.

По результатам проведенного круглого стола будет подготовлена публикация в журнале «Коннект. Мир информационных технологий».
Трансляция
Дорогие друзья!
Издательский дом «Коннект» выражает искреннюю благодарность спикерам за активное участие в обсуждении вопросов, затронутых на круглом столе «ИБ КИИ на удаленке»:
Анастасьев Алексей Владимирович - Positive Technologies
Бочкарев Сергей Вячеславович - ООО «АйТи Бастион»
Воробьев Николай Николаевич - АО «Нефтегазхолдинг»
Воробьев Николай Николаевич - АО «Нефтегазхолдинг»
Мигачев Владислав Анатольевич - АО «ТАИФ»
Новожилов Николай Александрович - ООО «АйТи Бастион»
Нуйкин Андрей Витальевич - ЕВРАЗ
Петухов Алексей Владимирович - Лаборатория Касперского
Родин Константин Сергеевич - ООО «АйТи Бастион»
Сидорук Николай Викторович - ПАО «Сургутнефтегаз»
Степашкин Александр Викторович - ПАО «ЧТПЗ»
Стефанов Руслан Михайлович - АО «Хоневелл»
Партнёры
Презентации партнёров
Программа
09:30 – 09:55
09:30 – 09:55
Регистрация
09.55 – 10.00
09.55 – 10.00
Вступительное слово модератора
10.00 – 11.00
10.00 – 11.00
Сессия 1. Постановка задачи
Темы для обсуждения:

· Кого именно переводим на удаленный режим работы? Каков функционал переводимого персонала? Если удаленно управлять АСУ ТП нельзя, то чем они управляют? Диспетчеры и технологи остаются на местах?

· Сохранится ли уровень защиты при удаленном подключении сотрудников с выполнением всех рекомендаций письма ФСТЭК? О каких дополнительных рисках идет речь? Какие новые векторы атак появляются?

· №187 ФЗ затрагивает 11 отраслей. В каких из них сложилась наиболее острая ситуация, обусловленная пандемией, введением режима самоизоляции и перевода части персонала на удаленный режим работы? Какие она затронули менее всего и почему?
Участники обсуждения:

· Родин Константин Сергеевич, ООО «АйТи Бастион»
· Анастасьев Алексей Владимирович, Positive Technologies
· Нуйкин Андрей Витальевич, ЕВРАЗ
· Иванов Анатолий Владимирович, ПАО «РусГидро»
· Суворов Александр Владимирович, ПАО «ТГК-2»
· Сидорук Николай Викторович, ПАО «Сургутнефтегаз»
· Шабунов Сергей Александрович, ООО «ЛокоТех-Сигнал»
· Кожанов Борис Владимирович, ГБУ «Гормост»
11.00 – 11.15
11.00 – 11.15
Доклад
Петухов Алексей Владимирович - руководитель направления защиты промышленных систем, Лаборатория Касперского
Обеспечение ИБ АСУ ТП 2020
11.15 – 11.30
11.15 – 11.30
Доклад
Константин Родин - руководитель Технического центра "АйТи Бастион"
Складывая пазл безопасности на "удалёнке"
11.30 – 12.30
11.30 – 12.30
Сессия 2. Выполнение рекомендаций регулятора
Темы для обсуждения:


· В какой мере перечисленные в письме ФСТЭК меры реализуемы на практике? Какие из них вызывают наибольшие затруднения на предприятиях?

· Очевидно, что часть требований в области ИБ КИИ обеспечивалась ранее с помощью организационных мер. В какой мере они реализуемы для удаленного режима? Что здесь можно рекомендовать, и как это работает на практике? Например, как обеспечить запрет на доступ третьих лиц?

· Как меняются права доступа и привилегии при удаленном режиме? Как можно существенно их сократить, не подвергнув риску нормальное функционирование самой АСУ?

· Если ранее шифрование каналов передачи данных не требовалось, так как они проходили на контролируемой территории. Для удаленного режима это становится обязательным. Насколько быстро и экономично это реализуется на практике с учетом требования ФСБ России об использовании сертифицированных СКЗИ для шифрования информации, подлежащей защите в соответствии с законодательством?

· Как обеспечить мониторинг безопасности объектов КИИ и оперативное реагирование на инциденты при работе в удаленном режиме? Можно ли организовать сам мониторинг и управление ИБ удаленно? Можно ли привлекать сторонние SOC?
Участники обсуждения:

· Петухов Алексей Владимирович, Лаборатория Касперского
· Новожилов Николай Александрович, ООО «АйТи Бастион»
· Анастасьев Алексей Владимирович, Positive Technologies
· Стефанов Руслан Михайлович, АО «Хоневелл»
· Воробьев Николай Николаевич, АО «Нефтегазхолдинг»
· Чурсов Сергей Павлович, ПАО «НЛМК»
· Степашкин Александр Викторович, ПАО «ЧТПЗ»
· Мигачев Владислав Анатольевич, АО «ТАИФ»
13.00 – 14.00
13.00 – 14.00
Сессия 3. Про будущее удаленного доступа к КИИ
Темы для обсуждения:

· Насколько рассматриваемые в Письме ФСТЭК рекомендации будут применимы и допустимы в дальнейшем? Может ли сегодняшняя ситуация дать толчок развитию удаленного доступа в сфере защиты КИИ на производстве?

· Как организуется поддержка штатной эксплуатации самих АСУ ТП в условиях пандемии? Насколько упростил бы ситуацию легитимный удаленный доступ разработчиков к эксплуатируемым системам? Как вы оцениваете перспективы снятия ограничений на удаленный доступ для российских разработчиков АСУ ТП?

· Как ситуация с пандемией повлияла на рынок защиты КИИ? В какой степени она затронула планы предприятий? Сохранятся ли бюджеты и сроки? Как кризис сказался на интеграторах? Что происходит с запущенными проектами?

· Не секрет, что пандемия – только часть проблем. Как скажется начинающийся кризис на защите КИИ в целом? Насколько активно продолжаются начатые ранее проекты? Насколько удаленный доступ со стороны разработчиков и АСУ ТП, и КИИ может облегчить жизнь предприятиям?
Участники обсуждения:

· Познякевич Александр Валерьевич, Лаборатория Касперского
· Бочкарев Сергей Вячеславович, ООО «АйТи Бастион»
· Стефанов Руслан Михайлович, АО «Хоневелл»
· Воробьев Николай Николаевич, АО «Нефтегазхолдинг»
· Суворов Александр Владимирович, ПАО «ТГК-2»
· Иванов Анатолий Владимирович, ПАО «РусГидро»
· Сидорук Николай Викторович, ПАО «Сургутнефтегаз»
· Чурсов Сергей Павлович, ПАО «НЛМК»
· Степашкин Александр Викторович, ПАО «ЧТПЗ»
14.00 - 14.15
14.00 - 14.15
Подведение итогов