2-3 марта 2022 г. в Москве состоялась Десятая юбилейная конференция «Информационная безопасность автоматизированных систем управления технологическими процессами критически важных объектов». Мероприятие прошло при участии ФСТЭК России, Минэнерго РФ, представителей Казахстана и других специалистов по промышленной безопасности РФ. Партнёрами конференции в этом году стали ООО «АйТи БАСТИОН», ООО «УЦСБ», «ИнфоТеКС», InfoWatch, Check Point Software Technologies, АО «Лаборатория Касперского», АО «ДиалогНаука», AMT GROUP, CyberLympha, 3Logic Group, «Газинформсервис», Positive Technologies и «Элвис-Плюс». Всего в конференции приняли участие 372 специалиста. Организатором конференции выступил Издательский дом «КОННЕКТ».
На пленарном заседании первого дня выступил заместитель директора Департамента экономической безопасности, Минэнерго России Новиков Евгений Владимирович, который рассказал о практике реализации требований закона №187-ФЗ «О безопасности КИИ РФ» в рамках ТЭК. Министерство уже несколько лет назад создало ведомственный центр ГосСОПКА, а сейчас проводит пилотное тестирование отраслевого центра, в котором участвуют 12 компаний из отрасли. Кроме того, ведомство подготовило и согласовало со ФСТЭК методические рекомендации для подотчетных компаний по проведению процедуры категорирования — далеко не все представили отрасли ее завершили.
Так же на пленарном заседании выступил заместитель начальника управления организации обеспечения безопасности КИИ ФСТЭК России (8 управление ФСТЭК России) Кубарев Алексей Валентинович. Он подробно разобрал первоочередные меры, которые его ведомство рекомендует принять в условиях массовых атак на объекты информационной инфраструктуры РФ.обнародовал меры, которые рекомендуется предпринять владельцам объектов информационной инфраструктуры (ИИ) для защиты от массовых атак.
Меры первой очереди, которые необходимо реализовать максимально быстро, следующие:
— Отключить автоматическое обновление программного обеспечения через сеть Интернет;
— Выявить возможные точки проникновения (ВТП) внешнего нарушителя на объекты ИИ;
— Ограничить доступ к объектам ИИ через ВТП, в том числе удаленное подключение к объектам и подключение к системам связи общего пользования (ССОП);
— Проанализировать уязвимости узлов, являющихся ВТП, в том числе уязвимостей конфигураций и кода прикладного и системного ПО;
— Устранить критические уязвимости узлов объектов ИИ, являющихся ВТП;
— Активировать все функции межсетевых экранов ( в том числе и DPI) и других СЗИ в том числе WAF по защите от компьютерных атак и анти-DDoS;
— Провести инвентаризацию веб-сервисов и служб, используемых для функционирования сайтов, веб-приложений, и отключить не используемые;
— Обеспечить взаимодействие администраторов и пользователей с сайтами и веб-приложениями по защищённым протоколам;
— Исключить применение на сайтах сторонних зарубежных сервисов, API и виджетов;
— Ограничить количество подключений к ИИ, сайтам и веб-приложениям с каждого IP-адреса;
— Сменить аутентификаторы УЗ пользователей ПО, установленного на соответствующих узлах сети;
— Ограничить возможность удаленного управления прикладным и системным ПО, телекоммуникационным оборудованием через ССОП;
— Исключить применение систем удаленного доступа;
— Обновить баз данных антивирусного ПО и решающих правил СОВ;
— Организовать анализ критических событий безопасности.
Меры второй очереди, которые требуют подготовки и тщательной настройки, поэтому их рекомендуется вводить после реализации мер первой очереди. К ним относится следующее:
— Настроить межсетевые экраны на блокировку по «белым спискам», блокировку входящего трафика с иностранных IP, из Tor, по ненужным портам и ограничить использование ССОП;
— Проверять наличие вредоносного ПО в поступающих незапрошенных электронных сообщениях;
— Реализивать многофакторную аутентификацию для удаленного и локального доступа привилегированных пользователей;
— Обеспечить мониторинг информационной безопасности объектов ИИ;
— Контролировать подключение неучтенных съёмных носителей информации и мобильных устройств;
— Провести отработку мер противодействия компьютерным атакам, восстановления работоспособности ИИ и устранения последствий компьютерных инцидентов;
— Проверить соблюдение ограничений на использование личных СВТ, модемов, накопителей и правила личного использования таких средств;
— Проверить соблюдение ограничений на применение наиболее часто используемого при реализации компьютерных атак ПО и правил его безопасного использования;
— Проверить соблюдение ограничений на использование ПО, не требуемого для выполнения должностных обязанностей;
— Информировать работников и иных лиц, имеющих доступ к объектам ИИ, о необходимости принятия мер по блокированию УБИ и о необходимости строгого соблюдения требований информационной безопасности;
— Актуализировать информацию об объекта КИИ в соответствующих реестрах;
— В случае обнаружения компьютерного инцидента на объектах ИИ незамедлительно связываться с НКЦКИ.
Он также поделился опытом проведения первых плановых проверок объектов КИИ и выявляемых в их ходе нарушений и недостатков. Алексей Кубарев, в частности, отметил, что «С документами в целом все хорошо, с аппаратным обеспечением в целом тоже все отлично, с силами тоже все нормально — прошли обучение и получили необходимые сертификаты, а вот с процессами организации защиты КИИ по-прежнему остаются проблемы».
Второй день конференции начался с дискуссии между разработчиками средств защиты и их пользователями. Основной темой была организация диалога между всеми участниками процесса обеспечения безопасности промышленных объектов: разработчиками средств защиты, ИТ-подразделениями, инженерами АСУ ТП, разработчиками оборудования для промышленной автоматизации и службами ИБ на предприятиях. Сейчас необходимость такого диалога уже ни кем не оспаривается, поскольку всем заинтересованным сторонам уже понятно, что необходима координация деятельности всех сторон для повышения эффективности защиты от попыток дистанционного взлома оборудования и остановки технологических процессов. Основные споры вызывает минимально необходимый набор технических средств и организационных мер, который позволил бы эффективно защитить объекты КИИ предприятия от постороннего вмешательства со стороны злоумышленников.
Всего в рамках конференции было заслушано 35 докладов. Модераторами все два дня были главный научный сотрудник ФИЦ ИУ РАН Гаврилов Виктор Евдокимович и заместитель генерального директора ИД «Коннект» Корешков Дмитрий Юрьевич.
В фойе конференции была организована выставка продукции партнёров, в которой приняли участие также и компании «Крок», «КСБ-Софт», Angara Security, UserGate, Ideco, Security Vision, Центр компетенции МЭИ и The Stendoff. Также спонсорами второго дня конференции стали компании etherCUT, IBS Platformix и «Норси-Транс». Среди посетителей конференции прошел опрос, результаты которого будут опубликованы на страницах журнала «Коннект». Подробный ответ о конференции будет опубликован в ближайшем номере нашего журнала.
