КИИ на карантине
Письмо Федеральной службы по техническому и экспортному контролю (ФСТЭК) опубликовано на официальном сайте службы. Рекомендации были составлены в связи со сложившейся обстановкой перехода работников на дистанционную работу при распространении коронавируса.
В первую очередь ФСТЭК рекомендует провести инструктаж работников по безопасному удаленному взаимодействию с объектами КИИ. Ведомство также рекомендует определить перечень устройств (ноутбуков, планшетов, мобильных телефонов), которые получат работники для удаленной работы. Нежелательно, если это будут личные гаджеты. Затем ФСТЭК советует определить перечень доступных работнику информационных ресурсов (программ, томов, каталогов, файлов), назначить необходимые права и идентифицировать устройства сотрудников по физическим адресам (МАС-адресам) на серверах объектов КИИ.
Естественно, в рекомендациях сделан упор на то, что пользоваться гаджетами сотрудников, подключенных дистанционно, не смогут посторонние лица. Согласно правилам, нужно обеспечить двухфакторную аутентификацию работников и организовать защищенный доступ с удаленного устройства к серверам объектов КИИ с применением средств криптографической защиты информации (VPN-клиент). Помимо этого, у работника должен быть установлен антивирус, и он должен ежедневно обновляться. На устройстве, используемом для дистанционной работы, не должно быть не относящихся к работе программ.
Последние три пункта рекомендаций направлены на мониторинг безопасности объектов КИИ и анализ действий сотрудников. В качестве мер, например, предусматривается блокирование сеанса удаленного доступа пользователя при неактивности дольше отведенного отрезка времени. В целом должно происходить оперативное реагирование и приняты меры защиты информации при возникновении компьютерных инцидентов.
Кроме того, регулятор не допускает в дистанционном режиме предоставлять удаленный доступ для управления режимами функционирования промышленного (технологического) оборудования (устройств) автоматизированных систем управления производственными (технологическими) процессами, являющихся значимыми объектами критической информационной инфраструктуры.
Не у всех есть подходящая инфраструктура
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов подчеркивает, что рекомендации ФСТЭК никак не изменяют требования к мерам защиты значимых объектов КИИ - регулятор лишь акцентирует внимание на некоторых мерах защиты, на которые нужно обратить внимание при переводе сотрудников на удаленную работу. Он указывает, что реализация большинства мер защиты трудностей не вызовет, но есть несколько, выполнить которые довольно проблематично.
К числу таких специалист Positive Technologies относит, например, то что компьютер, который используется для удаленной работы, не должен использоваться другими людьми, в том числе челнами семьи сотрудника субъекта КИИ. "Крайне сложно контролировать, что сотрудник не пускает посидеть за своим компьютером кого-нибудь из членов семьи, особенно если он делает это под своей учетной записью", - комментирует рекомендации ФСТЭК Дмитрий Кузнецов.
Специалист Positive Technologies отмечает, что наличие установленного антивируса и ежедневное его обновление на домашнем компьютере работника сложно контролировать. Отсутствие посторонних программ, не относящихся к работе, на личном лэптопе также делает требование практически нереализуемым. Что касается двухфакторной аутентификации, то в большинстве организаций она не используется. "Для выполнения этого требования на время удаленной работы требуется или закупка токенов, или закупка системы аутентификации по однократным SMS-паролям", - указывает Дмитрий Кузнецов.
О проблемах с обеспечением двухфакторной аутентификации для своих работников говорит и заместитель руководителя отдела консалтинга информационной безопасности "ЛАНИТ-Интеграции" (входит в группу ЛАНИТ) Кирилл Стадухин. "Не все могут обеспечить двухфакторную аутентификацию своих работников. Это дополнительные затраты, которые готовы оплатить лишь отдельные компании, а уж тем более закупить и поставить".
Руководитель направления сервиса и аутсорсинга ИБ центра информационной безопасности компании "Инфосистемы Джет" Екатерина Сюртукова также обращает внимание на то, что для реализации рекомендаций в полном объеме потребуются существенные финансовые и ресурсные затраты. "Согласно рекомендациям, для удаленной работы нежелательно использовать личные средства вычислительной техники, то есть субъекты КИИ должны закупить и предоставить сотрудникам ноутбуки, планшеты и прочие мобильные устройства, - рассуждает Екатерина Сюртукова. - Помимо того что это серьезные дополнительные затраты, закупить большую партию ноутбуков сейчас крайне сложно. Из-за резко возросшего спроса еще неделю назад на складах крупнейших дистрибьюторов электроники практически закончились такие устройства, при этом поставки из Китая существенно сокращены. Поэтому многим организациям придется работать с домашними компьютерами своих сотрудников и предпринимать значительные усилия для их защиты и контроля".
Также, продолжает Екатерина Сюртукова, ряд рекомендаций сложно реализовать из-за беспрецедентно сжатых сроков перехода на удаленный режим. Некоторым компаниям для обеспечения базовых мер необходимо закупить VPN-шлюзы, VPN-клиенты, антивирусное ПО для удаленных устройств и т.д., перечисляет она. Для оперативного старта специалист "Инфосистем Джет" рекомендует использовать триальные версии или обратить внимание на спецпредложения по предоставлению СЗИ (VPN-шлюзы, VPN-клиенты, антивирусное ПО для удаленных устройств и пр.) на бесплатной основе, которые сейчас появились у некоторых производителей (например, у "Кода Безопасности").
Еще одна рекомендация, которую сложно реализовать в короткие сроки, - это обеспечение мониторинга безопасности объектов КИИ и возможность оперативного реагирования при возникновении компьютерных инцидентов, добавляет Екатерина Сюртукова. "Если эти процессы не выстроены в компании, оперативно подключить инфраструктуру даже к внешнему сервису (коммерческому SOC) очень сложно. Существенной помощью в этом случае могут быть экспертные услуги по анализу и расследованию инцидентов, участие в кризисных ситуациях", - говорит она. Специалист "Инфосистем Джет" предупреждает, что нельзя забывать, что полностью запрещается предоставлять удаленный доступ для управления АСУ и процессами, являющимися значимыми объектами КИИ.
Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов отмечает, что рекомендации технически и организационно вполне реализуемы, но если в организации отсутствуют средства двухфакторной идентификации и построения VPN, то необходимо время для их закупки, внедрения и обучения сотрудников.
Как отмечает руководитель отдела информационной безопасности Cross Technologies Алексей Даньков, слабым звеном остается сам работник и его низкая осведомленность в вопросах ИБ. Также не стоит забывать о возможных ошибках или халатности со стороны работника. "Для защиты от этой угрозы субъект КИИ должен информировать сотрудников и осуществлять дистанционный мониторинг состояния защищенности удаленных рабочих мест. Эффективной мерой защиты является выдача работникам корпоративных устройств для удаленной работы, настроенных в соответствии с корпоративной политикой информационной безопасности", - советует он.
Директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики) Тимурбулат Султангалиев говорит, что рекомендации ФСТЭК вполне реализуемы и многие администраторы безопасности уже завершили или заканчивают данные процедуры. "Стоит отметить, что рекомендации ФСТЭК России совпадают с опубликованными ранее рекомендациями НКЦКИ (Национальный координационный центр по компьютерным инцидентам - прим. ComNews), кроме шестого пункта - исключение возможности эксплуатации удаленных СВТ посторонними лицами. НКЦКИ не так "агрессивно" описал порядок ограничения доступа к удаленному рабочему месту", - указывает он.
Специалист "ЛАНИТ-Интеграции" советует следовать рекомендациям ФСТЭК. "Эти меры действительно позволяют снизить риск осуществления несанкционированного доступа к информации субъектов КИИ, - говорит Кирилл Стадухин. - Однако стоит понимать, что это именно рекомендации, а не обязательные требования. Наказывать за их неисполнение не будут. Но, если по какой-либо причине, в том числе из-за неправильно выстроенного процесса реализации удаленного доступа, произойдет авария, утечка или какое-либо происшествие, то субъект в любом случае будет нести ответственность за случившееся. Необходимо выполнить максимально возможные рекомендации из информационного сообщения ФСТЭК, лишним это точно не будет".
Кирилл Стадухин предупредил о том, что чем больше у злоумышленника каналов для атак, тем больше у него возможностей для реализации атак. "Сотрудники, находясь дома, чувствуют себя более расслаблено и могут недооценивать действий злоумышленников именно в такой период. Я уверен, что по результатам окончания карантина, когда все вернутся на свои рабочие места, аналитика покажет значительный всплеск атак и утечек, которые произошли за этот период", - предрекает он.