Интервью с Андреем Юршевым про защиту АСУ ТП и возможности InfoWatch ARMA

Дата: 04.06.2020. Автор: CISO Club. Категории: Интервью с экспертами по информационной безопасности.

Компания РАССЭ (ГК «АйТеко») продолжает серию эксклюзивных интервью с лидерами рынка информационной безопасности, с решениями которых она работает. Очередная беседа состоялась с Андреем Юрьевичем Юршевым, руководителем отдела развития систем защиты АСУТП компании InfoWatch.

Уже больше месяца Вы работаете в удаленном формате. Как перестроились  рабочие процессы? Как Вы мотивируете сотрудников? Производительность труда снизилась или повысилась?  

Мы работаем в удаленном режиме уже более двух  месяцев. Для организации удаленной работы компанией была проведена колоссальная организационная работа: создание централизованной инфраструктуры, расширение и конфигурация каналов связи и VPN, установка правил информационной безопасности, организация защищенных онлайн – переговорных комнат, обеспечение всех сотрудников инструкциями. Каждый сотрудник в удаленном режиме может полноценно работать со всеми корпоративными ресурсами. 

Для проведения конференций мы используем отечественные платформы с удобной системой организации совещаний.  

Собственный корпоративный портал позволяет оперативно информировать сотрудников о новостях, онлайн-курсах и инструкциях. Для неформального общения в течение дня мы используем корпоративный чат, а для контроля задач и сроков – онлайн-трекер.

Для координации внутри команд каждый департамент проводит собственные онлайн-встречи в начале дня – это мотивирует на весь день и задает ритм работы. Мы не потеряли ни в качестве, ни в эффективности работы!

Как повлияла пандемия  на цифровую трансформацию промышленных предприятий?

Мы наблюдаем стремительный и беспрецедентный рост цифровизации в связи с пандемией. Массовый перевод сотрудников на удаленный режим работы повлек за собой подключение разных технологий автоматизации и организации работы, новые способы взаимодействия в цифровом мире, стирание границ между онлайн- и оффлайн-пространствами. Если ранее и были компании, которые только присматривались к работе онлайн, то теперь мы наблюдаем такой формат повсеместно. Компании были вынуждены мгновенно перестроиться.  И это, конечно, не временное явление, нам всем предстоит научиться жить и работать в новой цифровой реальности. Мы с вами свидетели того, как происходят на глобальном уровне изменения в работе компаний со своими партнерами, клиентами и сотрудниками. Процессы становятся более прозрачными, видимыми, оцифрованными, но в тоже время, такой скачок цифровизации открывает много уязвимых мест, которыми могут воспользоваться злоумышленники. Это обратная сторона цифровизации.

Как обеспечить безопасность промышленных сетей во время пандемии? Может ли в этом помочь InfoWatch ARMA?

В условиях пандемии основной угрозой безопасности промышленных сетей  является незащищенный удаленный доступ как внутренних сотрудников, так и подрядных организаций. Современные АСУТП имеют связь с корпоративной сетью – для обновления антивирусного ПО, передачи технологической информации в MES, ERP и иные системы, часто такая связь не является однонаправленной и полностью защищённой. Поэтому для непрерывности технологических процессов крайне важно, помимо  безопасности удалённых рабочих мест и каналов обмена информации, обеспечить необходимую изоляцию АСУТП от корпоративной сети, защищенное подключение пользователей через съемные носители и сеть интернет, организовать права доступа и ограничение допустимых операций.

Наш продукт InfoWatch ARMA Industrial Firewall предназначен для построения эшелонированной защиты промышленных сетей. Он представляет собой отечественный промышленный межсетевой экран нового поколения, который позволяет не только обнаружить несанкционированный доступ к информации в промышленной системе, но и заблокировать вредоносное ПО, атаки и нежелательные действия пользователей.

Благодаря глубокой инспекции промышленных протоколов, InfoWatch ARMA Industrial Firewall позволяет контролировать действия пользователей в сети, контролировать операции с ПЛК, трафик между АСУТП. Содержит собственную базу специализированных правил для защиты промышленных систем. Функция VPN позволяет защитить периметр сети и удаленное подключение, а система обнаружения вторжений – блокировать распространение вредоносного ПО и атаки.  

Все эти функции обеспечивают безопасность информации  промышленных сетей.

Что касается защиты значимых объектов КИИ в целом, то рекомендую ознакомиться с Письмом ФСТЭК России от 20 марта 2020 г. N 240/84/389 «Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры».

Мониторить или предотвращать атаки в АСУТП? Какая вероятность, что ложные срабатывания не приведут к остановке критически важных бизнес-систем?

Промышленный межсетевой экран InfoWatch ARMA Industrial Firewall позволяет фильтровать информационные потоки, в том числе с применением промышленных протоколов, обнаруживать и предотвращать вторжения не только на границе сети, но и внутри неё – например, между верхним (диспетчерским) уровнем АСУТП и ПЛК. Да, действительно, есть вероятность того, что при предотвращении вторжений при определённых условиях может быть нарушено управление производственным процессом (но не нарушение или остановка самого производственного процесса). Для предотвращения подобных ситуаций рекомендуется на периметре АСУТП использовать функции межсетевого экрана совместно с системой предотвращения вторжений, а внутри АСУТП –  функции межсетевого экрана в сочетании с системой предотвращения вторжений.

Функционирование промышленного межсетевого экрана даже внутри АСУТП не может нарушить или прекратить технологический процесс, так как фильтрации подлежат заранее определённые потоки, отдельные команды промышленных  протоколов и их параметры. Это обеспечивает повышенный уровень безопасности критически важных технологических систем.

InfoWatch ARMA успешно прошел испытания и доказал совместимость с популярными промышленными системами, что это значит? В чем преимущества InfoWatch ARMA по сравнению со встроенными средствами защиты промышленных систем?

Такая совместимость означает, что InfoWatch ARMA не оказывает отрицательного воздействия на АСУТП, что гарантирует непрерывную и устойчивую работу АСУТП. В нашей компании разработаны специальные методики таких испытаний, они опубликованы в нескольких статьях [1-4].

InfoWatch ARMA применяется там, где межсетевой экран необходим, но не предусмотрен. Кроме того, существующие экраны способны фильтровать промышленные протоколы, определяя их и запрещая такие информационные потоки только по номеру порта. Наш продукт определяет не только тип промышленного протокола, но и содержимое его пакетов, что позволяет фильтровать отдельные команды таких протоколов, адреса и их диапазоны, определённые значения и их диапазоны, иные параметры любых полей фильтруемых промышленных протоколов. Это позволяет, например, не пропускать запрещённые команды (старт, стоп, перепрошивка ПЛК и пр.), не допускать изменения уставок (запрещать запись по определённым адресам) или их изменения, выходящие за определённые рамки (значения или их диапазоны).

 Как применять Deep Packet Inspection для безопасности АСУТП?

Именно глубокая инспекция пакетов и позволяет обеспечить все те возможности, которые приведены выше. Кроме того, Deep Packet Inspection позволяет:

  1. Выявлять:
    · эксплуатацию уязвимостей ПЛК, нацеленных на вывод оборудования АСУТП из строя,
    · чтение и запись конфигураций, изменение режима работы ПЛК.
  2. Контролировать:
    · действия пользователей в сети,
    · значения переменных в АСУТП.
  3. Ограничивать трафик между разными АСУТП.
  4. Предотвращать вторжения.

С какими SIEM и SOC лучше всего интегрировать InfoWatch ARMA?

Интегрировать можно с любыми, которые обеспечивают работу по стандарту syslog.

 Расскажите про самый сложный проект с участием InfoWatch ARMA.

Внедрение InfoWatch ARMA происходит достаточно просто.Для сетевого инженера не составляет труда разобраться с подробным техническим описанием и инструкцией по эксплуатации. Если нет достаточной квалификации, то можно пройти двухдневные курсы обучения продукту. Всегда доступна техническая поддержка. Поэтому такое внедрение легко проводится как силами наших партнёров, так и инженерами заказчиков самостоятельно. Настройка и обновление производится также достаточно комфортно – мы разработали и внедряем продукт InfoWatch ARMA Console. Сложности бывают только при подготовке к установке на АСУТП, работающую на пока неподдерживаемом продуктом промышленном протоколе, часто проприетарном. В этом случае наши программисты дорабатывают продукт, после чего проводятся стандартные испытания функционала и совместимости, это занимает определённое время.

Безопасность АСУТП и кибербезопасность должны обеспечиваться CISO, или эти направления лучше разделить между двумя  функциональными направлениями? 

Этот вопрос закономерен, ведь обеспечение ИБ в IT и в OT существенно отличается в силу критичности технологических процессов к любому вмешательству в их функционирование, жесткими требованиями к их надёжности и производительности. Но это не значит, что руководитель ИБ не в состоянии изучить существующие требования к защите АСУТП и овладеть необходимой методологией.

Облачные технологии в АСУТП – это реальность или будущее? Как ваши клиенты из России относятся к облачным решениям? Что вы можете им предложить?

По моему опыту, облачные технологии в АСУТП и системах их безопасности в России воспринимаются с опаской и не приветствуются. Слишком велики риски и цена нарушения или прекращения работоспособности технологических процессов в силу самых различных причин. Для руководства промышленных предприятий практически невозможно выпустить за периметр часть своей инфраструктуры, которая при этом или целиком, или частично будет зависеть от результатов деятельности иных организаций. С добавлением локаций размещения элементов системы, тем более в другом юридическом лице, растёт вероятность отказа АСУТП по разным причинам, в том числе юридическим, экономическим, недобросовестной конкуренции. Возрастают и риски компьютерных атак, хищения информации. Немаловажным является и фактор временных задержек.

С другой стороны, в отдельных отраслях диспетчерский уровень  уже давно расположен далеко от средних и нижних уровней АСУТП, в том числе в облаках. Для таких отраслей мы предлагаем использовать свой продукт на периметрах облачной части и производственного сегмента.

Следует отметить, что в нашей стране имеются примеры использования облаков для создания АСУТП, в том числе IIoT. Но в таких АСУТП как правило используются собственные облака, задержки по времени не критичны, а выгода от использования облачной структуры для бизнеса гораздо больше рисков ИБ, или вообще это единственно возможная архитектура.

Можем в ближайшем будущем увидеть миграцию инфраструктуры АСУТП и КИИ в облако?

Да, для IIoT это вполне возможно, но всё-таки говорить о такой миграции для традиционных отраслей промышленности пока рано в силу устоявшихся привычек, рисков и ещё несовершенных технологий или их недостаточного распространения.

 Как вы относитесь к OpenSource решениям? Возможно ли их использовать в  АСУТП?

В АСУТП используются решения различных производителей, исходный код которых практически никогда не предоставляется. При этом в вопросе оценки доверия приходится (точнее, придётся) полагаться на сведения, предоставляемые самими производителями. Открытые решения более приспособлены для такой оценки. С другой стороны, известные вендоры АСУТП уделяют огромное внимание вопросам функциональной безопасности. Исходя из этого  для создания АСУТП серьёзных производств лучше применять АСУТП таких вендоров. Что касается использования таких решений для СЗИ, то здесь основным критерием будет являться их сертификация в системе ФСТЭК России, при которой помимо проверки функций безопасности по итогам оценки определяется и уровень доверия.

Вы предоставляете бесплатные версии программного обеспечения на время пандемии? Как их получить?

В условиях пандемии мы предоставляем поддержку специалистам ИБ АСУТП. В рамках акции мы предоставляем полный функционал промышленного межсетевого экрана InfoWatch ARMA Industrial Firewall, а также техническую поддержку сроком на 3 месяца. Заявки принимались до 30 апреля, но и после завершения срока приема заявок, мы получили большое количество обращений. Сейчас мы рассматриваем заявки на формирование второй волны акции. Узнать подробные условия акции можно у нашего надежного партнера – компании РАССЭ.

Можно ли обучиться и сдать экзамены по InfoWatch ARMA пока мы все на самоизоляции? Какой курс вы порекомендуете в первую очередь?

У нас есть очные курсы, и они успешно функционируют. Удалённые курсы обучения в Академии Инфовотч также существуют, но по обучению другим продуктам. Что касается именно InfoWatch ARMA, то мы сейчас готовим специальный полигон, который будет использоваться не только для удалённого обучения, но и для самостоятельного тестирования нашего продукта на заявленный функционал и испытаний на совместимость по нашей методике. Скоро всё это будет доступно.

 Анонс ближайших мероприятий.

В ближайших планах – возможность удалённого прохождения курсов обучения продукту и использование тестового полигона. На новом тестовом полигоне можно будет не только проверить функционал InfoWatch ARMA с использованием нашей методики и тестовых эмуляторов, но и запустить туда тестовую копию своего технологического трафика с целью максимального приближения к реальной АСУТП, на которой InfoWatch ARMA предполагается к установке.

Также мы регулярно проводим вебинары по InfoWatch ARMA. Расписание можно посмотреть здесь. Присоединяйтесь.

Ваши рекомендации бизнесу.

Качественный межсетевой экран нового поколения с функцией обнаружения вторжений, установленный на периметре сети, в сочетании с антивирусным ПО на АРМ диспетчерского уровня АСУТП зачастую составляют весь набор внешних средств защиты. Подобный набор является  достаточным для согласования подключения значимого объекта КИИ с единой сети электросвязи (из проекта соответствующего приказа ФСТЭК). Учитывая также тенденцию на импортозамещение, альтернативы нашему промышленному межсетевому экрану InfoWatch ARMA Industrial Firewall практически нет. Покупая и устанавливая его в свои АСУТП, вы, помимо  покупки продукта и его поддержки от известного отечественного производителя, выполняете большое количество требований ФСТЭК России, необходимых для защиты как АСУТП, так и иных типов значимых объектов КИИ.

В целом решения InfoWatch позволяют закрыть впечатляющий набор мер безопасности информации  31 и 239 приказов ФСТЭК России. Подробнее о закрываемых мерах СЗИ производства InfoWatch можно узнать по запросу у компании РАССЭ, а в части защиты АСУТП СЗИ ARMA по ссылке.

СПИСОК ЛИТЕРАТУРЫ

1. А.Ю. Юршев, М.Б. Смирнов. Методика и результаты тестирования совместимости средств защиты информации и АСУТП //  Прикладная информатика. – 2019. – №3 (81).

2. А.Ю. Юршев, М.Б. Смирнов. Подходы к оценке соответствия средств защиты информации для АСУ ТП как объектов КИИ // Защита информации. Инсайд. – 2019. – №2 (86).

3. М.Б. Смирнов, А.Ю. Юршев. Порядок и методика проведения пилотных проектов в области кибербезопасности//  Прикладная информатика». – 2019. – №6 (11).

4. А.Ю. Юршев, М.Б. Смирнов. Вопросы выбора средств защиты для АСУ ТП и значимых объектов КИИ // Защита информации. Инсайд. – 2019. – №1 (85).

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

CISO Club

Об авторе CISO Club

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO Club

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

18 + три =