Классические проблемы ИБ АСУ ТП и актуальность аутсорсинга
Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей. И если c защитой корпоративных сетей на многих предприятиях все достаточно неплохо, то ситуация с ИБ технологического сегмента ровно противоположная. В первую очередь речь идет о защите систем управления технологическими процессами (АСУ ТП). Вопрос защиты АСУ ТП давно активно обсуждается, но на практике его успешно решают только отдельные компании.
Процесс немного ускорился после выхода приказа ФСТЭК, определившего требования к обеспечению защиты информации таких систем на критически важных объектах (Приказ № 31 от 14 марта 2014 г.), но все равно идет очень медленно. Есть надежда на то, что в ближайшее время ситуация изменится — драйвером в этом вопросе должны стать требования Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ от 26 июля 2017 г.). Согласно документу, все промышленные предприятия считаются субъектами критической информационной инфраструктуры (КИИ), и в зависимости от категории значимости своих объектов КИИ должны выполнить ряд требований по обеспечению их безопасности и осуществлять обмен информацией об инцидентах ИБ с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Сложность для предприятий заключается в том, что новый закон говорит не о разовом внедрении отдельных средств защиты. Большая часть требований, особенно в разрезе взаимодействия с ГосСОПКА, относится к выстраиванию и обеспечению долгосрочных процессов c достаточно жесткими метриками: это процессы мониторинга и выявления инцидентов ИБ, процессы реагирования и противодействия, сканирования на уязвимости, эксплуатации средств защиты и т.д. Плюс к этому градус ответственности существенно повышают поправки в УК РФ, предусматривающие лишение свободы на срок до 10 лет в случае, если нарушение правил доступа или эксплуатации повлечет причинение вреда КИИ и иные тяжкие последствия.
Возникает вопрос, как выполнить все требования и, что более важно, обеспечить реальную защищенность ресурсов, в том числе и технологических. Решить все эти задачи собственными силами предприятиям зачастую проблематично, в первую очередь из-за дефицита кадров и компетенций. Поиск людей усложняется широкой географией промышленных объектов. Найти узких специалистов в регионах очень трудно, а часто речь идет о самых отдаленных уголках страны. При этом, помимо компетенций по ИБ, требуются технологическая специализация, понимание назначения и особенностей работы АСУ ТП, т.к. для защиты данных систем применяются специализированные средства безопасности, работающие со специфическими промышленными протоколами. Система подготовки таких кадров (курсы и пр.) практически отсутствует. Также мы наблюдаем сложности с обоснованием новых вакансий. Руководство часто ставит задачи оптимизации и сокращения непрофильных ресурсов, куда относят и ИБ-персонал. При этом многие промышленные компании работают круглосуточно, а вместе с производством в таком же режиме должны работать и все процессы информационной безопасности. Это накладывает дополнительные требования к численности штата.
В таких условиях целесообразно рассмотреть аутсорсинг и передать часть задач по ИБ внешней компании, специализирующейся на информационной безопасности, с опытом проектов в промышленном сегменте и широкой региональной сетью. Безусловно, из-за специфики защищаемых промышленных систем возникают определенные опасения. Вопросы защиты АСУ ТП не без оснований решаются очень медленно. Любые услуги должны оказываться с минимальным воздействием на технологический процесс, воздействие на многие системы в принципе недопустимо. Так, даже стандартный процесс управления уязвимостями не всегда легко организовать. Простое сканирование систем АСУ ТП может помешать технологическому процессу, а жесткие требования к неизменности конфигураций программного обеспечения делают невозможными обновление и устранение уязвимостей. Но бояться аутсорсинга не стоит, ровно с такими же сложностями и ограничениями столкнется и собственная служба ИБ. Скорее, опыт компании-аутсорсера позволит нивелировать возможные риски.
Однако при выборе аутсорсинга важно помнить, что потребуется кропотливая двусторонняя работа. У предприятия должно быть достаточно управленческих ресурсов для постоянного контроля и приемки работ аутсорсера. Необходимо назначить ответственных, четко распределить зоны ответственности, разработать регламенты и инструкции. Помимо организационных моментов, обязательно должны быть реализованы базовые меры безопасности: сегментирование сети, разграничение прав доступа, установка средств контроля действий администраторов аутсорсера и т.д. Только в этом случае возможен успех: эффективная и безопасная работа аутсорсера.
Какие процессы ИБ отдать на аутсорсинг?
Как правило, информационная безопасность на промышленных предприятиях строится на принципах централизации основных процессов. И это сильно упрощает передачу их на аутсорсинг. Основная часть услуг оказывается удаленно на базе централизованных средств защиты и систем централизованного управления средствами защиты. Работы, которые нельзя провести удаленно, выполняются на местах специалистами из филиалов аутсорсера — обычно по схеме smart hands, когда локальными специалистами руководят более квалифицированные эксперты из центра. С целью экономии могут привлекаться региональные специалисты самого предприятия — например, из службы ИТ, которая обычно присутствует на каждом заводе. В этом случае аутсорсер/интегратор использует их как «руки», проводит обучение и разрабатывает все необходимые инструкции.
Прежде всего на аутсорсинг целесообразно передавать сложные экспертные процессы, такие как:
- мониторинг и выявление инцидентов ИБ;
реагирование и противодействие выявленным инцидентам ИБ; - управление уязвимостями и анализ угроз, в том числе тестирование на проникновение;
- централизованная эксплуатация средств защиты, включая техническую поддержку и администрирование.
Особенно это рекомендуется компаниям, которым только предстоит выстроить перечисленные процессы с нуля. Можно начать с отдельных небольших функций и в случае успешного взаимодействия передать процессы целиком. Все эти процессы описаны в новых требованиях, распространяются как на корпоративный, так и на технологический сегмент и для многих компаний являются обязательными.
Особенно это рекомендуется компаниям, которым только предстоит выстроить перечисленные процессы с нуля. Можно начать с отдельных небольших функций и в случае успешного взаимодействия передать процессы целиком. Все эти процессы описаны в новых требованиях, распространяются как на корпоративный, так и на технологический сегмент и для многих компаний являются обязательными.
Аутсорсинг процесса мониторинга
Наибольший интерес вызывает процесс мониторинга и выявления инцидентов ИБ. Это один из основных ИБ-процессов для промышленности, т. к. из-за риска воздействия на АСУ ТП возможности по превентивным мерам очень ограниченны. Мы постоянно с этим сталкиваемся в проектах по ИБ АСУ ТП: нельзя ни блокировать трафик, ни сканировать, ни обновлять ПО, а если и можно, то только в редкие технологические окна. Остается сфокусироваться на компенсирующих мерах и мониторинге, чтобы своевременно выявлять атаки на ранней стадии и реагировать на них.
Рассмотрим варианты аутсорсинга мониторинга ИБ. Есть два основных пути. Первый — подключиться к коммерческому центру мониторинга и получить весь процесс под ключ. В этом случае все технические средства, экспертиза и процессы будут предоставляться аутсорсером. Такой подход позволит обеспечить быстрый старт, полностью решить кадровую проблему и за несколько месяцев выйти на приемлемое качество услуг и SLA. Объективно, чтобы прийти к аналогичному уровню процессов собственными силами, потребуется не один год. Аутсорсинговые услуги, как правило, типизированы, но именно это позволяет избежать массы ошибок, т. к. все «грабли» уже собраны и учтены. Правда, возникают дополнительные риски из-за полной зависимости от поставщика услуг. В случае разрыва контрактных отношений по причине ухудшения качества или повышения стоимости, когда за все отвечает один аутсорсер, предприятие может остаться без важного процесса. Поэтому необходимо предусмотреть процедуру передачи сервиса. Должна быть продумана возможность максимально безболезненной смены поставщика услуг или передачи процесса собственным специалистам. Впрочем, те же риски есть и при использовании своей службы мониторинга, сотрудники которой могут в любой момент покинуть компанию, оставив ее один на один с угрозами ИБ и регуляторами.
Второй вариант, более долгий и трудоемкий, — построить центр мониторинга у себя и только некоторые функции передать на аутсорсинг, например экспертную аналитику и расследование инцидентов. Такой подход требует существенно больших ресурсов и вовлечения самого предприятия, но позволяет достичь большей управляемости и контроля над процессами. По нашему опыту, на внедрение необходимой технической и процессной базы уйдет не менее года, но результат будет более адаптирован под специфику предприятия. Далее, после внедрения и отладки, уже готовые процессы и отдельные задачи можно будет передать вовне.
Аутсорсинг мониторинга ИБ не вызывает особых опасений, т. к. в рамках процесса нет прямого воздействия на контролируемые системы. Компании готовы его рассматривать как для корпоративного сегмента, так и для технологического.
Компания «Инфосистемы Джет» располагает собственным центром мониторинга и реагирования на инциденты ИБ — Jet CSIRT (Computer Security Incident Response Team) и оказывает широкий перечень услуг экспертного аутсорсинга для промышленных предприятий.
Предлагаем две модели взаимодействия:
- (Cloud) Подключение инфраструктуры предприятия к облачному центру мониторинга и реагирования Jet CSIRT. Все услуги оказываются на базе технических средств компании «Инфосистемы Джет»: SIEM, IRP, BI. При необходимости предоставляются средства защиты.
- (On-premise) Оказание услуг Jet CSIRT с использованием SIEM и ИБ-инфраструктуры заказчика. При необходимости выполняем проекты по построению полноценных центров мониторинга на территории предприятия, включая проектирование, внедрение технических средств и разработку процессной и регламентной базы.
Обеспечиваем полный цикл процессов в соответствии с Федеральным законом № 187-ФЗ, в том числе мониторинг и реагирование на кибератаки, управление уязвимостями и тестирование на проникновение, вплоть до информационного взаимодействия с главным центром ГосСОПКА. В каждом проекте учитывается специфика промышленных предприятий, для этого мы:
- разработали специализированную базу сценариев выявления инцидентов ИБ в АСУ ТП;
- обеспечиваем оперативное реагирование за счет нашего огромного опыта эксплуатации промышленных средств защиты;
- используем однонаправленное подключение.
Если необходимо полностью исключить возможность доступа аутсорсера к компонентам АСУ ТП при оказании услуг мониторинга, мы используем системы однонаправленной передачи данных, которые позволяют нам получать всю необходимую для мониторинга информацию и не дают возможности направлять трафик в обратном направлении.
Аутсорсинг процесса реагирования
Очень сложно преодолеть порог недоверия и отдать на аутсорсинг процессы с непосредственным доступом к средствам защиты, такие как оперативное реагирование на инциденты ИБ и эксплуатация средств защиты. Ошибки при реагировании или эксплуатации могут привести к серьезным последствиям, вплоть до остановки производства. Поэтому для промышленных предприятий, особенно в технологическом сегменте, наиболее приемлем вариант информативного аутсорсинга процесса реагирования — когда исполнитель только разрабатывает инструкции по противодействию атакам, а непосредственное выполнение настроек остается за специалистами предприятия. Инструкции представляют собой понятный перечень шагов и настроек, которые нужно выполнить для противостояния выявленной атаке. Каждое действие подвергается двойному контролю, т.к. специалисты предприятия прежде, чем применить настройки, повторно их анализируют. Такой подход несет меньше рисков, но требует наличия у предприятия собственной службы эксплуатации, а это опять кадровые проблемы. Скорость реагирования также зачастую оставляет желать лучшего.
Возможен и более комплексный подход с минимальным участием собственных специалистов, но требующий значительно большего доверия к аутсорсеру — когда он не только разрабатывает настройки, но и самостоятельно их применяет, имея доступ к средствам защиты. Это накладывает очень серьезную ответственность на поставщика услуг. Все возможные действия по реагированию должны быть предварительно протестированы. В таком варианте оптимально, чтобы исполнитель еще и полностью отвечал за эксплуатацию средств защиты. Тогда у него будет полное представление о текущих политиках и настройках, и он сможет максимально оперативно выполнять действия, необходимые для обработки инцидентов ИБ и ликвидации их последствий.
Индивидуальный подход для каждого сегмента
Передавая ИБ на аутсорсинг, каждый сегмент АСУ ТП нужно рассматривать индивидуально и серьезно оценивать риски и возможные последствия. Чем выше риск воздействия на технологические системы, тем больше функций и контроля должно остаться внутри предприятия.
Для каждого сегмента АСУ ТП мы рекомендуем рассматривать аутсорсинг лишь определенных процессов (см. таблицу).
Функции, которые можно передать на аутсорсинг, в том или ином сегменте АСУ ТП | ||||
---|---|---|---|---|
Аутсорсинг процессов | Мониторинг инцидентов | Информативное реагирование - выдача рекомендаций | Реагирование с доступом к средствам защиты | Эксплуатация средств защиты |
Корпоративный сегмент | V | V | V | V |
Периметр АСУ ТП | V | V | V | V |
Верхний уровень АСУ ТП | V | V | - | - |
Средний уровень АСУ ТП | V | - | - | - |
Нижний уровень АСУ ТП | V | - | - | - |
Какой подход выбрать и какие функции передать вовне, каждая компания определяет самостоятельно в зависимости от поставленных задач и текущего состояния ИБ. Главное — ответственно подойти к выбору поставщика услуг и четко сформулировать требования к составу услуг и SLA. Компаний, специализирующихся и на аутсорсинге ИБ, и на ИБ АСУ ТП, не так много. Но из-за роста актуальности этих услуг в связи с перманентным дефицитом кадров, ужесточением требований регуляторов и невысокой ИБ-оснащенностью промышленных предприятий предложение на рынке вслед за спросом неизменно растет.