Даниил Бориславский, 13/04/21
Внедряемые на цифровых предприятиях системы можно разделить на две основные категории – киберфизические системы и Интернет вещей. В основе киберфизических систем лежат популярные нынче концепции больших данных, облачных систем, 3D-печати и дополненной реальности. По большей части Интернет вещей тоже входит в этот формат, но в силу того, какой реальный размер имеет Интернет вещей, имеет смысл выделить его в отдельную категорию. Важно не только и не столько использование данных технологий и концепций на производстве, важно увязать это все вместе в единую, устойчивую, непротиворечивую систему, которая будет в некоторой степени автономной, а в некоторой степени – гибко настраиваемой.
Средства кибербезопасности, которые могут защитить киберфизические системы и интернет вещей, стары как мир. Это системы обнаружения вторжений и системы предотвращения вторжений – перехват управления на предприятии может привести к катастрофическим последствиям. Это системы контроля персонала, так как внутренние угрозы особенно актуальны в нашей стране. Ну и, наконец, это система, о которой мало кто задумывается, хотя ее существование на предприятии кажется очевидным, – система обучения персонала цифровой грамотности и цифровой безопасности. Уже одно только такое обучение способно серьезно снизить количество киберугроз.
Система информационной безопасности и ее эффективность
Для исполнения требований закона 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и подзаконных актов не столь важно, цифровое предприятие или нет. Самое лучшее, что можно сделать для обеспечения требований закона, – в первую очередь не заниматься словесной эквилибристикой и не жонглировать предложенными в законе понятиями, чтобы просто прикрыть свои недоработки. Нужно выстроить систему информационной безопасности, которая будет четко регламентировать и обеспечивать оптимальное и безопасное взаимодействие между следующими категориями: внутренними сервисами предприятия, удаленными системами предприятия, внешними сторонними сервисами и персоналом.
Как бы это банально ни звучало, но хорошо делай, и хорошо будет. Если вы будете стремиться просто исполнить требования закона, чтобы от вас отстали, успех вряд ли вас ожидает.
Метриками эффективности информационной безопасности могут стать самые простые параметры: количество инцидентов за отчетный период, количество инцидентов, приведших к потерям, среднее время реакции на инциденты и коэффициент снижения количества инцидентов. Чем меньше каждая из цифр, тем эффективнее ваша система.
Типичные ошибки при подготовке к проверкам регулятора
Как показывает практика, идеально подготовиться к проверкам ФСТЭК не получается ни у кого. Мы оставим в стороне вопрос "Кто виноват?" и подумаем: "Что делать?"
Есть общий для страны набор "болячек", и они самые банальные. Самая распространенная из них – это определение "крайнего". Человек, который ответственен за безопасность критической информационной инфраструктуры (КИИ), как правило, мало представляет, что такое безопасность. И, как следствие, реализацией мер защиты КИИ занимаются непрофильные отделы. Вторая проблема – рассматриваются не все сценарии атак и не всегда адекватно оцениваются внешние нарушители. Эта проблема напрямую вытекает из первой. И наконец, третья типичная проблема – отсутствие работы по информированию персонала о мерах по обеспечению безопасности объектов КИИ.
Провести самодиагностику очень просто: задайте себе вопросы и ответьте на них максимально честно:
- Кто отвечает за безопасность КИИ?
- Какой отдел отвечает за реализацию мер защиты?
- Какое оборудование и средства защиты вы используете и все ли с ними в порядке?
- Понимают ли ваши сотрудники цели, задачи и методологию работы по информационной безопасности?
Если вы будете честны сами перед собой, то, можете поверить, при проверке количество ваших проблем разительно сократится.
Big Data и нейронные сети для автоматизации
Базовый инструмент для автоматизации работы с инцидентами – Big Data. Нужно собирать огромное количество данных, обрабатывать их, проводить всесторонний анализ. вторым инструментом являются входящие в моду нейронные сети. Если правильно подойти к вопросу обучения, то можно заставить нейронную сеть выполнять практически любую работу, причем гораздо быстрее человека и практически не совершая ошибок. Это позволяет значительно уменьшать нагрузку на сотрудников. Вид деятельности почти не накладывает никакого отпечатка на эти процессы, потому что мы работаем с информацией как таковой и для нас все требования и все варианты развития событий выглядят именно так, как они прописаны в руководящих документах.
В общении с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) в контексте сбора материалов по инцидентам с ЗОКИИ мы не испытываем проблем: когда ты живешь этим, когда это дело всей твоей жизни, то общаться с коллегами не составляет особого труда.
Спецпроект "Кибербезопасность цифрового предприятия" - обзор решений и мнения экспертов >>
К решению проблем кибербезопасности нужен комплексный подход
Регулярные утечки чувствительной информации из отечественных компаний – это одновременно и тренд, и веяние времени, и угроза кибербезопасности, и ожидаемый эффект незрелой цифровизации в организациях.
Во-первых, распространено систематическое разгильдяйство на местах в силу того, что нет налаженных систем обучения и просвещения персонала, требования законов выполняются "для галочки": главное, чтобы не наказали.
Во-вторых, из-за перевода многих сотрудников на удаленную работу периметр безопасности размылся и стало сложнее обеспечивать целостность и защищенность информационной структуры. Многие оказались банально к этому неготовыми: переход был слишком резким.
В-третьих, мы живем в цифровую эру, цифровизация шагает по всей планете, дети с малых лет учатся пользоваться гаджетами, а значит, с течением времени количество злоумышленников будет расти, интенсивность и количество атак будут нарастать.
Технологически этот процесс неостановим: развиваемся не только мы, но и наши противники.
К сожалению, в этой гонке многие организации оказываются отстающими в силу урезания бюджетов, недостатка квалифицированных кадров и т.д.
Проблема носит комплексный характер, нужно приложить усилия сразу в нескольких точках, чтобы тренд стал позитивным. Если бы проблема была в чем-то одном, то она уже давно была бы решена. Но пока проблемы налипают друг на друга, как снежный ком. И чем быстрее мы осознаем их масштабы, тем будет лучше для всех нас. Причем говоря "мы", я имею в виду не только специалистов по ИБ и руководителей предприятий. Я имею в виду всех и каждого, кто работает с компьютерами и компьютерными системами.
Методы тестирования кибербезопасности цифрового предприятия
Есть четыре основных стандарта тестирования на проникновения, которыми можно воспользоваться.
- OSSTMM – универсальный стандарт, предлагающий пять основных каналов для тестирования. Его универсализм – это хорошо, но желательно разбираться в вопросе, чтобы его применять.
- NIST SP800-115 – техническое руководство, прекрасно подходящее для тестирования, в котором подробно расписано, что делать и как потом исправить недостатки.
- ISSAF – этот инструмент, пожалуй, стоит рекомендовать меньше всего, потому что он требует определенного опыта от тестировщика. Но при этом это очень подробная методология, адаптируемая к абсолютно любому предприятию.
- PTES – это стандарт для проведения базового теста на проникновение, дешево и сердито.
В этих стандартах также описано, какие именно инструменты стоит использовать. Самое важное, что нет никакой необходимости изобретать велосипед, тем более что для этого нужны профессионалы высокого уровня. Поэтому и методологию нужно выбирать аккуратно, исходя из умений специалистов, которые будут проводить тестирование.
