Самые громкие нарушения работы ОКИИ: как обеспечить защиту и соответствие 187-ФЗ

На сколько можно сесть за нарушение безопасности КИИ?

Самые громкие нарушения безопасности КИИ:

• Компьютерный вирус Stuxnet нарушил иранскую ядерную программу и повредил центрифуги для разделения ядерных материалов.
• В 2015 году перестали работать три коммунальные компании на Украине, что вызвало отключение электричества на 6 часов.
• Вредоносное ПО Triton нарушило работу промышленной системы управления (АСУ ТП) на нефтехимическом заводе в Саудовской Аравии, предоставив доступ к системам приборов безопасности завода (SIS) хакерам.
• В 2021 году атаковали нефтепровод Colonial, из-за чего 11 000 АЗС остались без газа, а 100 ГБ были украдены. Компания выплатила 5 миллионов долларов в криптовалюте для возвращения контроля над серверами.

В РФ данные инциденты попадают под статью 274.1 УК РФ. Она тяжкая и включает наказания в виде штрафов (до 1 млн рублей) и лишения свободы до 5-8 лет. При этом неважно, какая категория значимости присвоена ОКИИ – если объект попадает под 187 ФЗ, значит организацию можно привлечь к ответственности.Как защищать «поумневшие» промышленные сети: «Синоникс» на страже безопасного объединения изолированных сетей 4.9 т

Конечно, многим компаниям проще уплатить штраф, чем тратиться на дорогостоящую ИБ АСУ ТП. Однако в России готовится законопроект о введении процентных штрафов за утечку персональных данных, и такую практику могут перенять в отношении других нарушений.

Если вы беспокоитесь о репутации компании и не хотите утонуть в штрафах и судебных разбирательствах, самое время обеспечить соответствие ФЗ 187.

Какие проблемы возникают у объектов КИИ?

Перечислим основные проблемы безопасности АСУ ТП:

• 1. Неясно, кто должен отвечать за безопасность АСУ ТП и какими знаниями обладать.
• 2. Обеспечение бесперебойной работы и доступности критически важных систем и инфраструктуры.
• 3. Обеспечение безотказности, функциональности и промышленной безопасности без нарушения работы.
• 4. Ограниченные ресурсы и недостаточная вычислительная мощность.
• 5. Отсутствие антивирусного ПО и других дополнительных решений для безопасности.

После подписания указа президента РФ №250 от 01.05.2022г, в сфере обеспечения ИБ появилась еще одна проблема – запрет на применение средств защиты, производителями которых являются недружественные страны.

Субъекты КИИ без должного обеспечения защиты АСУ ТП несут большие финансовые потери. Они также не могут изолировать технологические сегменты сетей от корпоративной инфраструктуры и своевременно обновлять нормативную базу в области обеспечения ИБ АСУ ТП.

К счастью, рынок СЗИ российского производства для промышленного сегмента в последние годы развивался быстрыми темпами, и на сегодняшний день существуют практически все классы решений, способных перекрыть требования приказа №239 ФСТЭК.

Что должна включать безопасность КИИ?

Согласно статистике Cloud Networks (после проведения более 50 аудитов), эксплуатируемые системы АСУ ТП защищены только встроенными механизмами прикладного ПО. Любые объекты КИИ нуждаются в надежной защите, поэтому разработчики АСУ ТП стоит уделять внимание:

• функциональности безопасности систем,
• быстродействию систем,
• отказоустойчивостью отдельных элементов,
• увеличению длительности времени бесперебойной работы системы в целом.

Безопасность системы управления объектами и процессами должна включать защиту промышленного управления и необходимого программного и аппаратного обеспечения. На схеме ниже отображено, что входит в комплекс программных и технических средств.

Продолжительность жизненного цикла АСУ ТП – не менее 10-15 лет. Чтобы системы работали на прикладном и системном обеспечении без поддержки разработчика, внедряемые СЗИ должны быть совместимы с устаревшим ПО.

Выделим основные приоритеты:

• 1. Доступность, ведь АСУ ТП является системой реального времени.
• 2. Время реакции и выдачи, ведь нельзя использовать продукты, снижающие производительность АСУ ТП.
• 3. Поддержка поставщиками специализированного ПО, ведь у субъектов нет многих функций обеспечения ИБ.

Что нужно делать субъектам КИИ, попадающим под ФЗ 187?

Во-первых, определить перечень объектов КИИ и направить информацию во ФСТЭК.

Многие Заказчики подходят к этому вопросу формально ив последнее время есть тенденция привлечения Субъектов к административной ответственности за предоставление сведений ненадлежащего качества.

Во-вторых, провести категорирование ОКИИ. После направить сведения о присвоении категории значимости также во ФСТЭК. С этим вопросом тоже не все однозначно – понятна заинтересованность многих Субъектов по искусственному занижению категорий значимости. Цель ясна – потратить меньший бюджет на внедрение системы защиты информации, при этом редко задумываются о реальных последствиях в случае возникновения инцидента ИБ.

В-третьих, Субъекты КИИ должны внедрить:

• планирование и разработка мероприятий по обеспечению безопасности ЗОКИИ,
• реализация мероприятий по обеспечению безопасности ЗОКИИ,
• контроль состояния безопасности ЗОКИИ,
• совершенствование безопасности ЗОКИИ.

Рекомендации по обеспечению безопасности АСУ ТП

ФЗ 187 распространяется на все объекты КИИ, АСУ ТП являются лишь частным примером таких объектов. И исходя из специфики АСУ ТП, реализацию безопасности разделяют организационно-распорядительные и технические меры защиты.

В ИБ АСУ ТП необходимо включить:

• 1. Ограничение логического доступа к сети и активности системы.
• 2. Ограничение физического доступа к устройствам и сети АСУ.
• 3. Защита всех отдельных компонентов АСУ ТП.
• 4. Защита от несанкционированного изменения данных.
• 5. Наличие плана реагирования на вероятные инциденты дорожные карты по восстановлению.

Группа ИБ должна проработать этапы:

• Классификация систем и сетей АСУ ТП.

На этом этапе определяются, инвентаризируются и классифицируются приложения и устройства в сети. Система должна включать программируемый логический контроллер, DCS, SCADA, инструменты для мониторинга (как HMI) и инвентаризации, обновляемые активы. На этапе необходимо провести оценку работы всех инструментов, а также их влияния на систему.

• Выполнение оценки рисков.

На следующем этапе выявляются последствия неблагоприятных событий на уровне отдельной системы АСУ ТП, бизнес-процессов и организационном уровне. Сюда входит: проверка работоспособности систем, соблюдение нормативных требований, достижение целей бизнеса и т. п. Оценка риска определит слабые места и подходы к их смягчению.

• Внедрение мер безопасности.

После детальной оценки рисков определяется приоритетность мер по смягчению последствий. Средства для снижения и управления рисками должны быть задокументированы.

В заключение

У всех предприятий есть несоответствия нормативным требованиям, поэтому обеспечение безопасности АСУ ТП следует доверить опытным специалистам.

Практический опыт показывает, что для обеспечения защиты КИИ предприятиям не хватает ни времени, ни специалистов. При этом в России не запрещает отдавать часть услуг на аутсорсинг. Если вы хотите сэкономить средства и время, обратитесь к команде Cloud Networks.

С 2021 года у нас сформирован специализированный отдел по защите информации в АСУ ТП. За это время мы смогли реализовать проекты, благодаря которым накопили опыт и экспертность.

В перечень наших услуг входит:

• Определение класса защищенности АСУ ТП в соответствии с приказом ФСТЭК №31 от 14.03.2014.
• Категорирование объектов КИИ в соответствии с ФЗ-187 от 26.07.2017.
• Аудит ИБ объектов АСУ ТП.
• Разработка и актуализация организационно-распорядительных документов.
• Проектирование и внедрение систем защиты информации, включая поставку оборудования и ПО.

Подробнее вы можете узнать на нашем сайте.