Сибирь.Безопасность 2016

По уже сложившейся традиции, в начале октября Новосибирский клуб ИТ директоров организует специализированную конференцию «Сибирь.Безопасность».  В этом году конференция состоялась 7 октября — в день, когда в Новосибирске выпал первый снег. Погода не помешала плодотворной работе — участники на практике оказались готовы к катаклизмам, и поддерживали микроклимат свежими идеями и жаркими дискуссиями.

Открыл конференцию Председатель Новосибирского клуба ИТ Директоров Сергей Голубицкий. Еще вчера информационные технологии воспринимались как вспомогательная и обслуживающая функция, сегодня — все больше и больше становятся ключевым фактором бизнеса. Информационная безопасность напрямую влияет на успех предприятия. «Хороших ИТ-шников мало, а хороших безопасников – еще меньше», — отметил Сергей и подтвердил слова анекдотичным примером: «Недавно на одном из мероприятий потребовалось подключиться к Wi-Fi. Сисадмин отеля, где проходила конференция, написал на доске имя точки доступа и сказал, что пароль к ней – такой же».

Продолжил вводную часть со-организатор Новосибирского Клуба ИТ-Директоров Виталий Зюляев.

«Мы испытали сложности с формированием повестки, так как ставили перед собой задачу, чтобы время, которое Вы здесь проведете, прошло эффективно и в нужном Вам русле.

Это первая конференция, в которой мы углубимся в тему информационной безопасности применительно к действующему тренду «Интернет всего», планируем и дальше развиваться в этом направлении. Затронем вопросы обеспечения безопасности АСУ ТП, разберем практические примеры и кейсы.

Будем благодарны, если Вы дадите нам обратную связь о сегодняшнем мероприятии и напишете, что стоит обсудить через год», — сказал Виталий и пожелал присутствующим хорошего дня.

Вступительное слово произнес и Константин Саматов, начальник отдела по защите информации ТФОМС, г.Екатеринбург. Константин отметил, что вопросы информационной безопасности принимают все большее значение — слова «хакер», «инсайдер», «атака», «киберугроза» мы слышим все чаще, пожелал участникам плодотворной работы, практического опыта и удовольствия от мероприятия.

«Обеспечение защиты персональных данных», Валентин Селифанов, начальник отдела управления ФСТЭК России по СФО

«Очень приятно вновь присутствовать на этой конференции – можно сказать, что мы с клубом ИТ-директоров уже стали партнерами. Надеюсь, что мероприятия действительно будет полезным, ведь часто беседы с коллегами по душам во время кофе-брейка оказываются эффективней многочасового  обучения», —  начал докладчик.

Итак, в чем же заключается проблема в обеспечении защиты персональных данных? В соответствии с Федеральным законом N 152-ФЗ «О защите персональных данных», оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения предусмотренных этим законом обязанностей. Оператором является любой орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных.

Оператор отвечает, кто, чем (какими средствами) и по каким требованиям будет осуществлять защиту информации. При этом любая проверка оператора персональных данных Роскомнадзором способна на несколько дней парализовать деятельность организации, чем часто пользуются недобросовестные конкуренты. Ущерб и связанные с этим риски также необходимо учитывать при создании системы защиты информации. В зависимости от того, как оператор определяет ущерб, он должен сформировать набор обязательных и компенсационных мер по его предотвращению.

Система требований в области технической защиты конфиденциальной информации (ТЗКИ) строится на основании требований о необходимости защиты в соответствии с 152-ФЗ. На основании этого закона определяются требования, устанавливающие порядок работы (Постановление правительства РФ N1119, Приказ  N21).  Вместе эти требования формируют требования к средствам защиты информации (СЗИ), которые определяются руководящими документами Гостехкомиссии России (РД НСД) и требованиями в области технического регулирования.

На основании требований, устанавливающих порядок работы и требований к СЗИ, в организации, являющейся оператором персональных данных, должен появиться некий документ (или несколько документов), содержащий описание того, как строится система ЗИ. Регулятор осуществляют проверку системы ЗИ именно на основании этих документов.

Документами определяется и утверждается:

  • перечень обрабатываемой информации, относящейся к персональным данным
  • угрозы безопасности информации;
  • уровень защищенности;
  • назначение ответственного лица за обеспечение безопасности персональных данных (наличие приказа о назначении проверяется регулятором в первую очередь);
  • выбор и реализация мер по обеспечению безопасности;
  • механизмы оценки эффективности.

Необходимые меры по обеспечению безопасности персональных данных определяются на основании класса защищенности – все возможные меры перечислены в Приложении 1 к приказу N21. Из этого перечня мер в зависимости от структуры и функций имеющихся ИС и ИТ исключаются те, которые не могут быть использованы (например, если оператор не использует средства виртуализации , то ему не нужно выполнять и соответствующий перечень мер). После чего, перечень корректируется на основании определенных ранее угроз безопасности -формируется уточненный адаптированный базовый набор мер ЗИ, который дополняется прочими требованиями (это могут быть, например, внутренние запреты в организации пользоваться соц.сетями в рабочее время, либо другими программами).

Для создания системы должна быть определены актуальные угрозы безопасности, сформированы требования и спроектирована система ЗИ.

Часто при проверках выявляется, что класс защищенности применяемых средств защиты информации не соответствует требованиям приказа ФСТЭК России № 21 – это является административным правонарушением. Также часто выявляется нарушение требований при использовании облачных сервисов. Необходимо четко понимать, какую часть защиты обеспечивает поставщик решения, какую – оператор.

В целом, хотя построение системы защиты информации возможно собственными силами, для учета всех нюансов мы бы рекомендовали обращаться к интеграторам, имеющим опыт создания таких систем, а также образцы типовых регламентирующих документов, которые запрашиваются проверяющими органами.

«Требования законодательства по защите ПДн организации. Подготовка к проверкам регуляторов», Константин Саматов, начальник отдела по защите информации ТФОМС Свердловской области, член АРСИБ

Константин подготовил очень обстоятельный и подробный доклад, который вызвал активное

обсуждение.

В первой части доклада были приведены разъяснения к требованиям законодательства по защите персональных данных с позиции оператора ПДн, подкрепленные примерами со ссылками на разъяснения регуляторов и реальные судебные решения.

Проблемы, с которыми сталкивается оператор ПДн:

  • непонимание, что необходимо относить к персональным данным, а что нет (в том числе, при подготовке уведомление в Роскомнадзор);
  • высокая вероятность быть привлеченными к ответственности, в том числе за непредоставление или некорректное предоставление сведений об обработке персональных данных.

Является ли персональными данными адрес электронной почты? Пол? Цвет галстука? Фотография, на которой Вас отметили в Facebook?

Оказывается, в ряде разъяснений Роскомнадзор указывает, что например адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.

Пол человека относится к биометрическим персональным данным, а цвет галстука – нет, т.к. галстук может быть отделен от субъекта ПНд.

Применительно к отнесению данных к персональным важно понимать:

  1. Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает — вымышленные ли это данные или нет, но от обязанностей по защите ПДн это не избавляет.
  2. Персональными данными являются только те, которые могут идентифицировать физическое лицо.

Соответственно, фотография в системе видеонаблюдения не является персональными данными до тех пор, пока не установлена личность субъекта. А фотография в СКУД, на основании которой охранник может идентифицировать личность (определить ФИО), относится к персональным данным. Если Вы не хотите обрабатывать персональные данные в СКУД, рекомендуется удалять ФИО, чтобы охранник не мог идентифицировать личность в момент прохода через турникет.

По этой же причине, персональными данными будет являться и фотография в Facebook, на которой другой пользователь отметил Вашу фамилию и имя. В таком случае, Вы можете удалить отметку и направить уведомление администрации ресурса об использовании персональных данных без Вашего согласия. Фотографии, под которыми не значится Вашего имени, к персональным данным не относятся.

Перечислим ряд требований к оператору:

  1. Получить согласие субъекта. Оператор вправе осуществлять обработку персональных данных либо с согласия субъекта, либо при наличии законных оснований (ст. 6 ФЗ № 152 «О персональных данных»)
  2. Принять комплекс мер по защите ПДн. Оператор обязан принять комплекс мер по защите персональных данных от неправомерного доступа, по сохранению их целостности и доступности.
  3. Направить уведомление в Роскомнадзор. Если оператор осуществляет обработку только персональных данных своих сотрудников, направление уведомления не является обязательным. Если же оператор обрабатывает персональные данные клиентов, в уведомлении он обязан указать все категории обрабатываемых персональных данных, в том числе и персональные данные своих сотрудников (отсутствие этой категории будет являться нарушением).

Регулятор тщательно следит, чтобы категории обрабатываемых ПДн соответствовали указанным в уведомлении. Есть примеры, что для соблюдения требований организациям приходилось вымарывать графу «национальность» в старых документах, так как эти данные относятся к первой категории защищенности и для их обработки требуется иной комплекс мер.

  1. Разработать политику организации в области обработки ПДн. Политику следует разместить на сайте компании, а также ознакомить сотрудников под роспись со всеми документами и локальными нормативными актами, относящимися к обработке ПДн.
Более подробно с перечнем информации, относящейся к персональным данным, а также с остальными требованиями, которые предъявляются к оператору персональных данных, вы можете ознакомиться в презентации.

Во второй части доклада Константин представил пошаговую инструкцию по подготовке к проверкам регулятора. С ней Вы также можете ознакомиться в презентации.

В завершении доклада Константин отметил, что с точки зрения Роскомнадзора, общепринятое на практике назначение системного администратора лицом, ответственным за организацию обработки и обеспечение безопасности персональных данных, не совсем корректно. На практике это больше юридическое направление, чем техническое. Идеально, когда в организации есть выделенная служба информационной безопасности, которая может взять на себя эту роль. Либо имеет смысл назначить двух разных ответственных: за организацию обработки персональных данных – допустим, финансового директора, а за обеспечение их безопасности в информационных системах – системного администратора.

«Kaspersky Anti Targeted Attack Platform (KATA) – уникальная система обнаружения целевых атак от «Лаборатории Касперского», Евгений Лужнов, Лаборатория Касперского

Лаборатория Касперского выделяет следующие тренды корпоративной ИБ в 2016 г.:

  1. Большинство передовых угроз строятся на базовых техниках и методах социальной инженерии – например, шифровальщики;
  2. Отмечается существенное снижение затрат и массовый рост предложений (Кибератака-Как-Сервис);
  3. Рост количества атак на поставщиков, 3-их лиц и небольшие компании (SMB) – Вы можете быть хорошо защищены, а Ваши поставщики – нет, злоумышленники могут этим воспользоваться;
  4. Недостаток оперативной информации в виду динамического усложнения ИТ инфраструктуры – кто из присутствующих ИТ-директоров может с уверенностью сказать, сколько компьютеров и прочих устройств у Вас в сети? Учитывая тенденции по развитию «Интернета всего», инфраструктура будет только усложняться;
  5. В среднем целевая атака с момента её появления остается необнаруженной более 214 дней, а иногда может длиться годами;
  6. Резкий спад эффективности периметровой защиты – например, Вы можете скачать взломанную утилиту с взломанного же сайта-производителя.

По статистике, целевые атаки (APT) составляют около 1% от общего количества атак. Их сложно выявить, против них неэффективны традиционные средства защиты (антивирусы, firewall-ы и прочие). При этом, они же приносят и максимальный урон, поэтому нельзя не обращать на них внимание. Целевая атака может длиться месяцы, и даже годы, и при этом оставаться необнаруженной!

Типовое развитие целевой атаки строится по схеме: «Подготовка» – «Проникновение» – «Распространение» – «Негативное воздействие». При этом, завершается негативное воздействие сокрытием следов и тихим уходом – при необходимости, негативное воздействие может повторяться многократно без обнаружения!

Типовая схема противодействия передовым угрозам ИБ: «Предотвращение» — «Обнаружение» — «Реагирование» — «Прогнозирование».

Предотвращение

Для предотвращения атак Лаборатория Касперского предлагает следующие методы:

  • обучение, в том числе, базовый курс обучения пользователей вопросам ИБ, а также практический курс для понимания тенденций обеспечения ИБ;
  • защиту (решение Kaspersky Lab Enterprise security solutions);
  • повышение осведомленности (Cyber safety Games, Threat simulation).

Обнаружение

Обнаружение передовых и целевых атак имеющимися средствами малоэффективно, так как требует анализа десятков источников информации, сотен и тысяч событий. Требуются  компетенции для корреляции разнородных событий, а также специфические знания о существующих угрозах для верной трактовки событий.

Решение Kaspersky Anti Targeted Attack Platform (KATA) интегрируется в имеющуюся инфраструктуру и позволяет эффективно выявлять целенаправленные атаки и передовые угрозы, невидимые для традиционных решений корпоративной безопасности. В ближайших версиях система будет не только предупреждать о выявленных угрозах, но и блокировать их (например, письма с шифровальщиками).

По определенным векторам угроз система собирает данные сетевых сенсоров и сенсоров рабочих мест, анализирует их (в том числе, с использованием передовой «песочницы», в которой возможен запуск подозрительных элементов для анализа их поведения), приоритезирует инциденты и выдает отчет, содержащий информацию для реагирования.

Реагирование

Обучение правильному построению процесса реагирования – это ключевая задача эффективного использования ЛЮБОГО анти-APT решения. Правильное реагирование включает в себя не только решение, как быстро восстановить систему, но и расследование, как произошел инцидент. Атака целевая или широконаправленная? Сталкивался в мире кто-то с аналогичным вредоносом или аномалией? Как выявить источник заражения и предотвратить повторение? Ответы на эти и другие вопросы требуют глобального мониторинга и глубокой компетенции в киберугрозах.

Прогнозирование

Как оценить текущее состояние и спрогнозировать, откуда может придти атака и куда будет нацелена? Лаборатория Касперского готова помочь своим клиентам с оценкой их защиты с позиции злоумышленника. Сервис дополнительно может включать: анализ поведения и осведомленности сотрудников в социальных сетях, оценку беспроводных соединений и точек доступа, аудит систем с полученными высокими привилегиями. Для проактивного обнаружения целевой атаки в случае когда нет инцидентов ИБ разработано решение KL Targeted Attack Discovery Service.

По результатам нескольких проведенных Лабораторией Касперского проектов, вредоносное ПО выявляется всегда.

По завершении доклада, Евгений ответил на вопросы участников:

«Не увеличивается ли нагрузка на рабочие станции или на сеть во время мониторинга?» — Нет, нагрузка существенно не увеличивается. Проблемы могут возникнуть только при объеме трафика более 3 гигабит в секунду.

«Работает ли система с шифрованным трафиком?» — Нет, пока не работает, возможно в следующих версиях.

«Какие сроки проведения пилотного проекта? Какие сервера для этого требуются? Что получим в итоге?» — Срок пилотного мониторинга составляет 1 месяц, по завершении которого клиент получает 4 отчета. Отчеты включают в себя автоматически выявленные системой события, а также их анализ и расшифровку от экспертов. Для развертывания системы требуется два 16-20-ядерных сервера с объемом оперативной памяти 128 Gb, объемом жесткого диска 2-4 Tb.

 

«Организация защиты информации в автоматизированных системах управления производственными и технологическими процессами», Валентин Селифанов, начальник отдела управления ФСТЭК России по СФО

Следует отметить, что в настоящий момент отсутствует федеральный закон, обязывающий применять

 

 

 

какие-либо нормативные акты к обеспечению защиты информации в АСУ ТП. Закон находится в разработке, появится не раньше 2018 года.

В настоящий момент требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, определяются Приказом N31 ФСТЭК России. В приложениях к этому приказу определяются уровни значимости и соответствующие им классы защищенности АСУ ТП, а также перечень базовых мер защиты для каждого класса.

Какие АСУ ТП требуют защиты? АСУ ТП уровня атомной станции, химического завода, горводоканала. Сбои в таких АСУ ТП обычно означают не просто нарушение чьих-то прав, а способны угрожать жизни и здоровью людей, соответственно быть уголовно наказуемы.

Если АСУ ТП невозможно защитить внешними средствами, то это не обязательно – в таком случае, защищен должен быть технологический процесс, а не информация.

Система требований о необходимости защиты основывается на 256-ФЗ «О безопасности объектов  ТЭК». Требования, устанавливающие порядок работы описаны в упоминавшемся ранее приказе №31. Требования к средствам защиты информации, как и в случае с защитой персональных данных, определяются РД НСД и требованиями в области тех.регулирования. На основании этих требований должны быть разработаны программы и методики испытаний.

При создании системы, техническое задание и технический проект в обязательном порядке должны быть согласованы с ФСТЭК России.

Оценка соответствия СЗИ (АСУ ТП) строится на основании доверия к качеству разработки и производства и доверия к функционалу. Это означает отсутствие недокументированных возможностей и уязвимостей, своевременное и доверенное обновление. В настоящий момент происходит переформатирование системы требований к СЗИ нового поколения, отвечающих ГОСТ Р ИСО/МЭК 15408.

К настоящему моменту утверждены Приказами Требования к системам обнаружения вторжений, Требования к средствам антивирусной защиты, Требования к средствам доверенной загрузки, Требования к средствам контроля съемных машинных носителей информации. С 1 декабря 2016 г. вступает в силу Приказ ФСТЭК России №9, определяющий Требования к межсетевым экранам. В следующем году вступят в силу Требования безопасности информации к операционным системам. Что касается последнего, есть понимание, что в связи с санкциями и другими мировыми событиями, самая лучшая защита может быть только на ОС собственного производства.

На утверждении также находятся Требования к системам управления базами данных и Требования к средствам управления потоками информации, в планах по разработке на 2017-2018 годы еще порядка десятка документов.

Идет активная работа и по изменению ГОСТ-ов, в связи с чем происходит переформатирование мышления: система защиты информации должна строиться не на основании тех инструментов, которые назвал регулятор, теперь будет требоваться с помощью ГОСТ-ов и соответствия им выбранных СЗИ, доказать регулятору, что система неуязвима.

Отвечая на вопросы, Валентин еще раз отметил, что требования к АСУ ТП накладываются в зависимости от потенциально наносимого урона. Что касается защиты АСУ ТП – что касается ФСТЭК России, речь идет именно об информационной защите. За физическую защиту отвечают другие регуляторы, например МЧС.

Председатель Новосибирского клуба ИТ Директоров Сергей Голубицкий, добавил:

«Тема защищенности АСУ ТП будет очень актуальна в ближайшее время. Хочется сказать спасибо докладчику – очень много нового и интересного увидел для самого себя, особенно что касается работы, которая ведется в ФСТЭК»

«Создание доверенной среды взаимодействия», Руслан Пермяков, заместитель директора по развитию ООО «СИБ», директор ЦКСТ НГУ

После выхода Приказа N31, о котором говорил предыдущий докладчик, мы начали задумываться о

Но с тенденцией к глобализации и стандартизации, требованиями оказания сервиса с помощью «единого окна» и «единой диспетчерской службы», возникла необходимость в объединении этих систем. Чтобы безопасно связать их воедино, и нужно создание доверенной среды. том, как его применять относительно имеющихся АСУ ТП. Стоит отметить, что большинство АСУ ТП на текущий момент являются уникальными собственными разработками, «вмороженными в янтарь» — существуют рабочие технологии еще с 70-80-х годов прошлого века. Поскольку технологии уникальны, то и угроза безопасности этих систем фактически стремилась к нулю.

И здесь возникает много вызовов и вопросов. С кем происходит коммуникация? Как передается информация? Как доказать, что информация передана? Данные нужно передавать не только безопасно, но и соблюдая все законы.

Все эти вопросы в полной мере возникли в работе над проектом Smart City. Понятие «умный город» означает эффективность, достигаемую на основе интеллектуального управления и интегрированных ИКТ, а также активного участия граждан в развитии города.

Все службы и сервисы города должны быть завязаны в единую информационную систему. Фактически, система представляет собой сильно связанный граф, когда каждый в любой момент времени может получить нужную и доступную ему информацию.

К сожалению, договорами и согласиями на обработку данных такую систему не «обложить». Скорость коммуникаций на порядки обгоняет бумажное делопроизводство, как и отстает законодательная база (во всем мире). Возникают новые вызовы – например, коммуникация «машина-машина». Законодательство не готово к этому от слова «совсем»!

Не меньше вопросов возникает и в связи с BigData и блокчейнами. Как запрограммировать ИС на принятие решений о возможности передачи информации?

Разрозненная информация может не нести никакой опасности, но при правильно сформулированном запросе ответ может содержать секретную информацию. Например, «как собрать атомную бомбу», или спрогнозировать местонахождение человека по статистике с базовых станций. По косвенным данным можно много чего узнать!

Дополнительной проблемой является и необходимость представления одной и той же информации по-разному для разных категорий пользователей: детей, компьютерных гиков, гуманитариев, пенсионеров… Но при этом нужно обеспечить всем равные возможности!

В настоящий момент компания «СИБ» при участии партнеров (НГУ, IBM, РусБИТех) начала разработку пилотного проекта по созданию доверенной среды на примере снегоуборки в г. Новосибирске.

«Операционная система специального назначения Astra Linux Special Edition», Вадим Татюк, директор Центра компетенций АО «НПО РусБИТех» по СФО

Astra Linux – это отечественная операционная система, разработанная на базе дистрибутива

 
 GNU/Linux Debian. Для серверов и ПК на базе процессоров х86-64 существуют свободно распространяемый дистрибутив «Орёл» (общего назначения) и «Смоленск» (специального назначения). Также существуют сборки системы специального назначения для мэйнфрейм IBM,  System Z и других.На конференции «Сибирь.Новые решения»:АО «НПО РусБИТех» уже представлял операционную систему Astra Linux.

ОС Astra Linux специального назначения сертифицирована Минобороны, ФСТЭК и ФСБ России. ОС Astra Linux специального назначения принята на снабжение ВКС РФ в 2013 г. Ключевая особенность системы это использование оригинальных запатентованных средств защиты информации. Виды защищаемой информации: коммерческая тайна, персональные данные, государственная тайна.

На сегодняшний день среди отечественных защищенных операционных систем только ОС Astra Linux строится на основе некоммерческого (вне государственной юрисдикции) дистрибутива Linux Debian и одновременно использует отечественные средства защиты информации. Тогда как другие ОС строятся на базе коммерческого (в юрисдикции США) дистрибутива Linux RedHat, а также могут использовать СЗИ 8E Linux разработки АНБ США.

Помимо средств защиты информации, система включает в себя СУБД, пакет офисных программ, программы для работы с мультимедией, ПО для работы с электронной почтой, браузер, систему печати. Также, ОС совместима с программным обеспечением, разрабатываемым более чем 80 партнерами в России, в частности 1С, Галактика ERP, Kaspersky Lab, Крипто Про и другими.

ОС Astra Linux специального назначения внедрена и используется в министерствах, ведомствах и специальных службах Минобороны, ФСБ, ФСО, СВР, МВД, ВВ МВД, ФСТ, ФСИН, ФТС, ГУСП, Минздрава, Минобрнауки России, в государственных корпорациях и агентствах – Росатом, Роскосмос, Ростехнологии. С 2014 года компанией АО «НПО РусБИТех» предоставлено свыше 10 000 бесплатных лицензий на кафедры информационной безопасности ведущих государственных ВУЗов.

Сравнение затрат на лицензионные отчисления показывает существенную экономию при использовании  операционной системы «Astra Linux  Special Edition» в сравнении с ОС Microsoft.

Система может использоваться в бездисковых рабочих станциях. В ближайшее время выпускается программный комплекс «Виртуализация и управление» для целей создания защищенной  виртуальной среды, обеспечивающей функционирование  виртуальных машин и управление ими в операционной системе  специального назначения в условиях  дискреционного и мандатного разграничения доступа.

Система обладает собственными сертифицированными средствами разработки, в том числе сертифицированным компилятором.

Дистрибутив системы специального назначения «Смоленск» на основании письменного запроса может быть предоставлен для тестирования в любую организацию сроком на 3 месяца.

«Создание безопасной инфраструктуры инжинирингового центра Технопарка Новосибирского Академгородка», Руслан Пермяков, заместитель директора по развитию ООО «СИБ», директор ЦКСТ НГУ

В виду отсутствия основного докладчика, Руслан на правах одного из архитектора рассказал о построении защищенной системы электронного документооборота Технопарка.

Предысторией создания защищенной среды стало проведение в стенах Технопарка конференции хакеров. Ничего вредоносного они не совершили, однако заставили задуматься о необходимости применения средств защиты информации.

Технопарк объединяет в себе несколько зданий. Технопарк предоставляет базовые ИТ-сервисы для резидентов (например, подключение к локальной и беспроводной сети через VLAN, доступ в интернет). При этом каждый резидент использует свои разрозненные информационные системы.

В результате проекта был организован защищенный дата-центр. Создано Private Cloud по тестированию защищенности используемых резидентами информационных систем и разрабатываемого программного кода, включающий свой депозитарий для проверки.

На сегодня можно сказать, что в Технопарке создана защищенная доверенная среда.

«Kaspersky Industrial CyberSecurity (KICS) – комплексная защита критических инфраструктур», Евгений Лужнов, Лаборатория Касперского

В начале своего второго доклада Евгений отметил: несмотря на то, генеральный директор компании

Евгений Касперский является состоявшимся и богатым человеком, он до сих пор самостоятельно принимает участие в работе компании и остается ИТ-специалистом. Евгений Касперский говорит: «Мы считаем, что каждый — от пользователя домашнего компьютера до крупной компании и правительства — должен иметь возможность защитить то, что дорого для него. Неважно, идет ли речь о частной жизни, семье, финансах, бизнесе или критической инфраструктуре, мы работаем над тем, чтобы обеспечить защиту всего».

Поэтому логично, что на пороге четвертой промышленной революции, одним из направлений деятельности компании Лаборатории Касперского является разработка решений по обеспечению безопасности критических инфраструктур промышленных объектов.

Особенностью таких систем является наличие структур, которые управляются чисто физически, и малейший лаг (например, замедление открытия нефтяной заглушки) может привести если не к сбоям системы, то как минимум к финансовым потерям.

На основании отчета Global Risk Report 2016, представленного на World Economic Forum, риск кибератак ставится выше риска террористической угрозы.

Лаборатория Касперского обнаруживает и расследует сложнейшие в мире атаки. Целевые атаки эволюционируют. Если в 2010 году была выявлена только одна масштабная кибератака (Stuxnet), то в 2015 году их было уже около 10. В том числе, при тестировании KATA, Лаборатория Касперского даже в своей сети обнаружила вредоносную систему DUQU 2.0 – злоумышленники пытались получить доступ к технологиям Лаборатории, чтобы эффективнее их обходить. Среди жертв этой системы в том числе присутствуют  организации, курирующие группу противодействия использованию иранской ядерной программы в военных целях P5+1, а также события и встречи мировых лидеров.

Существуют платформы производства кибератак, начавшие свою деятельность еще в 2002-2004 годах, а обнаружены были только в 2012-2014 годах. Жертвами этих систем становились телеком-компании, дипломатические организации, отраслеобразующие компании в нанотехнологиях и ядерной индустрии. Примеры нанесенного физического и кибер-урона приведены в презентации Евгения.

Типовое вторжение в АСУ ТП может строиться по схеме из 5 шагов. Первый шаг – получение доступа к технологической сети. Все чаще для проникновения используются методы социальной инженерии. Например, злоумышленник может оставить флешку рядом с проходной предприятия. Кто-то обязательно ее поднимет и посмотрит содержимое на рабочем месте.

После проникновения происходят следующие шаги: 2-4 часа – поиск и обнаружение программируемого логического контроллера (ПЛК), 2-6 часов – взлом пароля от ПЛК (обычно достаточно простые и подбираются прямым перебором), 8-24 часа – получение и анализ конфигурации ПЛК, 0,5-2 часа – вредоносное изменение логики управления. После аварии злоумышленник выполняет тихий уход из системы.

Что может предложить Лаборатория Касперского? Знания, сервисы по комплексному анализу ИБ предприятия, централизованное управление всеми компонентами.

В настоящий момент разработано 2 курса: «Общий курс по проблемам безопасности в промышленных сетях», предназначенный для специалистов по ИБ, системных администраторов и руководителей предприятия, а также курс «Социальные атаки на промышленных предприятиях» для более широкого круга слушателей (в т.ч. операторов, технологов). Более подробная информация о программе курсов приведена в презентации.

Комплексный анализ состояния ИБ промышленного объекта состоит из трех этапов: идентификации объектов защиты и оценки критичности информационных систем объектов защиты, оценки защищенности ИС ОЗ, формирования рекомендации по безопасности. Более подробная информация о составе работ и дополнительным опциям приведена в презентации.

Централизованное управление всеми функциональными компонентами может быть реализовано с использованием системы KICS. И это не просто «игрушка» — высокая важность этого решения была признана Президентом РФ. В настоящий момент решение используется для защиты транспортного терминала VARS, производственных мощностей ТАНЕКО.

Что касается использования KICS. Главным отличием его от других продуктов Лаборатории Касперского является необходимость внедрения. Пилотное тестирование доступно на платной основе, так как требует индивидуальной подгонки под каждое предприятие.

В ходе обсуждения доклада было отмечено, что в настоящее время у создателей зловредов появилась возможность работать глобально – из-за всеобщей глобализации (например, все банкоматы производит всего 3 предприятия в мире), стремлению к унификации и централизации. Раньше масштабировать ущерб было сложнее – предприятия в основном самостоятельно разрабатывали свою уникальную инфраструктуру. Главной целью создателей зловредного ПО сейчас стало как можно быстрее распространиться на большее количество устройств.

«Основы обеспечения информационной безопасности на предприятии», Константин Саматов, начальник отдела по защите информации ТФОМС Свердловской области, член АРСИБ

В своем втором докладе Константин разобрал следующие вопросы:

  1. Основные термины и понятия
  2. Меры по защите информации
  3. Организационные меры защиты информации
  4. Техническая защита информации
  5. Морально-этические меры защиты информации

В зависимости от категории доступа информация делится на общедоступную и ограниченного доступа. Одна из обязанностей обладателя информации – принимать меры по ее защите, обеспечивать целостность и доступность информации, а в случае с информацией ограниченного доступа – ее конфиденциальность.

Виды мер по защите информации делятся на организационные, технические и морально-этические.

Организационные меры означают подготовку организационно-распорядительной документации (ОРД) по вопросам защиты информации: инструкции, регламенты, приказы, методические указания. Цель — упорядочивание бизнес процессов и соответствие требованиям внутреннего и внешнего регулирования. В качестве примера были рассмотрены организационные меры по введению режима коммерческой тайны в организации.

Техническая защита информации делится на 4 группы: инженерно-техническая защита, защита от несанкционированного доступа, защита от утечки по техническим каналам, криптографическая защита. Важными моментами организации технической защиты информации являются:

  • использовать только СКЗИ осуществляющие криптографические преобразования алгоритмами ГОСТ;
  • использовать только СКЗИ имеющие сертификат ФСБ;
  • выделение в организации органа криптографической защиты;
  • организация режима хранения и использования в соответствии с подзаконными нормативными актами ФСБ России (например Приказ № 378, 2014);
  • в случае если организация занимается деятельностью связанной с криптографией — нужна лицензия (ПП № 313, 2012).

Морально-этические меры строятся на понимании, что персонал – обычно самое слабое звено в безопасности. Организация должна обеспечить кадровую безопасность при приеме на работу, а также проводить обучение и тренинги персонала по вопросам безопасности.

«Современные средства защиты интернет-ресурсов от DDoS и БОТ-атак. Система «Заслон». Алгоритмы противодействия массовым и мелкочастотным атакам на примере портала логистической компании СДЭК», Борис Купряков, начальник отдела научно-технических разработок НвсФ ФГУП «НТЦ «Атлас»

ФГУП «НТЦ «Атлас» — динозавры в сфере информационной безопасности. Предприятие

 

функционирует с 1951 года. В своем докладе Борис представил массу интересных примеров и кейсов, а также представил алгоритмы работы системы «Заслон» на примере сайта компании СДЭК.

По данным Kaspersky Cyberstat фиксируется стабильный рост кибератак на интернет-ресурсы и приложения. При этом, атакуются не только крупные предприятия, но и мелкие фирмы. Например, рестораны – даже те, которые не осуществляют онлайн-продажи и доставку. Блокировка домена (по причине того, что домен стал фишинговым) в ресторане может привести не только к остановке электронный почты, но и эквайринга, кассовых программ и парализовать работу заведения до момента, пока не будет доказана его непричастность.

Не стоит думать, что если у Вас нет финансовой или секретной информации, Вас не будут атаковать! Это не так!

При этом за 2015 год зафиксировано 24 миллиона кибератак на сайты госорганов. «Надо повышать уровень защищенности информационных коммуникационных ресурсов, прежде всего тех, которые используются для нужд обороны и безопасности государства, обеспечения правопорядка» заявил президент России Владимир Путин на заседании коллегии ФСБ 26 февраля 2016 г.

Растет и технологичность атак. Более 99% всех атак начинаются с автоматического сканирования на уязвимости. 10-15% всех запросов на сайт в рабочем режиме – сканирование. Низкочастотные атаки сложно идентифицируются распространенными средствами защиты. Развитие технологий интернета вещей приводит многократному росту мощности DDoS-атак на интернет ресурсы. Средняя мощность атак в 2015 году – 1,37 Гбит/сек, что в 1,5 раза превышает данные 2014 года.

Зачем это делается? С целью кражи денег, кражи контента, конкурентной борьбы, вымогательства и нанесения урона репутации.

Существующие методы защиты по отдельности недостаточно эффективны, либо наносят ущерб деятельности (например, блокировки сегментов по IP-адресам «отрезают» часть потенциальных клиентов). Большинство сервисов по защите от DDoS используют статистические методы, и включают защиту только при аномалиях. При этом сканирования, взломы, подготовки к атаке, кражи контента осуществляются при нормальной активности.

Технология многоступенчатой интеллектуальной фильтрации трафика системы «ZaSlon» обеспечивает:

  • Определение Ботов с первого запроса
  • Блокировку низкочастотных и массовых атак
  • Защиту на уровне сессии без блокировки IP-адресов
  • Фильтрацию шифрованного трафика (HTTPS) без раскрытия
  • Предотвращение попыток сканирования на уязвимости.

Использование технологии возможно по схеме SaaS. Более подробно в презентации Вы можете ознакомиться с примерами мониторинга реальных сайтов – интернет-магазина, трейдинговой компании, портала одного из федеральных ведомств и других. Очень интересные и познавательные кейсы!

Компания СДЭК осуществляет сервис доставки грузов, и вся технология ее работы тесно завязана на ИТ-решения. С выходом компании в Китай, ее системы начали подвергаться ежедневной атаке со стороны профессиональных китайских хакеров. После чего компания приняла решение о начале сотрудничества и использовании системы «ZaSlon». В презентации приведены графики фильтрации вредоносного трафика на сайт компании.

«ZaSlon» – вставайте за слона!», — закончил свою презентацию Борис.

Со-организатор Новосибирского Клуба ИТ-Директоров Виталий Зюляев пообещал, что поговорить о технической стороне работы системы, а также возможно и понаблюдать за процессом взлома в реальном времени с поп-корном и комментариями, попробуем на февральской конференции.

Также Виталий Зюляев и Сергей Голубицкий анонсировали мероприятие, которое состоится 1-2 ноября в Технопарке Новосибирского Академгородка. В рамках 1-го CIO Конгресса  «Сибирские Звёзды», проводимого Новосибирским Клубом ИТ Директоров, впервые в Новосибирске состоится еще одно знаковое мероприятие — IOT SUMMIT Siberia. География участников саммита – от Тюмени до Хабаровска.

Завершилась конференция  разбором кейса «Первый в России реализованный проект SAM Cybersecurity». Интегратор: «НТЦ «Галэкс», Заказчик: «Алтайский государственный медицинский университет».

Презентовал компанию «НТЦ «Галэкс» Владимир Притчин, директор филиала ООО «Галэкс Н» в г. Новосибирске.

«НТЦ Галэкс» одна из крупнейших региональных ИТ-компании России, работает на рынке с 1993 года. Компания стабильно входит в рейтинг «25 лучших региональных ИТ-компаний» по версии издания CRN, и другие рейтинги. Головной офис компании расположен в г. Барнаул, филиалы – в гг. Красноярск, Бийск, Новосибирск. В штате компании более 280 сотрудников.

Филиал в г. Новосибирске начал свою деятельность в 2013 году и за это время реализовал ряд значимых проектов. В рамках создания Системы 112 в г. Новосибирске и области – проектирование и построение инженерной инфраструктуры здания службы, создание инфраструктуры ЦОД, запуск и настройка системы в 35 регионах области. По заказу СФ Сбербанка — построение центра мониторинга систем безопасности внутренних подразделений и устройств самообслуживания, модернизация систем пожарной безопасности головного здания. Реализовали ряд проектов по запуску МФЦ в г. Новосибирске и области – оснащение рабочих мест, электронная очередь, ЛВС, СКС, системы безопасности. Провели модернизацию ИТ-инфраструктуры аптечной сети МП «НАС».

На партнерском форуме Microsoft, который прошел в Москве, «Научно-технический центр Галэкс» получил сертификат «За вклад в популяризацию методологии SAM в регионах». В компании Microsoft отметили, что «Галэкс» стал первым партнером в России, реализовавшим проект SAM Cybersecurity.

О предыстории и результатах проекта рассказал Максим Коломеец, начальник управления информатизации АГМУ.

Причинами для начала проекта стали:

 
  • Смена команды ИТ-специалистов
  • 10 лет стихийного развития ИТ
  • Полное отсутствие информации о лицензиях
  • Полное отсутствие документации по ИТ-инфраструктуре
  • 6 корпусов (об одном узнали в ходе проекта!)
  • 1000 ПК
  • Отсутствие единой системы аутентификации.

В ходе проекта было выявлено ПО, необеспеченное лицензиями Microsoft на общую сумму 3 576 839 рублей. Размер юридического риска мог составить до 10 730 517 рублей.

Также были выявлены высокие риски информационной безопасности:

  • Отсутствие обновлений практически на всех ПК
  • ~80% ПК используют Windows XP
  • Антивирус только на 60% ПК
  • Обнаружены следы взлома нескольких сайтов
  • Найдены персональные данные, доступные из публичных сетей (из-за некорректно настроенной системы резервного копирования).

Что дал проект:

  • Текущий срез состояния ИТ для руководства
  • План развития инфраструктуры
  • Предложение по оптимизации лицензирования ПО (снижение бюджета закупки)
  • Достигли 100% покрытия антивирусом
  • Отчет о потенциальных угрозах ИБ
  • Рекомендации по устранению обнаруженных проблем

В завершении официальной части конференции Председатель Новосибирского клуба ИТ Директоров Сергей Голубицкий поблагодарил всех присутствующих и напомнил, что с большим интересом ожидает на свой электронный адрес обратную связи о мероприятии: что понравилось, что нет, что можно добавить или улучшить, чтобы на следующей встрече сделать доклады еще более полезными и практическими.

Отчёт подготовлен Видикер Эльмирой

Последние новости

spot_img

Читайте также

Оставайтесь на связи - получаете последние новости на ваш электронный ящик