Слабым местом ИБ любой компании остаётся человек
Вчера стартовала деловая программа Форума «Цифровая устойчивость и информационная безопасность России», которая открылась панельной дискуссией «Киберустойчивость ключевых отраслей экономики России».
Модератор сессии Наталья Касперская, президент группы компаний InfoWatch, сооснователь «Лаборатории Касперского», председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт», отметила хорошие темпы программы импортозамещения, но обратила внимание и на проблемные, с ее точки зрения, области — языки программирования и программные стеки.
Регуляторы
Продолживший дискуссию Евгений Хасин, врио Директора Департамента обеспечения кибербезопасности Минцифры России, напомнил, что с принятием западных санкций в марте 2022 года российские компании столкнулись с многочисленными проблемами, были отозваны SSL-сертификаты, в репозиториях появились закладки, стоял вопрос об отключении от веб-сервиса GitHub. Благодаря принятым мерам был создан Национальный удостоверяющий центр для получения отечественных сертификатов, планировалось создание отечественного репозитория открытого ПО. На этом фоне угрозы дальнейшего отключения России от центров мировой разработки были приостановлены.
Однако перед отечественными разработчиками стоит долгосрочная стратегическая задача киберустойчивости по двум направлениям:
- устойчивость и доступность программного обеспечения, средств защиты информации и возможности их замещения. Здесь возникают сложности в доступности высокопроизводительных программно-аппаратных комплексов, например NGFW, однако сейчас идут активные работы по созданию отечественных решений;
- доверие. Насколько можно доверять свободному ПО, компиляторам и библиотекам.
Эти вопросы включены в национальную программу «Цифровая экономика», работы по ним ведутся с участием регуляторов, в первую очередь, ФСТЭК. На базе Института системного программирования РАН ведутся работы по исследованию безопасности ядра Linux, созданию депозитория доверенного opensource ПО. В реестр отечественного ПО войдут не только операционные системы, но и СУБД, отечественная версии Java — JDK. Ведется унификации продуктов. Эти работы будут продолжены в рамках нацпроекта «Экономика данных», который будет реализован, начиная с 2025 года.
Одновременно с работами по созданию доверенного отечественного программного обеспечения ведется подготовка законодательной базы, которая установит порядок использования ПО в дальнейших разработках решений.
Также Евгений Хасин остановился на вопросах защиты единой цифровой платформы РФ «ГосТех» и ее составляющих «ГосМаркет» и ГИС «Управление». Он продолжил тему повышения степени доверия и доступности к технологиям, в том числе. облачным, которые являются единственной возможностью для унификации решений и локализации компетенций, в том числе в области ИБ.
Ранее был реализован первый этап создания гособлака — «ГЕОП», туда системы переезжали «как есть». Платформа «ГосТех» — следующий этап гособлака. Она предназначена для федеральных и региональных органов власти и позволяет быстро и эффективно создавать ГИС и цифровые сервисы на моделях PaaS и SaaS.
Евгений Хасин отметил, что «ГосТех» аттестован по максимальным классам защиты и категорирован как значимый объект КИИ первой категории. Создан план перевода ГИСов на платформу «ГосТех», который предусматривает перенос или создание ГИС с нуля на базе «ГосТех» с учетом будущих возможностей.
Следующий шаг развития платформы — создание общего стека ПО, который используется для создания ГИСов. «ГосМаркет» заработает в середине 2024 года и будет содержать экземпляры доверенных СЗИ, веб-приложений, баз данных, языковых моделей и ПО.
ГИС «Управление», введение в эксплуатацию которой запланировано на конец года, с конвейером безопасной разработки, будет содержать анализ кода и разработки отечественных производителей в зависимости от языков программирования. Конвейер будет доступен для разработчиков ГИСов для «ГосТеха». Также будет создан выходной контроль, некий аналог ОТК, который будет содержать больше средств анализа кода.
Важным элементом станет централизованное обнаружение компьютерных атак и предупреждение инцидентов на базе собственного центра ГосСОПКА «ГосТеха», оператором выступит ФГБУ НИИ «Интеграл». Работа Центра будет осуществляться в соответствии с требованиями НКЦКИ. В будущем планируется запуск программ BugBounty для данных платформ.
О тенденциях на рынке киберугроз в связи с переходом на отечественные решения говорил представитель НКЦКИ Иван Минаев. Он отметил, что данные об угрозах поступают в ГосСОПКА и регуляторы видят тенденцию на увеличению доли отечественного ПО. Однако, оценивая качественную составляющую, регулятор не видит просадок. Чаще он сталкивается с организационными проблемами.
Спикер ответил, что уход с российского рынка компании Fortinet стал самой показательной историей, которая подвигла отрасль активнее работать и вести собственные разработки, а потребители поняли угрозы. Это стало лучшей маркетинговой акцией для отечественной отрасли ИБ.
Практики
В Челябинской области вопросы импортозамещения обсуждаются с 2014 года, рассказал Александр Козлов, заместитель губернатора региона. Однако наиболее остро вопрос встал в 2022 года. По итогам 2023 года Челябинская область находится на седьмом месте по уровню импортозамещения, в 2022 года она была пятой в России.
«Проект импортозамещения — самый сложный, который реализовывал в жизни», — считает Александр Козлов, поскольку он меняет поведение пользователей и культуру и невозможен без мотивации и принуждения.
Первый опыт перехода на отечественные решения получен в 2015 – 2016 годах, когда на Linux были переведены местные органы власти. По мнению спикера, это был несложный процесс. Центр обработки данных расположен в Челябинске, к нему подключены все органы региональной и муниципальной власти. Органы соцзащиты были переведены на работу на ОС Астра Линукс, предприятия ЖКХ — на ОС Альт Линукс. В качестве офисного пакета выбрано решение «Р7-офис». В этой части ПО спикер отметил значительный прогресс по сравнению с 2016 годом В случае невозможности ухода с Windows из-за специфики ПО, были использованы виртуальные машины.
Сложность перехода на отечественное ПО заключается в том, что проводится на ходу, нельзя остановить рабочие процессы. Дополнительно необходимо проводить обучение кадров, чтобы переход прошел без потери эффективности и скорости.
При переходе на новые решения Челябинская область столкнулась с кадровыми проблемами, была сделана ставка на собственные силы и переобучение системных администраторов. Также помогло финансовое стимулирование сотрудников как мотивация перевода рабочих мест на новые решения.
В числе других проблем — устаревшие нормативно-правовые акты, которые включают требования к иностранному оборудованию, отсутствие альтернативные решений под Линукс. Несмотря на то, что стоимость перехода на Линукс от вендоров снижается, по ряду направлений она остается высокой, считает спикер. «Надо развивать конкуренцию и снижать цены», — отметил он.
О сложностях при импортозамещении, с которыми сталкивается одна из крупнейших в стране с точки зрения логистики и покрытия компания, рассказал Юрий Ногинов, директор ОАО «РЖД» — начальник Департамента управления информационной безопасностью. Он отметил, что РЖД — это 1600 систем, в прошлом году в структуре компании было выявлено 289 объектов КИИ, их число постоянно меняется – они выводятся из эксплуатации, меняются, происходит слияние. В структуре работают 16 Центров обработки данных, по одному на каждое экстерриториальное объединение. Организовано децентрализованное управление, а центры РЖД — ключевые элементы экономики регионов, особенно в отдаленных районах.
За прошедший год структуры РЖД отметили рост числа изощренных кибератаки на 36% к году ранее. Увеличение числа атак методами социальной инженерии, фишинга и сообщений в мессенджерах. Еще одна проблема отрасли — более 200 случаев поджогов релейных шкафов в 2023 году. Также отмечены многочисленные DDoS-атаки. Спикер отметил, что СЗИ в РЖД имеют свои особенности, поскольку используются микропроцессорные системы управления на подвижном составе, в релейных шкафах. Они должны быть устойчивы не только к кибератакам, но и к внешним факторам.
Если говорить об импортозамещении, то речь идет не только об ИТ-технологиях и информационной безопасности, но и работе подвижного состава.
В планах компании в части импортозамещения ИТ — реализовать все меры до 1 января 2025 года в соответствиями с требованиями законодательства. «В компании присутствуют все виды СЗИ, которые только есть в стране», — отметил спикер. Это связано с тем, что на на дальних полустанках стоят устаревшие системы, под которые уже не выпускаются современные средства защиты информации. Компания должна импортозаместить 340 тыс. автоматизированных рабочих мест, работы в этом направлении ведутся. К началу 2025 года все СЗИ на объектах КИИ будут отечественного производства, отметил Юрий Ногинов.
По другим направлениям, где инфраструктура изначально строилась с учетом высокопроизводительных вычислительных мощностей и процесс миграции — сложная процедура, работы идут в соответствии с разработанным ранее графиком.
С аналогичными проблемами сталкиваются и Магнитогорском металлургическом комбинате, отметил Вадим Феоктистов, генеральный директор ММК-Информсервис. Изначально промышленные решения были ориентированы на западные решения Oracle, СУБД, бизнес-приложения, ERP-системы. В марте 2022 года предприятие лишилось поддержки иностранных вендоров.
В конце 2022 года была сформирована программу по переходу на отечественное ПО, которое разбито на 10 ключевых областей, включая ERP-системы, бизнес, системы управления производством. В структуре предприятия ранее созданы собственные разработки, которые привязаны к цехам и интегрированы с СУБД. Поэтому вопрос миграции на новые решения как никогда актуален. По многим направлениям есть импортозамещающие решения, по части направлений ведется их проработка.
Например, проведена тестовая миграция 450 АРМ на ОС Астра Линукс и «Р7-офис», получена обратная связь и выявлены проблемы, в том числе невозможности развертывания части ПО под Линукс. Приходится применять виртуальные или терминальные решения. В ряде случаев с устаревшего серверного оборудования или систем, оставшихся без поддержки поставщика, принято решение мигрировать на Intel, компания определила направление движения и сроки перехода.
Обсуждая миграцию ERP-системы, представитель ММК отметил, что пока не рассматривается миграция на 1С, поскольку перевод проблематичен. В настоящее время на ММК обеспечивают стабильную работу имеющихся систем и изучают рынок, в том числе в рамках Индустриального центра компетенции по металлургии, при этом отслеживая требования регуляторов в части защиты объектов КИИ на предприятии. До 2026 года будет разработан проект, включающий 15 ключевых направлений усиления ИБ, в том числе методами тестирования на проникновение, повышения осведомленности работников, развития SOC и безопасной разработкой ПО.
Завершая дискуссию, ее участники отметили, что слабым местом информационной безопасности любой компании остается человек. Необходимо воспитание в области цифровой гигиены, чем активно занимается Минцифры. По данным НКЦКИ, главным трендом прошедшего года являются атаки на цепочки поставщиков и уязвимости ПО на периметре организации. Однако следом идут социальная инженерия и фишинг. О примерах массовых случая атак с использованием социальная инженерия рассказали все участники панельной дискуссии.
В 2023 году было выявлено 200 тыс. компьютерных атак (на 28 тыс. больше, чем в 2022 году). По статье 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» вынесено 30 судебных решений (на два меньше, чем в 2022 году), к реальному сроку заключения приговорен один человек, остальные злоумышленники получили условное наказание и/или штраф, рассказал Иван Минаев.
Представитель НКЦКИ отметил, что Глава 28 УК РФ, которая предусматривает наступление уголовной ответственности за преступления в сфере компьютерной информации, архаична даже по сравнению с Казахстаном и Беларусью, также необходимо пересмотреть процедуру сбора цифровых доказательств. Он отметил высокую латентность преступлений и тот факт, что руководители компаний всеми способами стараются скрыть инциденты. Одна из задач службы в будущем — вывести инциденты из серой зоны даже непопулярными методами: отзыв аккредитации у отраслевого центра ГОсСОПКА или штраф. Вопросов и задач в этом направлении много, подчеркнул Иван Минаев.