Федеральная служба по техническому и экспортному контролю (ФСТЭК) России выпустила рекомендации для операторов объектов критической информационной инфраструктуры (КИИ) по обеспечению дистанционного режима работы в условиях пандемии коронавирусной инфекции. Специально для журнала RUБЕЖ эксперты прокомментировали рекомендации ведомства.
Екатерина Сюртукова, руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет»
В целях предотвращения распространения коронавирусной инфекции (COVID-19) большинство компаний, в том числе владельцы объектов критической информационной инфраструктуры (КИИ), переходят на дистанционную работу.
Массовость и стихийность перевода работников на удаленку повышает риск того, что ИТ- и ИБ- службы могут что-то пропустить и не предпринять достаточные меры для защиты. Во избежание подобных сценариев регуляторы, в том числе и ФСТЭК России, опубликовали рекомендации по обеспечению безопасности при организации удаленной работы.
В этих документах максимально четко отражены основные аспекты, на которые нужно обратить внимание. В частности, в рекомендациях ФСТЭК России говорится о необходимости провести инструктаж удалённых работников, определить перечень информационных ресурсов, к которым им будет предоставляться доступ, назначить для них минимально необходимые права и привилегии и т.д. Основной упор сделан на комплексную защиту удалённых рабочих станций, использование VPN, антивирусного ПО, многофакторной аутентификации и т.д.
В целом документ не содержит ничего принципиально нового, в нем даны базовые рекомендации, но, к сожалению, выполнить их в полном объеме будет не так просто.
Согласно рекомендациям, для удаленной работы нежелательно использовать личные средства вычислительной техники, то есть субъекты КИИ должны закупить и предоставить сотрудникам ноутбуки, планшеты и прочие мобильные устройства. Помимо того, что это повлечет серьезные дополнительные траты, закупить большую партию ноутбуков сейчас крайне сложно, т.к. они просто закончились на складах из-за резко возросшего спроса. Поэтому многим организациям придется работать с домашними девайсами своих сотрудников и предпринимать повышенные усилия для их защиты и контроля. Успех тут во многом зависит от сознательности самих работников, которые должны будут самостоятельно устанавливать антивирусное ПО, отслеживать его обновление, не допускать к компьютеру посторонних лиц, включая всех членов семьи.
Помимо этого, перед многими компаниями встала задача закупки основных средств защиты: VPN-шлюзы, VPN-клиенты, 2FA, антивирусное ПО. Ее сложность заключается в том, что поставка и внедрение могут занять существенное время. Поэтому для быстрого старта имеет смысл использовать триальные лицензии, максимально адаптировать штатные механизмы защиты, встроенные в общесистемное ПО, а также обратить внимание на спецпредложения по предоставлению средств защиты на бесплатной основе, которые сейчас появились у некоторых производителей (например, у «Кода Безопасности»).
Еще одна рекомендация, которую сложно реализовать в короткие сроки, — это обеспечение мониторинга безопасности объектов КИИ и возможность оперативного реагирования на компьютерные инциденты. Если эти процессы в компании пока не выстроены, стоит обратить внимание на услуги коммерческих SOC как минимум в части помощи в кризисных ситуациях.
Письмо ФСТЭК России носит рекомендательный характер. Однако важно понимать, что последствия атак могут быть самыми серьезными — вплоть до взлома и заражения корпоративной сети, сбоев в работе основных бизнес-процессов, утечки конфиденциальных данных и аварий. В случае самого негативного сценария ответственные лица субъекта КИИ понесут уголовную ответственность (статья 274.1 и ст. 293 УК РФ).
Отдельно стоит отметить, что ФСТЭК запрещает предоставлять удаленный доступ для управления АСУ и процессами, которые являются значимыми объектами КИИ. Это означает, что перевод работников, напрямую поддерживающих основные процессы ЗОКИИ, на дистанционную работу невозможен. Для них стоит пересмотреть трудовой распорядок, перевести их на сменный график работы, чтобы уменьшить количество людей на объекте, а также усилить санитарно-противоэпидемические (профилактические) меры и повысить требования к дезинфекционным мероприятиям.
Андрей Головин, директор департамента информационной безопасности Oberon
- На мой взгляд, представители ФСТЭК России подготовили верхнеуровневый перечень рекомендаций, которые действительно способны минимизировать риски атак на КИИ. Однако, что касается использования собственных устройств для удаленного доступа, считаю целесообразным усилить меру и запретить их применение. В качестве дополнения предлагаю внести рекомендацию по защите от атак на повышение привилегий учетных записей: если злоумышленник завладел устройством сотрудника и учетная запись скомпрометирована, то хакер определенно будет пытаться повысить привилегии «учетки» и добраться до серверов, взаимодействующих с объектами КИИ. В этом случае очень важно запретить с этого устройства выходить в Интернет, работать с электронной почтой, а также подключать к нему внешние носители. Таким образом, мы сделаем из него «очень узконаправленную коробку», которая при подключении сети будет связываться только с заданным узлами. В части рекомендаций при подготовке средств вычислительной техники стоит запретить их установку и настройку под учетной записью администратора домена, чтобы на них не оставалось никаких следов этих учетных записей.
Алексей Даньков, Руководитель отдела информационной безопасности Cross Technologies
После изучения официального письма ФСТЭК России можно сказать однозначно, что управление критической инфраструктуры и компонентами АСУ ТП на «удаленку» переводиться не будут – это хорошо.
Рекомендации представляют собой достаточно хорошо проработанный перечень организационных и технических мер, которые необходимо реализовать субъектам критической инфраструктуры при организации удаленной работы для своих работников.
В документе важным является акцент на усиление контроля и мониторинга инцидентов информационной безопасности, который может рассматриваться как превентивная мера и будет способствовать расследованию инцидентов, если такие будут выявлены.
С другой стороны, с субъектов КИИ ответственность не снимается, им необходимо, в первую очередь, оценить достаточность предложенных мер и при необходимости, с учетом локальных моделей угроз и оценки эффективности реализованных мер, с учетом используемого стека технологий, реализовать дополнительные меры по защите удаленных рабочих мест.