"Троянский конь" интеграции
Глеб Рыбаков, 19/12/24
Интеграция – краеугольный камень современных комплексных систем безопасности. Объединяя подсистемы контроля доступа, охранной сигнализации, видеонаблюдения, управления инцидентами между собой и с другими ИТ-решениями предприятия, можно значительно повысить физическую защищенность объекта, ускорить реагирование, снизить издержки за счет автоматизации. Но такая интеграция – потенциальный "троянский конь" для кибербезопасности всего предприятия.
Современная комплексная система безопасности (КСБ) – это мощная информационная система, обрабатывающая чувствительные данные (например, сведения о сотрудниках) и непосредственно влияющая на безопасность жизнедеятельности на объекте. Такая система так же подвержена кибератакам, как и любое другое ИТ-решение на предприятии. Цифровой взлом КСБ несет значительные репутационные, юридические и экономические риски. А количество киберугроз сейчас растет года от года: например, по данным компании Positive Technologies, количество кибератак на страны СНГ во II квартале 2024 г. выросло в 2,6 раза в сравнении с аналогичным периодом прошлого года1.
Если вы думаете, что конкретно ваша система неинтересна злоумышленнику, то вынужден вас расстроить: большинство современных средств кибератак не слишком разборчивы в выборе жертв – они автоматически сканируют любые доступные сети, шифруют любые данные и вымогают деньги у пользователей вне зависимости от сферы их деятельности, должности и статуса. Да, отдельный контроллер доступа "на столе" может выглядеть безобидно, но уже сервер СКУД, интегрированный с 1С:Предприятие и SCADA-системой, вполне может быть (а может, и уже является) "дырой в безопасности" всего объекта. И чем больше интеграций – тем выше риски.
При чем тут интеграция?
В КСБ под интеграцией обычно понимают объединение различных средств и систем в единый комплекс для их совместной работы. Обычно интегрируют в целях повышения эффективности, удобства, оптимизации издержек. Во-первых, мы объединяем оборудование разных производителей – контроллеры доступа, охранные панели, средства видеонаблюдения, терминалы самообслуживания, интегрируя их в централизованную систему мониторинга и управления. Во-вторых, мы интегрируем программное обеспечение такой системы со смежными ИТ-решениями предприятия – подсистемами кадрового учета, каталогами пользователей, корпоративными веб-порталами, сетевыми хранилищами для оптимизации рабочих процессов и формирования единого информационного пространства объекта.
Такое объединение, бесспорно, дает новые возможности и повышает эффективность работы, а зачастую просто необходимо для обеспечения функций КСБ по назначению. Но защищенность целого определяется защищенностью самого слабого звена: где тонко, там и рвется. Лоскутное одеяло будет с дыркой, если хоть один лоскут будет с дыркой. Поэтому для уверенности в безопасности КСБ в целом надо быть уверенным в защищенности каждого из элементов и всех связей между ними. И чем больше элементов, чем больше связей, тем выше риски.
Как по минному полю
Чем больше средств разных производителей используется, тем выше риски наличия уязвимостей в каком-либо из этих средств, а как следствие, и в интегрированной системе. Ведь далеко не все производители думают о кибербезопасности своих решений. Некоторые компании до сих пор поставляют оборудование и программное обеспечение, разработанное десятки лет назад, когда о современных киберугрозах и соответствующей защите никто даже и не мыслил.
Средства КСБ также зачастую эксплуатируются на объектах без обновления десятки лет. Но любое программное обеспечение имеет дефекты. Это лишь вопрос времени, когда они будут обнаружены. Чем больше различных средств интегрировано, тем сложнее регулярно их модернизировать, устанавливая необходимые патчи безопасности. При условии, конечно, что производители вообще выпускают такие патчи.
Киберзащищенность некоторых "мутных" средств вообще невозможно оценить. Мы недавно столкнулись с изделием, которое во время работы открывало десятки сетевых портов, причем эти порты никак не влияли на выполнение изделием функций по назначению. Не являются ли эти порты потенциальными бэкдорами, не позволяют ли они в результате взлома получить несанкционированный доступ к корпоративной сети? Оценить невозможно. А связи с производителем толком и нет. Подобные угрозы особенно актуальны в последнее время: на волне импортозамещения на рынке появилось большое количество "российских" товаров от китайских производителей no name.
Точки сопряжения средств и информационных систем друг с другом также должны быть защищены. Уязвимости могут быть заложены и при разработке программных компонентов интеграции, и при пусконаладке соответствующих решений. При низкой квалификации инженеров решения могут использовать библиотеки с известными уязвимостями, а необходимые сетевые порты, тоннели или межсетевые экраны могут быть настроены небезопасным образом, открывая широкие возможности для взлома через такие точки интеграции. Просто посмотрите, сколько камер видеонаблюдения предприятий и частных домов со стандартными логином/паролем доступно в сети "Интернет"!
И чем больше точек интеграции, чем больше количество интегрируемых средств, тем выше вероятность где-то недосмотреть и допустить "дыру в безопасности". Получается, что сама суть интеграции является угрозой кибербезопасности объекта. Интеграция вполне может быть тем самым "троянским конем", открывающим злоумышленникам путь в ИТ-пространство предприятия.
Какие наши варианты?
Интеграция создает проблемы. Но почти все проблемы можно решить. Ценность интеграции высока, а при правильном подходе можно купировать все или почти все риски.
Необходимо тщательно подходить к выбору технических и программных средств, опираясь не только на критерии удобства, цены или известности бренда, но также и на киберзащищенность продукции. Объективно оценить отсутствие уязвимостей и в программном обеспечении (ПО), и в оборудовании может быть проблематично, особенно в случае, если производитель вообще не уделяет внимания информационной безопасности своей продукции. Поэтому следует отдавать предпочтение средствам тех компаний, которые ответственно заботятся о кибербезопасности своей продукции, регулярно совершенствуют свои изделия в ответ на постоянно меняющийся ландшафт киберугроз и могут предоставить соответствующую документацию.
Особое внимание следует уделять киберзащищенности точек сопряжения и каналов интеграции средств и систем. Такие каналы должны быть закрыты сетевыми экранами и зашифрованы (в рамках реализации интеграции и наложенными средствами). Должны использоваться надежные и сложные в подборе идентификаторы, пароли и другие ключевые параметры.
Доступ одной подсистемы к другой должен осуществляться с минимально возможным уровнем полномочий: например, если требуется доступ на чтение данных из кадровой системы, то в рамках соответствующего подключения не должно быть возможности осуществлять запись.
Чем компактнее "зоопарк" интегрируемых средств и систем, чем меньшее количество изделий и программ разных производителей необходимо объединить, тем лучше: тем меньшее количество точек интеграции необходимо защитить, тем меньше производителей должны ответственно обеспечить киберзащищенность своих решений, тем проще контролировать кибербезопасность всей системы в целом. В идеале было бы вообще использовать единое решение, выбирая оборудование и программное обеспечение от одного ответственного производителя, сводя потребность в интеграции к минимуму. Такой производитель имеет возможность обеспечить киберзащищенность своего решения "от и до", на всех уровнях, используя единые стандарты безопасности, криптографические протоколы и технологии защиты. Впрочем, лишь немногие производители на рынке уделяют внимание вопросам кибербезопасности и поставляют продукцию, которая по своим техническим характеристикам в принципе способна противостоять современным киберугрозам.
Кроме того, не во всех системах можно ограничиться решением от одного производителя. В одних случаях у компаний нет всего необходимого разнообразия средств. В других – большому количеству заинтересованных сторон удается продвинуть на объект продукцию разных поставщиков. Наконец, иногда заказчик принципиально не хочет "класть все яйца в одну корзину". В таких ситуациях лучшее, что можно и нужно сделать, – это обеспечить централизованный контроль за кибербезопасностью на объекте, иметь регламент киберзащиты предприятия, привлечь опытных специалистов по информационной безопасности для создания и реализации такого регламента. Необходимо грамотно настроить эшелонированную защиту сетей, внедрить и использовать средства автоматического мониторинга уязвимостей, обеспечить соблюдение цифровой гигиены при работе с ИТ-ресурсами предприятия, провести обучение персонала. Такой комплексный подход дает лучший результат, но может обходиться очень дорого. Поэтому в условиях ограниченного бюджета на самом деле выбор, может, и более дорогого "единого решения" вместо "зоопарка" бюджетных средств и их последующей интеграции все равно окажется на круг выгоднее, особенно с учетом перечисленных выше рисков интеграции.
Заключение
В наше время нельзя не думать о киберугрозах: уязвимость КСБ к кибератакам не только снижает физическую безопасность, но и несет огромные риски, материальные, репутационные, юридические и экономические, для предприятия в целом. Интеграция же комбинаторно повышает риски киберугроз. Поэтому лучше интегрировать только доверенные киберзащищенные средства. Еще лучше не интегрировать вообще, а взять оборудование и программное обеспечение, целую экосистему, от одного проверенного производителя, продукция которого исходно спроектирована с учетом современных требований по кибербезопасности. Но если интеграция все-таки неизбежна – пусть ее будет меньше, пусть она будет осуществляться под централизованным контролем квалифицированных специалистов по информационной безопасности.
1 https://www.ptsecurИТy.com/ru-ru/research/analytics/aktualnye-kiberugrozy -v -stranah-sng-2023-2024/
Опубликовано в журнале "Системы безопасности" № 5/2024
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>