Как КИИ соблюдают требования ИБ в условиях пандемии SARS-CoV2
28 мая Издательский дом «Коннект» провел дистанционный круглый стол под названием «Информационная безопасность КИИ на удаленке», в котором приняли участие более 100 слушателей из различных сфер деятельности. На нем продолжилось обсуждение практических вопросов обеспечения информационной безопасности промышленных объектов КИИ, поднятых на восьмой международной конференции «Информационная безопасность АСУ ТП КВО», которая состоялась 4–5 марта 2020 г в г. Москве, но уже с учетом новой реальности удаленной работы в условиях ограничений пандемии. Модератором дистанционного круглого стола был главный специалист Федерального исследовательского центра информатики и управления Российской академии наук Виктор Евдокимович Гаврилов. Партнерами выступили компании «Лаборатория Касперского» и «АйТи Бастион».
Когда большинство предприятий страны были переведены на удаленную работу, ФСТЭК России выпустила официальное письмо от 20 марта 2020 г. № 240/84/389, где были опубликованы рекомендации по защите удаленного администрирования объектов КИИ. В круглом столе приняли участие специалисты, которые знакомы с данным документом и, более того, уже имеют опыт реализации предлагаемых мер. По ответам представителей промышленных предприятий можно сделать вывод, что для организации дистанционного подключения были использованы в основном две технологии – криптографическая VPN и подключение по протоколу RDP. В первом случае удаленное устройство включается в контур защиты предприятия, во втором – удаленное рабочее место существенно ограничивается в возможности взаимодействия с локальным устройством, к тому же, на шлюзе все действия удаленных сотрудников контролируются. Сам компьютер, к которому удаленный сотрудник подключается по RDP, находится внутри периметра и контролируется специальными сотрудниками службы ИТ-поддержки.
Представители промышленных предприятий отметили, что на удаленную работу перевели офисный и управленческий персонал, который практически не взаимодействует с технологическим оборудованием и объектами КИИ. Промышленные сегменты сетей управлялись локально, с соблюдением всех эпидемических норм вплоть до формирования «чистых смен», которые в случае необходимости должны были заменить заболевших операторов, технологов и других специалистов. Промышленные предприятия расположены, как правило, на местности с небольшой плотностью населения, что и обеспечило минимальные характеристики по заражению их сотрудников. В результате никакого влияния на работу промышленных сегментов пандемия SARS-CoV2 не оказала.
С точки зрения служб безопасности, акцент в мониторинге во время эпидемии сместился с контроля за процессами внутри сети на тщательный мониторинг периферийных подключений, что было связано с массовым переходом на удаленную работу. Для ключевых сотрудников в соответствии с рекомендациями ФСТЭК были выделены корпоративные защищенные устройства, однако в некоторых случаях подключение выполнялось и с устройств, принадлежащих сотрудникам, но такие подключения контролировались с помощью систем DLP или MDM, которые на некоторых предприятиях уже были внедрены ранее. При этом, по оценкам Алексея Петухова, руководителя направления защиты промышленных систем «Лаборатории Касперского», дополнительная стоимость для удаленного рабочего места в условиях текущей пандемии составила от 1 до 2 тыс. руб.
На круглом столе также было заслушано два доклада от партнеров, которые рассказали об использовании своих продуктов для защиты удаленного доступа. В частности, Алексей Петухов подробно разобрал тему «Обеспечение ИБ АСУ ТП 2020», рассмотрев два варианта применения средств защиты для промышленных объектов из серии Kaspersky Industrial CyberSecurity (KICS): контроль конечных устройств с помощью продукта KICS for Nodes и сетевой контроль трафика посредством KICS for Networks. Первый можно использовать на промышленных узлах – некоторые производители АСУ ТП уже подтвердили легитимность такого использования средств защиты. Однако для защиты шлюза с промышленной сетью можно применять и второе решение, которое контролирует сетевое взаимодействие, а также собирает данные для систем корреляции события и проведения расследования. Этот же продукт позволяет контролировать удаленное сетевое подключение и блокировать несогласованные попытки подключений – такой функционал наиболее востребован в период пандемии.
Более подробно о контроле удаленного подключения сотрудников рассказал руководитель Технического центра «АйТи Бастион» Константин Родин. В своем докладе на тему «Складывая пазл безопасности на "удаленке"» он, в частности, рассмотрел вопрос, как можно контролировать протокол RDP и другие, которые используются для удаленной работы с корпоративными устройствами, при помощи системы контроля действий поставщиков ИТ-услуг (СКДПУ). Это устройство позволяет не только контролировать действия пользователей при удаленной работе, но и записывать и анализировать их. Причем решение находится в реестре российского ПО и имеет сертификаты ФСТЭК и Министерства обороны. Подобный контроль действий пользователей при массовом переходе на удаленную работу поможет оперативно выявить опасные действия и их источник, а в некоторых случаях даже «откатить» внесенные изменения. Следует отметить, что и антивирусные решения, и системы контроля действий пользователей упоминаются в рекомендациях ФСТЭК по защите удаленного доступа к значимым объектам КИИ.
По результатам проведенного круглого стола будет подготовлена публикация в журнале «Коннект. Мир информационных технологий».