В настоящее время автоматизация производственных процессов практически во всех отраслях промышленности достигла высокого развития управляющих функций. АСУ ТП выполняют большинство операций по управлению промобъектами и технологическими процессами, а следующими в иерархии управления стоят системы класса APC (Advanced process control), СУУТП (Системы улучшения управляемости технологическими процессами) и MES-системы.
Вредоносные воздействия на комплекс автоматизации имеют «каскадный эффект»: сбой в работе серверных компонентов программно-технического комплекса влечет за собой дестабилизацию технологического процесса и срабатывание противоаварийной защиты. Поэтому проблемы противодействия киберугрозам выходят за границы информационной безопасности, тесно переплетаясь с вопросами безопасности функциональной и промышленной. Риск-ориентированная модель обеспечения кибербезопасности на предприятиях на сегодняшний день является практически единственным действенным методом в условиях современных вызовов.
Все три направления безопасности имеют под собой следующую основу:
Информационная безопасность: законодательство в области обеспечения ИБ (информационной безопасности) КИИ, подзаконные акты, документы регуляторов, отраслевые стандарты.
Функциональная безопасность: HAZOP-анализ и серия стандартов организации противоаварийной защиты.
Промышленная безопасность: Федеральный закон №116-ФЗ «О промышленной безопасности» и с натяжкой Федеральный закон №256-ФЗ «О безопасности объектов ТЭК» в части обеспечения физической безопасности и мероприятий по антитеррору.
Постановление Правительства №304 от 21.05.2007 «О классификации чрезвычайных ситуаций природного и техногенного характера» определяет пороговые значения ущерба, которые лежат в основе классификации информационных систем по степени критичности, является одним из ярких примеров того, что декларирование границ ущерба есть, а инструмент расчета ущерба отсутствует.
Глобальная задача – установить взаимосвязь между инцидентами информационной, промышленной и функциональной безопасности для прогнозирований последствий киберинцидентов и расчета ущерба в условиях быстро изменяющихся вводных.
Риск-ориентированная модель – дополнение к системе мер, декларируемых регуляторами, а ее миссия – выявить наиболее приоритетные направления обеспечения информационной безопасности и оценить эффективность применяемых мер через расчет потенциального ущерба. Напомню, что от всех угроз не существует 100% защиты.
Риск-ориентированная модель включает:
- выработку стратегии снижения последствий реализации угроз;
- создание адекватного перечня мероприятий, нивелирующих последствия наиболее серьезных угроз;
- формирование инструмента, помогающего ИБ-службам оперативно реагировать на угрозы путем прогнозирования ситуации в условиях быстро меняющихся вводных.
Данная модель на производстве строится на сервисном подходе и включает: автоматизированное моделирование угроз безопасности, анализ рисков ИБ, стендовое моделирование и консалтинг. В основе методологии – сценарный подход: исходя из состава и устройства информационной инфраструктуры предприятия, а также оценки защищаемых сервисов и процессов формируется перечень возможных сценариев реализации угроз, затем производится их ранжирование по степени потенциального ущерба. Далее стратегии, меры и средства нейтрализации формируются таким образом, чтобы исключить реализацию наиболее опасных.
Моделирование угроз является основополагающим процессом при выстраивании защиты и выборе мер противодействия. Классическая модель угроз, создаваемая по актуальной редакции Методики ФСТЭК России, не в полной мере позволяет выявить совокупность факторов для полноценного прогнозирования кибер-инцидентов, поэтому для улучшенного прогнозирования необходимо дополнить ее тактиками и техниками MITRE и базами уязвимостей CVE. Объект автоматизации рассматривается в привязке к технологическим, производственным и бизнес-процессам, а негативные последствия моделируются с учетом рассмотрения автоматизируемого технологического процесса. Результатами моделирования являются перечень актуальных угроз и сценарии реализации киберинцидентов (kill-chain цепочки).
Анализ рисков призван сформировать рисков ИБ и дополнить, расширить и уточнить регуляторную составляющую в части выбора и приоритезации мер по обеспечению кибербезопасности. Совместно с заказчиком формируется шкала оценки тяжести последствий, а далее, опираясь на выявленные сценарии реализации инцидентов и оценку величины потенциального ущерба, производится ранжирование рисков на приемлемые и нет.
Стендовое моделирование необходимо для практической апробации методик, проверки полученных в рамках риск-моделирования гипотез и выработки актуальных архитектур безопасности. К сожалению, действующими редакциями стандартов в области ИБ и/или автоматизации никак не определены как понятие совместимости, так и параметры стендовой модели (насколько подробно необходимо имитировать объект автоматизации). Мы в Cloud Networks опираемся как на собственный экспертный опыт, так и на опыт компаний-интеграторов АСУ ТП. Сегодня с появлением цифровых двойников можно сказать, что они наиболее подходят для задач исследования защищенности, но в рамках сценарного подхода больше подходит attack path analysis, когда определяются потенциальные маршруты использования злоумышленниками уязвимостей для попадания в инфраструктуру.
Для промышленного предприятия процесс обеспечения информационной безопасности – один из ключевых, поэтому важным фактором в его обеспечении является стратегическое планирование. Выбор правильной стратегии – залог устойчивости и бесперебойного функционирования критической инфраструктуры. Консалтинг позволяет построить долгосрочное планирование с учетом ключевых факторов тенденций и прогнозов, получить лучшие и эффективные практики обеспечения ИБ, достичь равновесного баланса сил и средств ИБ, обеспечить достигаемость результатов, а также получить независимость от конкретных поставщиков решений.
В условиях все усложняющихся инфраструктурных взаимосвязей и информационного обмена, повышения необходимой скорости реагирования на инциденты и кибервоздействия на критические процессы важно иметь партнера с сильной экспертизой и актуальным набором средств и методов противодействия угрозам. Cloud Networks – бизнес-партнер по цифровой трансформации и цифровизации крупных промышленных предприятий, который в том числе обеспечивает информационную безопасность по модели «Security as a Service». Преимущества подхода заключаются в повышении эффективности подразделения ИБ за счет снижения издержек на рутинные операции, усиление экспертизы ИБ «на местах», обоснование бюджета на ИБ путем применения риск-ориентированного подхода.
Cloud Networks готовы взять на себя методологическое сопровождение и консалтинг в области обеспечения ИБ, чтобы критическая инфраструктура постоянно находилась под надежной и актуальной защитой.
текст и фото: Cloud Networks
+7 (495) 255-06-30
info@cloudnetworks.ru
www.cloudnetworks.ru