Промышленные объекты требуют комплексного подхода
На площадке AM Live прошла конференция, посвященная анализу безопасности промышленных предприятий. Эта тема была и остается крайне актуальной: законодательство по защите критической информационной инфраструктуры (КИИ) и подзаконные акты в явном виде требуют от всех, кто подпадает под действие соответствующих норм, регулярно проводить соответствующие мероприятия.
Распространенным заблуждением является сводить анализ защищенности промышленных объектов к тестированию на проникновение, или к пентестам. Это важная часть соответствующих мероприятий, но далеко не единственная. По мнению руководителя направления информационной безопасности промышленных предприятий Positive Technologies Романа Краснова, главной конечной целью является выявление возможных векторов атак, который требует серьезной работы с АСУ ТП. Хотя пентест является взглядом со стороны, который существенно упрощает задачу добиться реальной, а не "бумажной" защищенности объекта.
Эксперт по исследованиям угроз информационной безопасности в центре исследования безопасности промышленных систем "Лаборатории Касперского" Владимир Дащенко обратил внимание, что в процессе данных исследований важную роль играет изучение разного рода организационных процедур и регламентов заказчика, чего при классических пентестах в офисных сетях обычно не делается.
Руководитель направлений защиты АСУ ТП и КИИ интегратора "Инфосистемы Джет" Александр Карпенко напомнил, что процедуры анализа безопасности всего, что подпадает по определение КИИ, довольно строго регламентируется. Также процедуры часто ограничивает заказчик. Их можно проводить в строго определенное время, практически все прямо запрещают использовать для тестирования системы, находящиеся в эксплуатации. Роман Краснов при этом отметил, что и в ходе классических пентестов заказчики не разрешают проводить тестирования бизнес-критичных подразделений, например бухгалтерии в период подготовки отчетности. Региональный представитель в Москве интегратора УЦСБ Алексей Комаров при этом обратил внимание, что пентест лишь один из возможных способов анализа уязвимостей, согласно приказу ФСТЭК №239.
Также, по мнению Александра Карпенко, практика анализа безопасности промышленных систем менее зрелая, чем тестирование традиционных ИТ. Но при этом, как обратил внимание Алексей Комаров, без этой процедуры фактически нельзя вводить в строй объект. Также, по мнению Романа Краснова, внедрять средства защиты и проводить пентесты должны разные компании или, если речь идет об интеграторе, разные подразделения. Это позволит избежать возможного конфликта интересов. Что касается возможности вести такую работу силами заказчика, то, по мнению Алексея Комарова, возможность собрать и удержать соответствующую команду имеет лишь считаное количество компаний в России. Хотя в изменившейся ситуации не исключено, что таких станет больше.
Важным моментом является целеполагание таких проектов. Единодушным мнением экспертов стало то, что важнейшей задачей является показать заказчику, что безопасность нужна и какие возможны риски, вроде нарушения технологического процесса или нарушения требований регуляторов. Но при этом Алексей Комаров считает, что необходимо уйти от не оправдавшей себя практики "продажи страха". Роман Краснов, сославшись на свой опыт, обратил внимание, что перевод рисков в денежную форму является непростой задачей, но при этом эффект от этого получается обычно намного ниже ожиданий.
Обычно предметом острой дискуссии является то, как выбирать объект для тестирования. По единодушному мнению, ни один из заказчиков не позволит проводить анализ защищенности на работающем оборудовании. Но при этом проведение тестов тогда, когда оно остановлено, вполне возможно. Распространенной практикой является тестирование на разного рода макетах и стендах, где используются те же элементы, что и на "боевых" системах. Все чаще для тестов используются цифровые двойники. А вот создание киберполигонов в нынешних условиях, когда поставки физического оборудования остановлены, стало проблематичным. Однако, по оценке Алексея Комарова, любой из данных подходов сопряжен с риском. Александр Карпенко обратил внимание на то обстоятельство, что многие специалисты и команды "отраслецентричны": те, кто специализируется на анализе защищенности нефтегазовой отрасли, вряд ли добьется приемлемых результатов в энергетике, и наоборот
Что касается взаимодействия заказчика и команды исполнителей, то это момент довольно сложный, связанный с тем, что "белые хакеры", которые проводят анализ защищенности, люди, скажем так, своеобразные. При этом на стадии выбора, как отметил Владимир Дащенко, заказчик общается с менеджером по продажам, который говорит на бизнес-языке. Однако, по опыту Алексея Комарова, команду тестеров представляют заказчику обычно уже на очень ранней фазе проекта. Тем не менее тут немало проектных рисков, например, связанных с уходом ключевых специалистов. Но при этом доверие, по мнению Романа Краснова, появляется уже после достижения первых результатов. И главная цель - не показать проблемы, а наметить возможные пути их решения. Также он обратил внимание, что некоторые команды, когда видят интересную задачу или возможность провести какое-то исследование, готовы делать работу бесплатно.
Главная сложность при этом - добиться слаженной работы разных подразделений, в ведении которых находится промышленная инфраструктура. Если при тестировании ИТ-систем приходится иметь дело только с ИТ- и ИБ-службами, то, когда речь заходит о промышленном объекте, приходится взаимодействовать еще с несколькими подразделениями, у каждого из которых свои интересы и которых надо организовать. А это, как подчеркнул Роман Краснов, часто является очень сложной задачей.