2021/07/01 09:51:10

Сергей Козленок, «Мосэнерго»: Основные ИБ-угрозы в энергетике связаны с высоким уровнем автоматизации процессов

Массовый переход на удаленную работу из-за пандемии коронавируса привнес дополнительный акцент в ландшафт угроз, характерных для сферы энергетики, однако не привел к их кардинальному изменению. О том, в чем заключаются ключевые ИБ-угрозы для энергетического сектора, каковы особенности защиты предприятий сферы энергетики, как нивелировать человеческий фактор и справиться с огромным объемом работы по обеспечению безопасности объектов КИИ в соответствии с требованиями регуляторов, в интервью рассказал Сергей Козленок, начальник отдела информационной безопасности ПАО «Мосэнерго».

Сергей
Козленок
Вопрос обеспечения безопасности приходится решать путем создания надёжной периметральной защиты с внедрением действенной системы мониторинга

Какие угрозы сегодня актуальны для сферы энергетики? Повлияла ли на ландшафт угроз пандемия коронавируса?

Сергей Козленок: Основные ИБ-угрозы в энергетике связаны с высоким уровнем автоматизации процессов генерации электрической и тепловой энергии на современных электростанциях. Если идти по всем канонам анализа угроз безопасности, то следовало бы сначала построить модель угроз и нарушителя, а далее уже делать выводы. Глобально же хочется отметить, что среди актуальных нарушителей стоит рассматривать APT-группировки и подразделения спецслужб различных государств, обладающие высоким потенциалом для проведения целенаправленных компьютерных атак.

Коронавирус, конечно же, внёс свою лепту в ландшафт угроз. Не могу сказать, что распределение угроз коренным образом изменилось, однако дополнительный акцент, обусловленный переводом работников на удалённый режим работы, появился.

В чём заключаются особенности защиты систем промышленной автоматизации?

Сергей Козленок: Непрерывность цикла производства — основная особенность обеспечения безопасности в электроэнергетике. К сожалению, невозможно остановить технологический процесс при первой необходимости для внедрения средств и систем защиты информации. Помимо всего прочего, особенности реализации процесса управления зачастую не допускают установки наложенных средств защиты информации, так как последние вносят коррективы в работу основной системы. Поэтому вопрос обеспечения безопасности приходится решать путем выстраивания надёжной периметральной защиты с внедрением действенной системы мониторинга ИБ.

Как, на ваш взгляд, необходимо решать проблему legacy-оборудования? Поможет ли здесь мониторинг технологического трафика?

Сергей Козленок: Внушительный объем legacy-оборудования — ещё одна особенность обеспечения безопасности промышленной автоматизации. Это наше наследство, которое до сих пор исправно решает задачу управления, но, к великому сожалению, создаёт дополнительную брешь в системе безопасности. Устаревшая аппаратная часть, необновляемое программное обеспечение, невозможность установки современных средств антивирусной защиты и прочие сложности возникают при попытке выполнить требования безопасности на таких системах. Выходом в этой ситуации однозначно будет применение систем глубокого анализа сетевого трафика с разбором промышленных протоколов. Такие системы уже существуют. Пока они ещё требуют серьёзной кастомизации и повышения уровня их интеллектуальности, однако уже сейчас способны обнаруживать аномальное поведение систем управления.

Что делать с человеческим фактором, ведь нередко причиной инцидентов становятся отнюдь не действия внешних злоумышленников, а беспечность или халатность сотрудников?

Сергей Козленок: Ещё в вузе мои преподаватели неоднократно акцентировали внимание на важности учёта человеческого фактора на различных стадиях жизненного цикла любых процессов. Исключением не является и процесс обеспечения информационной безопасности. На человеческий фактор стоит смотреть достаточно широко, ведь он проявляется не только на этапе эксплуатации системы: он заложен и в аппаратной части, и в программном обеспечении, которое используется в системе, и даже в самих системах защиты информации. Всё это придумано и изготовлено человеком, а значит, фактор ошибки там уже присутствует. Однозначно надо учитывать и возможные ошибки, и халатность сотрудников организации, непосредственно задействованных в технологическом процессе. Многие ошибки весьма предсказуемы и ожидаемы, и своевременный анализ и корректировка действий работников позволяет избежать больших проблем. Для повышения уровня осведомлённости работников необходимо выстраивать систему постоянной погружённости персонала в вопросы обеспечения безопасности как с помощью целенаправленного обучения и информирования, так и с применением плановых и внеплановых контрольных мероприятий. Усилить эффект от этих мер поможет использование надёжной системы мониторинга и контроля состояния информационной безопасности, помогающей ИБ-специалистам узнавать о внутренних нарушениях на самых ранних стадиях.

Как вы решаете задачи, связанные с выполнением регуляторных требований по защите КИИ?

Сергей Козленок: Являясь субъектом критической информационной инфраструктуры и владея значительным числом объектов КИИ, мы естественно озадачены решением вопроса по обеспечению их безопасности в полном соответствии с требованиями нормативных документов. Система безопасности в классическом исполнении включает комплекс организационных и технических мероприятий. Поскольку в нашем ведении имеются разнородные системы, в том числе и системы, работа которых может быть полностью парализована при использовании наложенных средств защиты, при построении системы обеспечения ИБ нам приходится индивидуально подходить к каждому объекту и конкретно для него подбирать оптимальное решение. Работа эта весьма трудоёмкая, но ещё большую сложность составляет поддержание всей построенной экосистемы защиты в актуальном состоянии.

Можно ли, по вашему мнению, автоматизировать процессы управления соответствием требованиям регуляторов в части защиты КИИ? Есть ли у вас такая практика?

Сергей Козленок: Контролировать состояние защиты более тысячи объектов критической информационной инфраструктуры и её соответствие актуальным требованиям законодательства — весьма трудоёмкая задача.

Логичным решением является автоматизация этого процесса. Фактически для начала необходимо иметь сводный срез данных по самим объектам, их функциональному, программному и аппаратному наполнению, а также составу системы защиты. А далее работа сводится к поддержанию базы в актуальном состоянии. Ну, и для полного завершения автоматизации необходимо решение, которое бы умело анализировать соответствие заранее подгруженным машинно-адаптированным требованиям нормативных документов в сфере КИИ. По такому пути мы и пошли, выбрав отечественное программное решение класса SGRC от компании R-Vision: провели пилотные испытания продукта, убедились, что он соответствует нашим ключевым критериям, и внедрили в эксплуатацию. Так, в системе можно автоматически формировать отчётность сразу после внесения любых корректировок, будь то исправление человеческих ошибок, внесение уточнений или пересмотр результатов категорирования объектов КИИ. Я доволен результатом: для меня как руководителя ИБ-подразделения всё стало прозрачным, и теперь в любой момент, не отвлекая людей на местах, я вижу полную картину по каждому из объектов КИИ.

Помогает ли вам экспертиза вендора в решении ИБ-задач?

Сергей Козленок: Сергей Козленок: В любом сложном техническом вопросе дополнительное мнение и экспертиза всегда полезны. А если эта экспертиза подкреплена реальным опытом решения ИБ-задач, то она ценна вдвойне. Большой плюс вендора в том, что его представители имеют опыт внедрения своих продуктов на различных площадках и в различных условиях, что делает этот опыт богаче и даёт им возможность разносторонне оценивать ситуацию.

Насколько важно обмениваться опытом с профессиональным сообществом?

Сергей Козленок: Как и в любом прочем направлении деятельности, для успешного решения текущих задач и постоянного развития требуется диалог и непрерывный обмен опытом. Положительный эффект от привлечения компетенций вендора при построении системы защиты — это как раз один из элементов такого обмена опытом в рамках профессионального сообщества. А если диалог выстроен не только с вендорами, но и с прочими участниками сообщества, то польза от него возрастает по экспоненте. Единственный важный момент в любых диалогах такого уровня — не забыть, что мы не пирожки печём, а решаем вопросы безопасности, и вопросы конфиденциальности никто не отменял.

Как вы решаете проблему кадрового голода?

Сергей Козленок: Вопрос весьма злободневный. К сожалению, однозначного решения этот вопрос не имеет. Безусловно, мы стараемся наращивать компетенции своих собственных специалистов, чтобы иметь надёжную команду мотивированных профессионалов. Однако удерживать профессионалов достаточно непросто, и дело не только в финансовой стороне вопроса. Важно формулировать интересные многоаспектные и нетривиальные задачи, решение которых требует творческого подхода. Тогда вкупе с финансовым стимулированием специалисты будут чувствовать собственную значимость и полезность в вопросах решения общих задач обеспечения безопасности. Для решения некоторых задач мы подключаем специалистов сторонних организаций. К ним, например, можно отнести техническую поддержку специфичного оборудования или же тестирования на проникновение.