Минцифры России сообщило об утверждении правительством требований к программному обеспечению, используемому органами власти и госкомпаниями на значимых объектах критической информационной инфраструктуры (КИИ). Также были определены правила согласования закупок иностранного ПО и перехода на отечественный софт в данной сфере.

Подчёркивается, что постановление подготовлено во исполнение указа президента о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ.

Основные положения:

• на значимых объектах КИИ может использоваться только программное обеспечение, включённое в реестр российского или евразийского ПО. Отдельные виды продуктов должны иметь сертификат, подтверждающий соответствие требованиям ФСБ и ФСТЭК России;
• закупки иностранного софта должны быть согласованы отраслевым министерством. Для закупок свыше 100 млн рублей требуется дополнительное согласование комиссии, которая будет сформирована при Минцифры России;
• контроль за соблюдением госкомпаниями правил согласования закупок иностранного ПО будет осуществлять Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации;
• министерствам необходимо утвердить отраслевые планы перехода на российское программное обеспечение на значимых объектах КИИ. На их основе госкомпании должны будут сформировать и утвердить индивидуальные планы перехода.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Министерство промышленности и торговли РФ опубликовало проект постановления правительства, определяющий порядок перевода объектов критической информационной инфраструктуры (КИИ) на аппаратные и программные решения отечественного производства. Об этом сообщает издание RSpectr.com со ссылкой на Федеральный портал проектов нормативных правовых актов.

Представленный ведомством документ открыт для изучения и общественного обсуждения на этой странице сайта regulation.gov.ru. В нём предложено владельцам объектов КИИ провести аудит ресурсов и разработать проект плана перехода на «преимущественное применение доверенных программно-аппаратных комплексов», то есть тех, в состав которых включены российские радиоэлектронная продукция и ПО, находящиеся в реестрах Минпромторга и Минцифры России. Соответствующие обязательства необходимо исполнить до апреля 2023 года.

Отмечается, что разработка, создание и сервисное обслуживание доверенных программно-аппаратных комплексов для КИИ будут возложены на специально созданное с этой целью научно-производственное объединение (НПО), обеспечивать организацию которого будет правительство Российской Федерации. При этом мониторинг перехода субъектов критической информационной инфраструктуры на преимущественное применение российского софта предлагается закрепить за Минцифры.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Компания Positive Technologies анонсировала комплексное решение PT Industrial Cybersecurity Suite (PT ICS), предназначенное для выявления киберугроз и реагирования на инциденты в промышленных системах.

В состав PT Industrial Cybersecurity Suite включены продукты MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox, PT XDR, обеспечивающие всестороннюю информационную безопасность автоматизированных систем управления технологическими процессами (АСУ ТП), платформ SCADA и прочих индустриальных компонентов предприятия, начиная от сетевых узлов и заканчивая технологическими устройствами.

Схема работы PT Industrial Cybersecurity Suite и набор включённых в состав продукта решений

Все продукты платформы PT ICS разворачиваются в производственной инфраструктуре организации. MaxPatrol SIEM собирает и анализирует журналы компонентов АСУ ТП. MaxPatrol VM получает сведения об активах и видит уязвимости в промышленном сегменте компании. PT ISIM анализирует сетевой трафик индустриального оборудования. PT Sandbox анализирует файлы и ссылки из почты, трафика, общих сетевых папок и конечных узлов АСУ ТП. PT XDR предоставляет ИБ-службам инструменты автоматического и выборочного реагирования на угрозы. Все это в комплексе, по заверениям разработчика, позволяет увидеть и предотвратить реализацию неприемлемых для бизнеса событий на каждом этапе развития атаки.

«Компании, которые уже используют такие продукты Positive Technologies, как MaxPatrol SIEM, MaxPatrol VM или PT Sandbox, могут посредством PT ICS распространить защиту и на технологический сегмент. Таким образом, они получат знакомый инструментарий, дополненный технологической экспертизой, что, в свою очередь, повысит эффективность работы служб ИБ и снизит затраты на эксплуатацию систем кибербезопасности», — говорится в сообщении Positive Technologies.

Компания Positive Technologies сообщила о выпуске новой версии комплексного решения PT Industrial Security Incident Manager 4 (PT ISIM 4), предназначенного для защиты автоматизированных систем управления технологическими процессами (АСУ ТП).

Представленный разработчиком продукт осуществляет сбор и анализ сетевого трафика в инфраструктуре предприятия. Система позволяет обнаруживать уязвимости и хакерские атаки на технологические сети организации, а также расследовать инциденты (в том числе ретроспективно) на критически важных объектах. PT ISIM помогает бороться с внутренними и внешними угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования, потенциально опасные действия персонала, ошибки конфигурации.

Среди главных изменений PT ISIM 4 — автоматизированное построение графа инцидента (цепочки развития атаки), возможность управления встроенными правилами, средства тонкой настройки продукта под инфраструктуру компании и увеличение производительности. В новую версию системы также вошло серьёзное обновление базы индикаторов промышленных угроз PT ISTI и добавлена поддержка новых промышленных протоколов, среди которых Alpha.Server Configurator, ANSL (B&R), Bachmann RPCTCP, DICOM, FINS (Omron), INA2 (B&R), INA2000 (B&R), Phoenix, Siemens DIGSI 4, SLMP (Mitsubishi Electric), «ДК Курс-2» и «ЭЛНА». Кроме того, доработан разбор протоколов ADS, CIP, OPC UA.

PT Industrial Security Incident Manager подключается к инфраструктуре предприятия однонаправленным способом. За счёт этого полностью исключается какое бы то ни было влияние системы на технологические процессы: она работает исключительно в пассивном режиме, собирая для анализа копию трафика. Продукт обеспечивает полное соответствие требованиям законодательства (Федеральный закон № 187-ФЗ, приказы ФСТЭК № 31 и 239, требования ГосСОПКА).

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) подготовила рекомендации для операторов объектов критической информационной инфраструктуры (КИИ) по повышению защищённости обслуживаемых систем от кибератак.

«Анализ сведений об угрозах безопасности информации, проводимый специалистами ФСТЭК России в условиях сложившейся обстановки, показывает, что зарубежными хакерскими группировками ведётся подготовка и осуществляются масштабные компьютерные атаки на IT-инфраструктуру операторов автоматизированных систем управления производственными и технологическими процессами (АСУ ТП), применяемых на объектах критической информационной инфраструктуры Российской Федерации», — говорится в сообщении ведомства.

В опубликованном регулятором документе, в частности, сообщается о необходимости принятия таких мер, как:

• проведение инвентаризации общедоступных информационных ресурсов путём внешнего сканирования блока публичных IP-адресов, принадлежащих организации с целью определения сетевых служб, открытых на периметре IT-инфраструктуры;
• проведение анализа открытых портов и блокирование доступа извне к сетевым службам, для которых он не нужен, либо ограничение доступа по белому списку IP-адресов там, где это возможно исходя из назначения сервисов;
• ограничение доступа по белому списку IP-адресов для API-интерфейсов;
• усиление требований к парольной политике администраторов и пользователей промышленных систем, отключение заданных по умолчанию паролей и неиспользуемых учётных записей;
• обеспечение двухфакторной аутентификации сотрудников организации, осуществляющих удалённое подключение к информационной инфраструктуре;
• обеспечение удалённого доступа сотрудников организации к объектам КИИ с применением защищенных каналов передачи данных (HTTPS, SSH и других протоколов), а также VPN-сетей;
• исключение из публичного доступа информации и материалов, содержащих сведения по настройке и эксплуатации ПО и оборудования АСУ ТП;
• обеспечение фильтрации трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (Web Application Firewall, WAF), установленных в режим противодействия атакам;
• отказ на сетевом оборудовании (при наличии технической возможности) от использования незащищённых протоколов управления, таких как Telnet/HTTP/SNMP, и разрешение доступа к оборудованию только из доверенных сетей;
• активация функций защиты от распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), на средствах межсетевого экранирования и других защитных комплексах.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов КИИ государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Проблематика защиты автоматизированных систем управления технологическими процессами (АСУ ТП) продолжает фигурировать в центре внимания экспертов по информационной безопасности.

Об актуальности защиты АСУ ТП свидетельствует проведённое специалистами компании InfoWatch исследование, в ходе которого было выявлено свыше 4 тысяч индустриальных устройств российских предприятий, подключённых к ресурсам глобальной сети и потенциально уязвимых для удалённых атак. Проблемы были обнаружены в системах SCADA, программируемых логических контроллерах, промышленных серверах и прочих инструментах управления производственными процессами.

В частности, выяснилось, что 40% из обнаруженных устройств являются сетевым оборудованием с открытыми портами и веб-интерфейсами, более 700 из проанализированных промышленных систем имеют критические уязвимости, а примерно в пятистах элементах и модулях АСУ ТП не настроена авторизация. В ряде случаев это даёт злоумышленникам возможность доступа к инфраструктуре предприятия и критически важным компонентам. Оборудование найденных производителей часто используются в критической инфраструктуре, включая электростанции, очистные сооружения и химические заводы. И это представляет особую опасность.

«Лаборатория Касперского» объявила о доступности системы обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection (MLAD) широкому кругу корпоративных клиентов.

Kaspersky MLAD использует технологии машинного обучения и системы искусственного интеллекта на базе нейронных сетей. Решение анализирует телеметрию с датчиков оборудования и позволяет обнаружить отклонения в работе автоматизированных систем управления технологическими процессами (АСУ ТП) на самом раннем этапе. Интерфейс программы отображает графики изменения наиболее значимых технологических параметров и их прогнозируемых значений.

Kaspersky MLAD может обнаружить отклонения в работе оборудования, вызванные ошибкой или атакой, и предотвратить опасную ситуацию на ранних этапах её развития

Kaspersky MLAD разворачивается на производственном объекте как самостоятельная система или совместно с Kaspersky Industrial CyberSecurity for Networks. Для работы продукта не требуется установка дополнительных датчиков, а сам комплекс настраивается так, чтобы получать зеркалированный трафик существующих АСУ ТП и SCADA-систем. Решение поддерживает широко используемые в индустриальной среде протоколы, включая OPC UA, MQTT, AMQP и REST, благодаря чему может применяться в промышленных предприятиях с различным оборудованием.

Варианты развёртывания Kaspersky MLAD

Чтобы своевременно обнаруживать аномалии, нейронная сеть изучает уже существующий поток телеметрии технологического процесса. Если изменяется параметр производства (например, вводится новый тип сырья) или заменяется часть оборудования, оператор может переобучить нейронную сеть. В дополнение к детектору на основе машинного обучения могут быть добавлены индивидуальные диагностические правила для конкретных случаев.

Kaspersky MLAD может использоваться специалистами по кибербезопасности, операторами и специалистами по технологическим процессам для выявления аномалий в технологических процессах и расследования их причин для последующей корректировки работы производственных объектов.

Более подробная информация о решении Kaspersky Machine Learning for Anomaly Detection доступна по ссылке mlad.kaspersky.ru.

Каждая десятая российская организация из числа субъектов критической информационной инфраструктуры (КИИ) скомпрометирована различными семействами вредоносного программного обеспечения. Об этом свидетельствует исследование, проведённое компанией «Ростелеком-Солар».

Эксперты подчёркивают, что слабым местом защиты IT-инфраструктуры объектов КИИ являются незакрытые уязвимости в автоматизированных системах управления технологическими процессами. При этом наличие многочисленных брешей в АСУ ТП обусловлено отсутствием процесса обновления ПО в более чем 90 % организаций, а среднее время установки обновлений составляет более 42 дней. «Таким образом, совершить успешную атаку на большинство критически важных для страны инфраструктур могут даже хакеры с низкой квалификацией», — говорят исследователи.

Остаются актуальными и проблемы защиты периметра объектов КИИ. Так, за последний год более чем на 60 % увеличилось количество АСУ ТП, доступных из интернета. Это увеличивает риски промышленного шпионажа и кибертерроризма. Кроме того, почти в два раза увеличилось количество хостов с уязвимым протоколом SMB, недоработки которого позволяют хакерам удалённо запускать произвольный код без прохождения аутентификации и заражать вредоносным софтом все подключённые к локальной сети рабочие станции.

Наконец, основной проблемой во внутренних сетях объектов КИИ является некорректное управление паролями. Крайне распространены слабые и словарные пароли, которые позволяют злоумышленникам проникнуть во внутреннюю сеть предприятия. Подбор пароля используют как хакеры-любители, так и профессиональные киберпреступники. Последних скомпрометированная учётная запись избавляет от необходимости преодолевать внешние средства защиты организации.

«Лаборатория Касперского» сообщила о выпуске новой версии защитного комплекса Kaspersky Industrial CyberSecurity for Networks.

KICS for Networks представляет собой решение для мониторинга промышленных сетей, подключаемое пассивно к инфраструктуре автоматизированных систем управления технологическими процессами. Продукт поставляется разработчиком в виде программного обеспечения или виртуального устройства, которое выявляет аномалии и вторжения в АСУ ТП на ранних этапах и обеспечивает необходимые контрмеры для предотвращения ущерба технологическим процессам.

Обновлённый Kaspersky Industrial CyberSecurity for Networks позволяет не только выявлять несанкционированную активность с помощью мониторинга ОТ-трафика, но и уведомляет об уязвимостях в оборудовании и даёт рекомендации по тому, как избежать их эксплуатации злоумышленниками. Также в решение добавлена поддержка протоколов MICOM, Profinet, TASE.2, DirectLogic и BACnet. Отдельное внимание специалистами «Лаборатории Касперского» уделено доработкам веб-консоли, получившей расширенные инструменты визуализации инцидентов для более детального анализа угроз.

Более подробную информацию о возможностях системы защиты Kaspersky Industrial CyberSecurity for Networks можно найти на сайте ics.kaspersky.ru.

Компания InfoWatch объявила о выпуске нового комплексного решения ARMA, предназначенного для обеспечения информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП).

InfoWatch ARMA позволяет построить эшелонированную защиту АСУ ТП на сетевом и диспетчерском уровнях. В состав системы входят промышленный межсетевой экран (Industrial Firewall), средство защиты рабочих станций и серверов АСУ ТП (Industrial EndPoint), инструмент для автоматического реагирования на инциденты и централизованного управления средствами защиты информации (Management Console). Решение позволяет защищать информацию в промышленных сетях, рабочие станции и серверы SCADA, автоматически реагировать на инциденты, а также выполнять законодательные меры по защите объектов критической информационной инфраструктуры (КИИ) согласно требованиям ФСТЭК России.

«Основными кибератаками для промышленных предприятий остаются атаки через корпоративный сегмент и доставка вредоносных программ через USB. Из-за разрозненности средств защиты многие атаки остаются незамеченными, а недостаток квалифицированных ИБ-кадров лишает промышленные предприятия возможности разобраться в огромном количестве информации, поступающей со средств мониторинга, — говорит Игорь Душа, директор по развитию продуктов для защиты информации в АСУ ТП InfoWatch ARMA. — Выпуск комплексного решения ARMA позволяет промышленным предприятиям построить эшелонированную защиту, основанную на полноте данных со всех средств защиты. Интеграция продуктов даёт возможность объединить ИБ-события со средств защиты информации, выстроить процесс управления инцидентами и автоматизировать реакцию на них».

Более подробную информацию о возможностях системы InfoWatch ARMA можно найти на сайте разработчика infowatch.ru/solutions/system-arma. Продукт включён в реестр отечественного ПО и рекомендуется к закупкам государственными предприятиями и органами власти.