Минэнерго готово к кибератакам
О запуске проекта стало известно из выступления директора Департамента экономической безопасности ТЭК Минэнерго Антона Семейкина на Инфофоруме-2022. По его словам, для безопасного и надежного функционирования отрасли нужны дополнительные каналы обмена информацией, поэтому на базе ведомственного центра с участием ведущих компаний электроэнергетики по разным направлениям (сетевые, генерирующие, диспетчеризирующие и сбытовые) Минэнерго России запустило пилотный проект. "В 2020-2021 гг. мы провели большие командно-штабные тренировки и учения, оценили потребность в дополнительной координации действий в случае массированной кибератаки на объекты электроэнергетики", - рассказал Антон Семейкин.
"Создание Energy CERT позволит противодействовать кибератакам с учетом отраслевой специфики, оперативно информировать профильный бизнес и экспертное сообщество об уязвимостях, оказывать методологическую поддержку, разработать отраслевые нормативно-распорядительные документы - политики, регламенты и т.д. по кибербезопасности", - уточнил руководитель ведомственного центра обнаружения, предупреждения, ликвидации последствий компьютерных атак Минэнерго Денис Новиков. Также он отмечает, что основу российской энергетической инфраструктуры составляет Единая энергетическая система, системы газоснабжения и магистральных трубопроводов для транспортировки нефти и нефтепродуктов, которые одновременно взаимосвязаны и взаимозависимы.
"В экономике России ТЭК занимает существенное место и играет роль базовой инфраструктуры, основы формирования доходов бюджетной системы России, крупнейшего заказчика для других отраслей. Обеспечение кибербезопасности ТЭК - одна из ключевых задач для устойчивого функционирования российской экономики в целом, что и составляет предпосылку для запуска единой системы управления кибербезопасностью в ТЭК", - отметил Денис Новиков.
Он рассказал, что сейчас отраслевой центр работает в пилотном режиме при участии 12 ведущих компаний электроэнергетического комплекса, в числе которых учредители и члены ассоциации "Цифровая энергетика". "В соответствии с целевой моделью взаимодействия Минэнерго, ФСБ (НКЦКИ), ФСТЭК России осуществляют обмен информацией об атаках и уязвимостях, формируют нормативную базу, ассоциация "Цифровая энергетика" предоставляет свои компетенции для разработки отраслевых стандартов и рекомендаций, а компании поставляют свои данные по защищенности и инвентаризации", - добавил он.
Эксперт по информационной безопасности Лиги цифровой экономики Андрей Слободчиков отмечает, что предпосылок создания отраслевого CERT было много, но самые основные - это участившиеся случаи распределенных кибератак на предприятия ТЭК, цифровая трансформация данной сферы, принятие федерального закона о критической информационной инфраструктуре, а также успешный опыт функционирования отраслевого CERT в банковской сфере.
Директор центра компетенций по информационной безопасности компании "Т1 Интеграция" Игорь Кириллов тоже уверен, что причиной создания отраслевого CERT можно назвать резкое увеличение числа кибератак на объекты КИИ. "Данные атаки являются таргетированными, реализованными различными APT-группировками, которые могут принадлежать разным государствам, что представляет большую опасность и сложность реагирования на них", - отметил он.
GR-директор компании "Ростелеком-Солар" Михаил Адоньев тоже говорит, что необходимость в создании отраслевых CERT связана с ростом сложных таргетированных атак, адаптированных под организации определенной отрасли. "Поэтому отраслевой профиль центра информационной безопасности - это логичный способ противодействия, уже апробированный многими другими странами. Это грозит не только цепочкой атак на отдельные предприятия, но и создает возможность единой комплексной атаки на целую отрасль", - уточнил он.
Директор департамента информационной безопасности компании Oberon Евгений Суханов считает, что с каждым годом киберугрозы становятся специфичными и "заточенными" под определенный сектор экономики и технологии, которые в нем используются. "Уже сейчас четко различаются векторы атак для финтех-компаний и критической инфраструктуры в промышленности. Создание отраслевого центра реагирования на киберугрозы - ожидаемый и вполне своевременный шаг", - говорит он.
Генеральный директор ГК "Эдит Про" Дмитрий Кичко отмечает, что энергетика - одна из наиболее часто атакуемых хакерами отраслей, поэтому создание в ней CERT - очень актуальная идея. По его мнению, с помощью центра предприятия смогут лучше расследовать киберинциденты и совместно создавать более эффективные решения для обеспечения информационной безопасности.
Архитектор проектов по информационной безопасности компании R-Vision Артем Гольцов говорит, что данный вопрос тесно связан с Федеральным законом №187 РФ "О безопасности критической информационной инфраструктуры", в рамках которого с 2017 г. всем организациям - субъектам КИИ необходимо обеспечивать безопасность своих объектов КИИ и уведомлять контролирующий орган (НКЦКИ) о возникновении инцидентов ИБ. "Первые годы, после вступления 187-ФЗ в силу, специалисты ИБ занимались изучением тонкостей закона, категорированием объектов КИИ и проектированием систем ИБ, решающих требования данного закона. И поэтому только в конце 2020 г. - начале 2021 г. в сфере ИБ начали активно говорить о формировании отраслевых CERT. Так как реализация процессов информационной безопасности требует технологий и людей, то централизация всех систем и компетенций повышает эффективность процессов и сокращает финансовые затраты", - отмечает эксперт. Он говорит, что, помимо этого, 187-ФЗ требует поддерживать информационный обмен с НКЦКИ, и если субъект КИИ желает автоматизировать процесс этого обмена, то передача должна происходить по защищенному VPN-каналу, что требует дополнительных финансовых затрат на установку такого канала взаимодействия. Таким образом, по его словам, чтобы сократить эти затраты, субъекты одной отрасли формируют отраслевой CERT, который уже в едином лице производит обеспечение ИБ своих подконтрольных субъектов и информационный обмен с НКЦКИ.
"Сейчас мы говорим скорее не о том, что настала необходимость, а о том, что отрасль находится на нужном уровне процесса цифровизации - инициатива уже не сырая, дорожная карта проработана, а потребность отрасли отличается от возможностей текущих крупных центров. Сфера ТЭК четко регулируется единым управляющим органом - Минэнерго России, и имеет возможность установить единые правила обеспечения безопасности", - считает технический директор компании Cross Technologies Александр Кукульчук.
По словам директора центра обнаружения и противодействия кибератакам IZ:SOC компании "Информзащита" Ивана Мелехина, отраслевые CERT, безусловно, нужны, потому что существует много отличий в специфике производственных процессов и услуг. "Об этом думают и металлурги, и химики, и нефтяники. Это точно, и мы участвовали в подобных обсуждениях при формировании дорожных карт у заказчиков. Кибербезопасность в энергетике - задача первостепенная. Блэкауты уже случались и в РФ, и в мире. Без электроэнергии невозможно функционирование и других систем. Почему именно сейчас? Во-первых, процессы ИБ в электроэнергетике достигли определенного уровня зрелости. Уже есть опыт эксплуатации средств ИБ, которые настойчиво требуют оперативного обмена данными с другими предприятиями отрасли при экстренных ситуациях/атаках", - рассказывает эксперт.
Ведущий менеджер по решениям промышленной безопасности "Лаборатории Касперского" Антон Шипулин считает, что необходимость создания отраслевых CERT была всегда, потому что количество и сложность киберугроз растут из года в год. "Можно предположить, что данный центр создается сейчас, так как сложились все необходимые условия для этого, включая зрелость команды регулятора", - добавил Антон Шипулин.
Эксперты отмечают, что при создании CERT в области энергетики, придется учитывать сразу несколько факторов, в особенности технологические процессы, а также высокую роль отрасли для других сфер. Так, Андрей Слободчиков из Лиги цифровой экономики отмечает, что при создании центра в области электроэнергетики необходимо будет учитывать множество специфичных протоколов передачи данных, которые используются в отрасли и требуют индивидуального подхода и анализа, а также особенности оборудования ТЭК и архитектуру построения сетей.
Артем Гольцов из компании R-Vision говорит, что у каждой отрасли есть своя специфика - это актуальные угрозы, наличие удаленных площадок без централизованного доступа к головным офисам, критичность выхода из строя процесса и др. По его словам, в частности, в электроэнергетике, как в промышленности с критичными процессами, имеется большое количество АСУ ТП. Многие из которых находятся в изолированном контуре, что затрудняет или исключает автоматизацию процесса управления инцидентами - например, автоматизированный сбор инцидентов в единую SOAR или же настройку управляющего воздействия на СЗИ. Это означает, что при построении CERT в этой отрасли, необходимо прорабатывать вопрос централизованного управления ИБ (инцидентами, активами, уязвимостями).
"При создании Energy CERT необходимо учитывать, что в энергетике защите подлежит не только и не столько информация, сколько технологические процессы. Поэтому сотрудники центра должны не только разбираться в информационной структуре энергетических предприятий, но и хорошо понимать производственные процессы", - говорит Дмитрий Кичко из ГК "Эдит Про".
По словам Антона Шипулина из "Лаборатории Касперского", при создании центра необходимо учитывать множество аспектов, в том числе ключевую роль электроэнергетики для других индустрий, привлекательность объектов отрасли для потенциальных атакующих, планы по цифровой трансформации, зависимость от иностранных технологий и аналогичный международный опыт.
Александр Кукульчук из компании Cross Technologies уверен, что для энергетической отрасли ключевая особенность и критерий - это надежность. По его мнению, данный CERT должен обеспечить не только фиксацию и расследование нарушений, а такой уровень предотвращения киберугроз, какой другие центры на текущий момент просто не могут предоставить.
Игорь Кириллов из компании "Т1 Интеграция" считает, что при создании центра в области электроэнергетики необходимо учитывать масштабы отрасли в целом - например, распределение электросетей по стране. Также ключевым моментом, по его мнению, является наличие высококвалифицированного персонала, необходимого для успешного функционирования центра. "Квалифицированный персонал необходим не только в отраслевом CERT, но и на объектах КИИ. В данный момент на рынке труда отмечается дефицит кадров в области обеспечения ИБ", - добавил он.
Михаил Адоньев из "Ростелеком-Солар", говоря о специфике отрасли, отмечает, что она связана в первую очередь с защитой технологического сегмента, а также с критически высокой значимостью непрерывности деятельности предприятий. "Все это требует совмещения экспертизы по информационной безопасности и особенностям инфраструктуры энергетических предприятий. Мы, со своей стороны, участвуем в проекте Energy CERT, вкладывая в него опыт и понимание специфики отраслевых атак на энергетику, накопленные в ходе наших проектов по защите крупнейших предприятий отрасли", - отмечает он.
Евгений Суханов из компании Oberon считает, что при создании CERT необходимо сфокусироваться на используемых технологиях, вплоть до создания реестра применимых технических решений и их производителей, а также выстраивать работу по взаимодействию с производителями технических решений в области энергетики для снижения рисков от возможных атак.
Андрей Слободчиков из Лиги цифровой экономики говорит, что отраслевой CERT в энергетике станет единым источником информации об актуальных уязвимостях и угрозах безопасности для множества компаний, а также позволит сделать приоритетными задачи по устранению тех или иных угроз.
"Основной результат создания CERT - это минимизация рисков использования современных, инновационных подходов/технологий в отрасли, которые и создают угрозы, а это в свою очередь замедляет развитие отрасли", - отмечает Александр Кукульчук из Cross Technologies
Иван Мелехин из компании "Информзащита" отмечает, что мы можем наблюдать на примере аналогичных отраслевых структур, например ФинЦерт ЦБ РФ, как создание подобного центра может существенно упростить обмен информацией о киберинцидентах, техниках и тактиках, используемых нарушителями, индикаторах компрометации, методах выявления и противодействия атакам. По его словам, при своевременной агрегации информации, собранной из разных источников, обеспечение информационной безопасности участников такого обмена станет, безусловно, проще, а реагирование на угрозы - быстрее. "Например, в случае атаки на одно из предприятий отрасли можно будет оперативно проверить наличие схожих условий для реализации подобных атак на другие компании. Создание подобного отраслевого центра можно только приветствовать, особенно если начнется обмен информацией между отраслевыми центрами через НКЦКИ", - говорит он.
"Хотелось бы рассчитывать, что предприятия отрасли получат поддержку при расследовании инцидентов, качественные методические рекомендации по информационной безопасности с технической детализацией, полезные практические и образовательные мероприятия", - отмечает Антон Шипулин из "Лаборатории Касперского".
Игорь Кириллов из компании "Т1 Интеграция" говорит, что, во-первых, создание отраслевых центров - это огромный шаг в сторону распределенного реагирования на кибератаки и киберугрозы информационной безопасности. Во-вторых, это уменьшение времени реакции на атаки. Также он отмечает сокращение нагрузки на функционирующий в настоящее время НКЦКИ.
По мнению Михаила Адоньева из "Ростелеком-Солар", появится единая точка экспертизы по атакам на отрасль. "Центр сможет предупреждать о развивающихся атаках, координировать действия атакуемых, выдавать рекомендации по реагированию и защите", - говорит он.
Евгений Суханов из компании Oberon считает, что отрасль должна ощутить повышение осведомленности в области актуальных рисков и угроз для своей инфраструктуры. "Это самый важный показатель, который позволит выстраивать линию защиты на каждом предприятии. При методической поддержке общего центра реагирования", - уточнил эксперт.
Дмитрий Кичко из ГК "Эдит Про" уверен, что при наличии квалифицированного штата и правильной организации работы Energy CERT приведет к появлению в отрасли более эффективных средств защиты. Также он отмечает, что уровень компетенций специалистов в области информационной безопасности возрастет - если в центре будут проводиться соответствующие обучающие мероприятия.
Говоря об объемах вложений, эксперты отмечают, что на данный момент сложно дать оценку проекту. Так, Антон Шипулин из "Лаборатории Касперского говорит, что объем вложений зависит от множества факторов - количества и компетенции команды, полноты реализованных процессов внутри центра, количества и качества партнеров - провайдеров отдельных ИБ-сервисов. Евгений Суханов из компании Oberon не берется точно оценивать, но предполагает, что на горизонте трех лет центр реагирования может потребовать инвестиций до 5 млрд руб., исходя из масштабов отрасли и задач, которые будут поставлены перед этим центром.
Создание такого единого отраслевого центра должно упорядочить и актуализировать базу информационных активов субъектов отрасли, так как НКЦКИ ожидает от субъектов сведения не только об инцидентах, но и об активах, на которых выявлены инциденты, считает Артем Гольцов из компании R-Vision. Также, по его мнению, отраслевой CERT сможет превентивно обеспечивать безопасность в своих субъектах, получая сведения об угрозах/уязвимостях (бюллетени) от НКЦКИ или же формируя базу знаний на основании своих компетенций.
Эксперты рынка отмечают, что, помимо основных задач и положительного влияния на отрасль энергетики, создание центра повлечет за собой открытие подобных проектов в других отраслях. Так, Антон Шипулин из "Лаборатории Касперского", говоря о результатах введения Energy CERT, отмечает, что проект может показать позитивный пример другим сферам экономики. "Отрасли нуждаются в качественной компетентной поддержке регуляторов в вопросах информационной безопасности", - говорит эксперт. Игорь Кириллов из компании "Т1 Интеграция" считает, что если создание распределенного реагирования покажет эффективность, то в скором будущем можно будет увидеть аналогичные центры и в других отраслях.
По словам Артема Гольцова из компании R-Vision, уже идут работы по развитию единых CERT и в других отраслях. "Отраслевой CERT задает стандарт и лучшие практики, на которые участники отрасли могут ориентироваться при построении процессов ИБ. Он также позволяет централизовано и меньшими затратами решить часть задач участников отрасли в условиях дефицита ресурсов и компетенций - например, обработку уязвимостей и угроз или подключение к ГосСОПКА", - уточняет Артем Гольцов. Также он отмечает, что централизация в виде CERT даст руководству возможность видеть общую картину информационной безопасности по отрасли, тем самым стратегически повышать уровень ИБ. Помимо этого, по его мнению, будет достигнута систематизация и актуализация базы активов субъектов, которая позволит понять, а что же именно необходимо защищать. Эксперт считает, что ключевые отрасли России также активно будут развивать этот вопрос.
По мнению Ивана Мелехина из "Информзащиты", судя по текущему ландшафту киберугроз, появление таких центров является необходимостью. "Их преимущество - способность аккумулировать необходимую информацию и методики и оперативно распространять их среди участников, в том числе оказывая помощь в реагировании и расследовании инцидентов", - считает представитель компании "Информзащита".
Евгений Суханов из компании Oberon полагает, что чем лучше каждая отрасль будет сфокусирована на своих рисках и векторах атак, которые относят именно к ней в первую очередь, тем выше будет защищенность каждого игрока в этой сфере, ведь зачастую средний бизнес не может позволить себе содержать штат высокоуровневых аналитиков и экспертов в области кибербезопасности.
"Развитие CERT в других отраслях будет зависеть от возможностей, в том числе финансовых, а также от необходимости развития цифровой зрелости для отраслей. В конечном итоге в будущем безопасность будет универсальная, не только для отрасли, а для каждого человека в целом - таргетированная так сказать", - говорит Александр Кукульчук из компании Cross Technologies.