Контакты
Подписка
МЕНЮ
Контакты
Подписка

Приоритетная задача информационной безопасности на объектах ТЭК – защита от несанкционированного доступа

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Приоритетная задача информационной безопасности на объектах ТЭК – защита от несанкционированного доступа

В эпоху кибератак задача по обеспечению информационной безопасности предприятия как никогда актуальна. А при защите объектов топливно-энергетического комплекса речь идет уже о национальной безопасности: возрастает как уровень риска, так и уровень ответственности. О том, какие задачи решает система ИБ на объектах ТЭК и с какими ограничениями сталкиваются специалисты, расскажет Лев Палей, начальник отдела защита информации СО ЕЭС
Лев Палей
Начальник отдела защиты информации СО ЕЭС

– Назовите основные источники угроз, приводящие к нарушению целостности информационной системы объектов нефтегаза и энергетики. Какие узлы в системе ТЭК наиболее уязвимы?
– Провокационный вопрос. И прямого ответа здесь не будет – могу сказать, что основные источники угроз в том числе подпадают под критерии, описанные в новом законе об обеспечении безопасности объектов ключевой информационной инфраструктуры. Знания об уязвимых узлах информационных систем ТЭК и, в частности, программно-аппаратных комплексах АО "СО ЕЭС", находящиеся в общем доступе, – это дополнительная возможность для атакующих конкретизировать вектор атаки. И публиковать такую информацию не стоит даже в общем виде.

– Какие задачи решает система информационной безопасности на промышленных объектах и предприятиях ТЭК?
– Приоритетной задачей является обеспечение защиты от несанкционированного доступа, причем здесь используется достаточно широкий набор инструментов, который, в свою очередь, определяется при разработке и согласовании проекта информационной системы и систем информационной безопасности. Далее он конкретизируется с учетом возможностей и ограничений, связанных с объектом.

– Какова специфика защиты информации на объектах ТЭК? Что нужно защищать прежде всего и лучше всего?
– Так как я могу исходить только из личного опыта, а в этой области специфика АО "СО ЕЭС" накладывает свои ограничения, надо первоначально определить, что считается информационными системами объектов ТЭК. Автоматизированные системы, управляющие производством (АСУТП), и информационно управляющие системы (ИУС), существующие для контроля и агрегации поступающих данных, предполагают разные модели угроз. Но основное отличие от классических корпоративных систем – внимание к основным задачам таких ИУС и АСУТП, понимание необходимости обеспечения их устойчивости и надежности функционирования. Поэтому самая яркая черта, характеризующая такие системы, – историческая ориентировка на использование встроенных средств защиты, хотя в последнее время трендом становится внедрение мониторинга событий ИБ и в этом секторе.

– На какие этапы можно разделить глобальную задачу по обеспечению информационной безопасности?
– На эту тему сказано многое, но если не углубляться в детали, подход будет классическим:

  • определение ИТ-ландшафта или, проще говоря, инвентаризация и последующее ведение реестра;
  • определение модели актуальных угроз; подход может быть в общем не формализован, но закреплен в частностях;
  • определение основных уязвимостей защищаемых систем и мер по снижению их количества: инструментарий складывается из систем защиты (межсетевые экраны, средства обнаружения вторжений, антивирусы и т.д.) и организационных мероприятий (управляемый процесс изменений, комплексное управление обновлениями и уязвимостями);
  • определение процесса реагирования на угрозы и инциденты ИБ, с последующей автоматизацией;
  • периодический аудит, основывающийся на выходных данных пунктов, описанных выше.

Всему этому есть амбициозное название – система управления информационной безопасностью.

– В чем состоит комплексный подход к построению системы защиты информации на промышленных объектах?
– На мой взгляд, комплексность (и здесь не актуально разделение на промышленные и непромышленные объекты) – в разумности применяемых мероприятий и соответствии их стратегии компании. Кроме того, при комплексном подходе любое решение должно быть основано не на инцидентном подходе (когда что-то случилось и это является основным двигателем внедрения процессов ИБ), а на результате анализа статистических данных, требований соответствия и приземлении этих показателей на уровень приемлемого риска.

– Какие существуют особенности обеспечения информационной безопасности при многофилиальной структуре объекта?
– Здесь важно упомянуть еще несколько параметров: количество филиалов и количество уровней в принятой иерархии управления, цели и задачи компании. В основном эти параметры сказываются на объеме генерируемых и обрабатываемых данных, принятых средствах коммуникации и обеспечения процессов. И в зависимости от этих особенных для каждого предприятия параметров формируются наиболее эффективные мероприятия. Причем единого решения нет: например, где-то унификация и централизация возможна, где-то неэффективна и трудно реализуема. Но основная особенность – это отсутствие возможности применения быстрых контрмер единовременно для всех объектов.


– В настоящее время все более глубоки процессы интеграции, в том числе более взаимосвязанными становятся технологические и корпоративные сети. Как это влияет на информационную безопасность? Какие дополнительные меры требуются для защиты интегрированных сетей?
– Риск, возникающий при взаимной интеграции информационных систем в связке с обеспечением информационной безопасности, называется каскадным риском. Работа с таким типом риска наиболее сложна и может быть эффективной при полноценном включении в процессы создания информационных систем для правильного просчета корректирующих мероприятий на каждом из этапов. Взаимопроникновение технологических и корпоративных сетей влечет как усложнение требований к защите выделенных сегментов, так и применение (а может, и появление) новых технологий по организации таких сегментов.

– Расскажите о современных трендах информационной безопасности. Как вы к ним относитесь?
– Тренды по многим направлениям обеспечения ИБ возникают постоянно и являются полезными двигателями прогресса. Можно выделить основные предпосылки их появления:

  • сформулированная идея оптимизации архитектуры существующих решений (NGFW – яркий пример выделения нескольких решений "в одной коробке" в тренд);
  • попытка найти ответ на современные угрозы – иногда на базе существующих технологий, но с другим названием (UEBA, Big Data);
  • гонка за соответствием предъявляемым регуляторами требованиям (различные промышленные SIEM, IDS,FW).

В каждой отдельной ситуации, когда требуется выбрать решение для включения в систему обеспечения ИБ, отношение к таким трендам формируется разное, в зависимости от причин выбора решения и требуемой реальной, а не маркетинговой функциональности.

– На чем нельзя экономить при организации системы информационной безопасности на объектах ТЭК? Чем такая экономия может обернуться?
– На отказоустойчивости и надежности решений, так как не всегда есть возможность исправлять проблему, гораздо вернее снизить вероятность ее возникновения. И как следствие – требуется техническая поддержка, позволяющая минимизировать количество времени простоя при неисправности. Пропорциональность присутствия этих признаков зависит от типа решения, способа установки и влияния на процессы предприятия.

– Если нужно создать самую современную и высокотехнологичную систему защиты информации, продукцию каких компаний стоит предпочесть: зарубежных или отечественных?
– Сложный вопрос, не имеющий однозначного ответа. Сейчас не во всех нишах представлены российские решения, к тому же не все оборудование обладает нужной зрелостью для повседневной эксплуатации без постоянной поддержки производителя. Но примеры есть, и они достаточно показательны.

– Опишите идеального поставщика услуг по информационной безопасности.
– Исполнительный и немногословный, действующий в рамках договора.

– По каким критериям можно судить о защищенности информационной системы предприятия?
– Это, скорее, не отдельные критерии, а целая система, взаимосвязанная с целевыми показателями и направлениями стратегии компании.

Риск, возникающий при взаимной интеграции информационных систем в связке с обеспечением информационной безопасности, называется каскадным риском. Работа с таким типом риска наиболее сложна и может быть эффективной при полноценном включении в процессы создания информационных систем для правильного просчета корректирующих мероприятий на каждом из этапов

Здесь должна присутствовать оценка зрелости процессов обеспечения ИБ, включенность в деловые процессы предприятия и, конечно, базовые метрики, характеризующие основные направления: вирусную активность, количество уязвимостей, количество событий и инцидентов ИБ.

– В каком направлении будут развиваться системы защиты информации?
– В настоящее время существует разделение на промышленную ИБ и корпоративную. Специализации, на мой взгляд, будут множиться как у людей, так и у решений. Еще недавно нескольких классов систем просто не было, а уже сейчас собираются данные для первых историй успеха. Поэтому мой прогноз следующий.

  1. Удешевление и популяризация классических систем, восприятие таких систем как датчиков для систем аналитики.
  2. Повышение уровня аналитики и увеличение количества специализаций внутри такого класса решений.
  3. Практически полный уход от решений на базе аппаратного обеспечения.

Все идет к систематизации и наработке практик: гораздо проще создавать что-то из-за накопленной базы знаний. В будущем (возможно, лет через двадцать) мы придем к плотному взаимодействию с одним из подвидов искусственного интеллекта в этой сфере.

Опубликовано: Журнал "Системы безопасности" #4, 2017
Посещений: 4812

  Автор

Лев Палей

Лев Палей

Начальник отдела защиты информации СО ЕЭС

Всего статей:  1

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций