5 декабря 2022 г.

Топливно-энергетический комплекс является основой и одной из наиболее значимых отраслей промышленности любой страны. В России ТЭК занимает особое место еще и в силу огромной территории, распределенности объектов, климатических особенностей и структуры экономики. Столь важная роль предприятий этого сектора в нашей стране требует особого внимания к вопросам безопасности отдельных предприятий, логистических цепочек, центров мониторинга и центров принятия решений.

Информационная безопасность объектов ТЭК является неотъемлемой частью общей системы защиты как по причине роста значимости информационных технологий на предприятиях добычи, генерации, транспортировки, переработки, так и по причине роста мотивации нарушителей в части организации атак на энергетическую инфраструктуру страны.

ИТ как драйвер и зона риска для предприятий ТЭК

Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

Безусловно, ИТ стали одним из движущих драйверов в повышении эффективности функционирования предприятий ТЭК. В одних случаях информационные системы позволяют своевременно диагностировать проблемы в технологических сетях и оборудовании, в других — обрабатывать значительные объемы «сырых» данных, в-третьих — осуществлять централизованный контроль и выполнять задачи по мониторингу всей инфраструктуры предприятий и холдингов.

Но не только информационные системы сами по себе представляют из себя значимый фактор в составе предприятий ТЭК. Но и сами данные, генерируемые на предприятиях комплекса, важны для принятия решений, прогнозирования и снижения себестоимости продукции. Эти аспекты хорошо понимают и злоумышленники, активно выстраивающие атаки на инфраструктуру в попытке причинить ей критический ущерб или завладеть данными, исказить их. Мотивационные аспекты злоумышленника разнятся: от непосредственного выведения объекта из строя с катастрофическими последствиями до временной остановки, получения выкупа, кражи данных об инфраструктуре сети и комплекса в целом. К сожалению, атаки на ТЭК не ограничиваются только получением финансовых выгод.

Помимо обозначенных выше особенностей ТЭК практически любое предприятие комплекса является частью более общей организационной структуры, например, холдинга, группы компаний и фактически не существует изолированно. Например, добыча, генерация могут происходить в одном месте. Транспортировка ведется до места переработки, обогащения, накопления. А управление предприятием/ми ведется из финансовых центров, крупных городов и агломераций. Это означает, что такая организация имеет распределенную структуру информационных потоков, данные в которой «производятся» и частично используются в одном месте, но требуются также и в другом — за сотни километров от места их появления. Само по себе это не ново, но построенная таким образом система сетевой связности и средств защиты подвергается в последнее время критике со стороны специалистов по информационной безопасности.

Нюансы и сложности обеспечения информ. безопасности объектов ТЭК

Среди основных направлений критики можно выделить следующие:

  1. В первую очередь объектом критики является отсутствие сегментации сетей как таковое. В то время как современные концепции предполагают переход уже гораздо далее, например, к микросегментации или концепции нулевого доверия, отдельные предприятия до сих пор имеют единую минимально сегментированную сеть — без четкого выделения даже технологического или корпоративного сегментов. Такая ситуация делает поверхность атаки фактически максимально возможной и, на наш взгляд, требует немедленного реагирования со стороны специалистов ИБ.
  2. Внимания заслуживают применяемые меры и средства защиты, которые используются для выделения отдельных доменов безопасности, сетей или сегментов. Наличие «де факто» уязвимостей межсетевых экранов как основного средства защиты сети (например, уязвимостей нулевого дня в программном обеспечении) совместно с «моновендорностью» применяемых СЗИ (когда в качестве МСЭ по экономическим причинам выбирается один вендор) приводит к тому, что в случае обнаружения уязвимости в средстве защиты под угрозой оказываются не просто отдельные предприятия или объекты, но и вся информационная инфраструктура.
  3. Стоит обратить внимание и на встречающееся «размывание» функций управления отдельными объектами. В попытке осуществлять централизованный мониторинг центрам мониторинга приписываются не свойственные им функции удаленного управления, чем оправдывается наличие избыточных каналов связи с защищаемым объектом. Это, в свою очередь, несет дополнительные затраты и на организацию системы связи, и на систему управления информационной безопасности защищаемого объекта. Частным случаем данного варианта является создание именно двунаправленных (вместо однонаправленных) каналов для сбора данных, аналитики, передачи информации внешним подрядчикам и контрагентам. Такие каналы организуются в условиях, когда иные варианты организации связи просто неизвестны и не рассматриваются в качестве технических решений на этапе проектирования или построения сети специалистами на местах и представителями интеграторов.
  4. Недостаточная вовлеченность персонала различных подразделений в процесс построения системы защиты информации. В связи с организационными особенностями и юридической принадлежностью могут встречаться случаи, когда периметр критического объекта ТЭК находится в зоне контроля сразу нескольких подразделений: ИТ — обеспечивающего связь в целом, АСУ ТП — обеспечивающего функции контроля технологических и производственных процессов, ИБ — обеспечивающего контроль точек сопряжения информационной инфраструктуры защищаемого объекта с иными объектами. Наличие «неразберихи» во взаимодействии указанных подразделений может само по себе являться важным фактором, повышающим вероятность атаки и успех такой атаки.

Помимо указанных нюансов в последнее время добавились и еще ряд аспектов, которые нельзя не учитывать при проектировании системы защиты объекта ТЭК:

  1. Ряд иностранных вендоров ушли с российского рынка. Как следствие, часть СЗИ остались без технической поддержки и сопровождения либо были включены в ряд компрометирующих решений.
  2. Оставшиеся вендоры могут не удовлетворять требованиям регулятора (ФСТЭК) с точки зрения наличия необходимых сертификатов для защиты КИИ.
  3. Отечественные решения не всегда могут предоставить весь набор функциональности, который присутствовал у конкурирующих иностранных вендоров СЗИ.
  4. Стоящие задачи по импортозамещению технологической базы и программных решений на объектах ТЭК приводят к пересмотру точек сопряжения, применяемых технологий, что требует особого внимания к вопросам ИБ в этот переходный период.
  5. Сроки выполнения поставленных решений и задачи по импортозамещению и построению систем защиты сжатые, что требует наличия эффективных и быстроразвертываемых решений.
  6. Применяемые «аналоги» средств защиты должны носить экосистемный характер и сопрягаться со всем комплексом применяемых мер в области не только ИБ, но и ИТ, как то: типовые системы мониторинга, syslog коллекторы, системы резервного копирования, операционные системы, контроллеры домена и т. п.
  7. Предприятия и отдельные объекты ТЭК порождают нетиповые для многих средств защиты данные. Речь идет о передаче за границу сетевого периметра промышленных протоколов со своими требованиями по составу информации, таймингам и т. п.

Повышение защищенности объекта ТЭК: тенденции и направления

Действуя в указанных выше ограничениях, специалисты ИБ вынуждены искать новые решения и подходы к защите предприятий ТЭК. Среди основных направлений можно выделить следующие:

  1. Переход к модели оценки применяемых средств защиты на основе рисковых моделей. В целях корректного определения приемлемого уровня риска с учетом разрушительного потенциала атаки, идентификации рисков, их ранжирования и принятия решений по реагированию.
  2. Построение центров SOC (Security Operation Center) — внутри компании или переданных на аутсорсинг — в целях централизации функций контроля за состоянием всех аспектов информационной безопасности.
  3. Интеграция центров SOC и NOC (Network Operation Center) — в целях создания единой картины происходящего в информационной инфраструктуре предприятия и отдельных точках сопряжения. В том числе создание многопрофильных рабочих групп, включающих специалистов не только ИБ блока, но и ИТ и АСУ ТП блоков.
  4. Акцент на SIEM как одну и центральных точек SOC. Интеграция данных для SIEM, в том числе, из технологического, а не только корпоративного сегмента — в целях получения единой информационной системы (рабочего места офицера ИБ) с последующим выстраиванием корреляционных связей.
  5. Внедрение систем класса IDS, а в ряде случаев IPS — как инструмента обнаружения аномалий именно в промышленных сетях, для своевременного реагирования и классификации вероятной атаки злоумышленника.
  6. Присутствие здорового скепсиса в отношении автоматического применения мер защиты (без участия человека) в случае обнаружения признаков атаки. В отличие от корпоративных сегментов, в технологических какие-либо автоматические воздействия средств ИБ на защищаемый объект крайне ограничены.
  7. Применение новых средств защиты сетевого периметра, существенно повышающих уровень защиты: промышленные МСЭ, NGFW, «диоды данных».

«Диоды данных» как один из эффективных инструментов защиты

Отдельный акцент при реализации мер защиты объектов и ИТ-инфраструктуры ТЭК хотелось бы сделать на таком достаточно новом классе СЗИ как «диоды данных». «Диоды данных» все больше рассматриваются как базовое средство защиты сетевого периметра тех объектов ТЭК, в отношении которых потенциал риска атаки наиболее велик, а ущерб оценивается как крайне значимый.

Применение «диодов» для сегментации сетей предприятий ТЭК позволяет устранить «дихотомию», которая выражается, с одной стороны, в необходимости получать данные с объекта в рамках различного рода региональных диспетчерских управлений, центров мониторинга, ситуационных центров. А с другой стороны — исключить какое-либо воздействие на систему управления объектом, построенную на базе SCADA решений, сеть которой в свою очередь вынуждена сопрягаться с сетями внешних потребителей.

«Диоды» физически изолируют объект, сохраняя при этом возможность передачи данных за его пределы. Современные «диоды данных», в том числе, обеспечивают минимальные задержки при передаче данных промышленных протоколов, которые подходят даже для высококритичных предприятий энергетики.

Другие решения, такие как промышленные МСЭ и NGFW, могут успешно применяться с «диодами данных», эшелонируя защиту предприятия. В частности, промышленные МСЭ хорошо решают задачи дальнейшей сегментации технологической сети, обеспечивая контроль межсетевого взаимодействия в рамках крупного промышленного объекта. А NGFW может эффективно применяться в корпоративных сегментах сети, выполняя фильтрацию трафика со стороны менее доверенных сегментов и таким образом существенно локализуя вектор атаки «отказ в обслуживании», направленный на «диод данных».

Можно констатировать, что в условиях ограничений, указанных выше, «диоды данных» сегодня являются в некотором смысле «связующим мостом», обеспечивающим в том числе реализацию потенциала других мер защиты. А именно:

  1. «Диоды данных» позволяют выполнить первичную сегментацию крупных сетей, локализовав сети, в которых сосредоточены основные функции управления.
  2. «Диоды данных» гарантируют изоляцию промышленного сегмента и полностью исключают внешнее воздействие на него со стороны злоумышленника посредством какого-либо сетевого взаимодействия.
  3. «Диоды данных» успешно реализуют задачи по передаче практически всех видов трафика от UDP потоков до файловых потоков и промышленных протоколов, в том числе стриминг видео или рабочих столов операторов потребителям.
  4. «Диоды данных» позволяют снизить риски, связанные с недостаточной зрелостью подразделений ИБ в условиях только разрабатываемых и внедряемых мер защиты КИИ, когда в контроль за сетевым периметром вовлечены несколько подразделений.
  5. Применение «диодов» может существенно дополнить рисковую модель оценки угроз и нарушителя и обеспечить дополнительные меры по локализации рисков в этой модели.
  6. Через «диоды данных» могут быть переданы данные в SOC и SIEM для целей анализа закрытых технологических сегментов, исключая обратное влияние со стороны сегмента SOC на объект ТЭК. В том числе, могут быть реализованы сценарии передачи копий SPAN трафика.
  7. В переходный период в условиях ограниченной доступности СЗИ иностранных вендоров и при реализации проектов по импортозамещению «диоды данных» обеспечивают защиту периметра объекта ТЭК и выступают в качестве экосистемного решения, обеспечивая передачу различных типов трафика как для целей ИБ подразделений, так и для целей АСУ ТП и ИТ подразделений.

Вместо заключения

В целом можно говорить о том, что сегодня предприятия ТЭК, очевидно, одними из первых нуждаются в наиболее комплексных мерах защиты, включающих в себя и современные организационные меры, и повышение культуры безопасности среди персонала, и применение всего спектра решений СЗИ, которые доступны на российском рынке. Среди прочих средств защиты, не исключая их, можно выделить «диоды данных». Применение этих решений отражает приверженность энергетического сектора лучшим мировым практикам по построению многоэшелонированной защиты и приближают их к реализации концепции ZeroTrust, которая де факто становится стандартом безопасности и на нашем, и на зарубежном рынках.

Спецпроект

Источник: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП