Page 1

Cover_01_END 11/6/18 4:03 PM Page Cov1

Издание компании

XV Международная выставка

21–23 ноября 2018

СПЕЦПРОЕКТ: Защита асу тП

АСУ ТП, объекТы кИИ, ГоССоПкА клАССИфИкАцИя И зАщИТА бИзнеС-ИнформАцИИ ИнВеСТИцИИ В ТехнолоГИИ ИСкУССТВенный ИнТеллекТ И мАшИнное обУченИе

Владимир Солонин

Новая техНология аутеНтификации

www.itsec.ru

№ 5, ноябрь 2018


InfoSecurity_2019 10/31/18 3:27 PM Page cov2

20– 22 ноября 2019 Москва, КВЦ "Сокольники"

ДЕЛОВАЯ ПРОГРАММА ЭКСПОЗИЦИЯ

ДЕМО-ЗОНЫ ТЕМАТИЧЕСКИЕ КОНФЕРЕНЦИИ

МАСТЕР КЛАССЫ АНАЛИТИКА

МОНИТОРИНГ И РЕАГИРОВАНИЕ

THE FUTURE

БЕЗОПАСНОСТЬ ДАННЫХ

ВИРТУАЛИЗАЦИЯ

УПРАВЛЕНИЕ ДОСТУПОМ

БЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ

СИСТЕМ АВТОМАТИЗАЦИИ И УПРАВЛЕНИЯ

КРИПТОГРАФИЯ БЕЗОПАСНЫЙ ИНТЕРНЕТ

"СДЕЛАНО В РОССИИ" УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЙ АНАЛИТИКА, МОНИТОРИНГ И РЕАГИРОВАНИЕ


Preview 11/2/18 6:22 PM Page 1

PREVIEW

В 2018 году большое число законов по ИТ и ИБ вступили в силу. Пожалуй, самый обсуждаемый среди них – 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Для регулирования аспектов защиты АСУ ТП и ранее существовали нормативные документы, например 31-й приказ, но он носил лишь рекомендательный характер. А 187-ФЗ сделал требования к обеспечению безопасности критичных систем обязательными. Кибератаки на промышленные компьютеры считаются чрезвычайно опасной угрозой, поскольку они могут приводить к финансовым потерям и простою производства. Более того, подобные инциденты на предприятиях могут серьезно подорвать социальное благосостояние, экологию и макроэкономику всего региона. Согласно данным исследования, проведенного "Лабораторией Касперского" (стр. 12), доля атакованных компьютеров АСУ в первом полугодии 2018 г. в мире выросла на 3,5 п.п. и составила 41,2%. За год этот показатель увеличился на 4,6 п.п. Как утверждают эксперты ЛК, рост числа атакованных компьютеров АСУ связан в основном с общим повышением вредоносной активности. Wanna Cry и NotPetya еще долго будут приходить в кошмарах директорам по информационной безопасности. Хочется верить, что с приходом 187-ФЗ многие компании взглянут на свои промышленные системы под новым углом и задумаются об их безопасности. Конечно, на предприятиях с высоким уровнем зрелости и понимания проблематики ввод Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" существенно ничего не изменил, однако он позволил лучше структурировать работу по информационной безопасности и в целом подтвердил целесообразность деятельности в данном направлении. Однако опыт предыдущих лет показывает, что реализация принятых законов в области ИТ порой сталкивается с некоторыми трудностями. Эксперты уже не раз говорили о сложностях, с которыми им пришлось встретиться: практическая реализация, недочеты в формулировках и издержки бизнеса. Тема непростая, хотя о ней говорят не первый год. Сейчас в вопросах, связанных с 187-ФЗ, наметился явный переход от теории к практике: компании определяются с последовательностью действий на ближайшие несколько лет и обсуждают практические аспекты реализации требований по обеспечению защиты. Тема не останется без внимания и на выставке ITSEC. Эксперты соберутся 21 ноября в КВЦ "Сокольники", чтобы обсудить практические вопросы реализации требований 187-ФЗ, выбора средств защиты для АСУ ТП и значимых объектов КИИ, а также будущее автоматизации технологических процессов и контроль защищенности объектов КИИ.

www.itsec.ru

Екатерина Данилина, главный редактор журнала Information Security

Желаю вам интересной и эффективной работы на выставке ITSEC, а также много полезных контактов! И до встречи на страницах журнала Information Security.

Бронируйте участие в выставке ITSEC / InfoSecurity Russia 2019 на лучших условиях

• 1


Contents 11/2/18 6:22 PM Page 2

СОДЕРЖАНИЕ В ФОКУСЕ Валерий Комаров Обеспечение информационной безопасности на объектах города Москвы в период подготовки к проведению чемпионата мира стр.

по футболу FIFA 2018. Часть 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

8

Защищенный планшет для структур общественной безопасности . . . . . . . . . . . . . . . . . . . . .7 ПЕРСОНЫ Владимир Солонин Новая технология аутентификации . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Владимир Дёмин ВЭБ Инновации: мы не инвестируем,

стр.

4

а акселерируем технологии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

СПЕЦПРОЕКТ ЗАЩИТА АСУ ТП Ландшафт угроз для систем промышленной автоматизации. Первое полугодие 2018 года . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 Дмитрий Даренский АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение . . . . . . . . . . . . . . . . . . . . . . .20 стр.

26

Актуальные вопросы защиты АСУ ТП . . . . . . . . . . . . . . . . . . . . . . . .22

ТЕХНОЛОГИИ Евгений Гришкевич Применение AI в автомобильной индустрии . . . . . . . . . . . . . . . . . .26 Анна Лебедева Мошенничество в е-commerce. Часть 2 . . . . . . . . . . . . . . . . . . . . . . .28 стр.

Практические рекомендации по выбору коммерческого ЦОД . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 2 •

51


Contents 11/2/18 6:22 PM Page 3

СОДЕРЖАНИЕ Надежда Мозолина

Журнал "Information Security/Информационная безопасность" № 5, 2018 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г.

Необходимо и достаточно, или контроль целостности виртуальных машин с помощью "Аккорд-KVM" . . . . . . . . . . . . . . .33 Роман Ванерке

Учредитель и издатель компания "Гротек" Генеральный директор ООО "Гротек" Андрей Мирошкин

SOAR: автоматизация реагирования . . . . . . . . . . . . . . . . . . . . . . . . .34 Издатель Владимир Вараксин

ЗАЩИТА СЕТЕЙ Константин Саматов Применение методов проектного управления при внедрении DLP-систем . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Сергей Вахонин DeviceLock DLP как современная гибридная DLP-система . . . . . .40 Лев Матвеев Главной проблемой безопасности остается человек . . . . . . . . . . .42 Андрей Рыбин Классификация и защита бизнес-информации . . . . . . . . . . . . . . . .45

Главный редактор Екатерина Данилина, danilina@groteck.ru Корректор Галина Воронина Дизайнеры-верстальщики Анастасия Иванова, Ольга Пирадова Группа управления заказами Татьяна Мягкова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: (495) 647-0442, gorelova@groteck.ru

ПРАВО И НОРМАТИВЫ Алексей Плешков Проблемы обработки персональных данных в Интернете . . . . . .48

JOB Екатерина Старостина, Андрей Хохлов

Отпечатано в типографии ИП Морозов, Россия Тираж 10 000. Цена свободная Оформление подписки Тел.: (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: (495) 647-0442, Для почты 123007, Москва, а/я 82 E-mail groteck@groteck.ru Web www.groteck.ru, www.itsec.ru

Взгляд в будущее: система образования и воспитания кадров, успешно отвечающая на вызовы цифровой экономики . . . . . . . .51

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ

Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет

Новости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

Мнения авторов не всегда отражают точку зрения редакции © "Гротек", 2018

• 3


komarov 10/31/18 3:26 PM Page 4

В ФОКУСЕ

Обеспечение ИБ на объектах г. Москвы в период подготовки к проведению чемпионата мира по футболу FIFA 2018. Часть 2 Валерий Комаров, аудитор ИБ, отдел методологии информационной безопасности, управление информационной безопасности, ДИТ города Москвы

В

статье анализируется опыт Департамента информационных технологий города Москвы по организации и проведению проверочных мероприятий (аудита) по информационной безопасности на объектах, задействованных при проведении чемпионата мира по футболу FIFA 2018 г. в городе Москве 1 .

Аудит ИБ. Особенности организации и проведения проверочных мероприятий на объектах Для преодоления сложностей проведения аудита информационной безопасности на объектах, описанных в первой части [1], в ДИТ города Москвы были предприняты следующие шаги по организации проведения проверочных мероприятий. В условиях жесткого ограничения времени на проведение проверки объекта и реализации корректирующих действий на объекте до начала чемпионата мира по футболу наибольшую важность приобретало установление личного контакта аудитора и представителя объекта. При отсутствии обязательности выполнения на объекте рекомендуемых корректирующих мероприятий аудитору требовалось буквально "с порога" продемонстрировать высокую профессиональную квалификацию и конструктивный подход к вопросам обеспечения информационной безопасности объекта.

Подготовительный этап 1. Сбор и анализ информации Проверка каждого объекта готовилась в обязательном порядке индивидуально. К сбору и анализу информации о состоянии защищенности проверяемого объекта привлекались не только члены аудиторской команды, но и специалисты других подразделений по информационной безопасности ДИТ города Москвы. Для упрощения сбора и анализа исходной информации об обеспечении информационной безопасности на конкретном объекте в Управлении ФСТЭК России по ЦФО был разработан типовой технический паспорт объекта. Ответственные работники проверяемых объектов заполняли соответствующие разделы технического паспорта и передавали на изучение аудиторской команде ДИТ города Москвы. Кроме информации, запрашиваемой у объекта в формализованном виде, больше внимание уделялось иным источ1

4 •

никам сведений об объекте. В качестве таких источников использовались: l информационные ресурсы Интернета и средств массовой информации; l информационные ресурсы с судебными решениями; l информационные ресурсы DarkNet. Практическая ценность источников информации на данном этапе отражена на рис. 1. 2. Подбор аудиторской команды Наличие высококвалифицированных аудиторов позволило руководителю группы аудита ДИТ города Москвы проводить индивидуальный подбор команд для проведения проверки объекта. При этом учитывалось множество факторов:

l психологическая совместимость с представителем объекта, участвующего в проверке; l накопленный опыт у аудитора по проверкам аналогичных объектов; l возможность восстановления аудитора от профессионального выгорания; l сложность объекта. Вклад этих факторов в формирование аудиторской команды для проверки конкретного объекта показан на рис. 2. В условиях жесткого ограничения времени на проведение проверки объекта и реализации корректирующих действий на объекте до начала чемпионата мира по футболу наибольшую важность приобретало установление личного контакта аудитора и представителя

Рис. 1. Ценность источников информации

Результаты проверочных мероприятий на объектах в данной статье не рассматриваются.


dialognauka 10/31/18 3:27 PM Page 5


komarov 10/31/18 3:26 PM Page 6

В ФОКУСЕ объекта. При отсутствии обязательности выполнения на объекте рекомендуемых корректирующих мероприятий аудитору требовалось буквально "с порога" продемонстрировать высокую профессиональную квали-

Оценка сложности объекта оказывала влияние на определение численности аудиторской команды. Минимальной численностью аудиторской команды считалось два человека. Руководителем аудиторской команды назначался специалист, имеющий статус сертифицированного ведущего аудитора по стандарту ISO 27001:2013.

Этап проведения проверки

Рис. 2. Оценка влияния факторов на подбор аудиторов

Оценка сложности объекта оказывала влияние на определение численности аудиторской команды. Минимальной численностью аудиторской команды считалось два человека. Руководителем аудиторской команды назначался специалист, имеющий статус сертифицированного ведущего аудитора по стандарту ISO 27001:2013.

6 •

фикацию и конструктивный подход к вопросам обеспечения информационной безопасности объекта. Для оценки психологической совместимости составлялся психологический портрет представителя объекта, для чего собиралась информация и отзывы сотрудников, контактировавших с представителями объекта ранее. Особенно ценную информацию для составления психологического портрета давали консультационные переговоры по заполнению техпаспорта объекта, разъяснения порядка проведения проверки объекта и т.д. Проводилась замена аудитора, если на подготовительном этапе проверки объекта он оценивал сложившиеся отношения с представителем объекта как напряженные или неконструктивные. Проверяемые объекты делились на нескольких крупных классов по типовыми условиям функционирования: стадионы, гостиницы, вокзалы. Глубоко вникнув в построение технологических процессов на первом объекте, аудитор эффективнее проводил проверки последующих аналогичных объектов. Высокая психологическая нагрузка и плотный график проверок вызывали серьезное утомление аудиторов и порождали проявление эффекта профессионального выгорания. Для устранения негативного воздействия подобного состояния аудиторов применялись меры по психофизиологическому восстановлению специалистов и проводилась оптимизация плана проверок.

Основными методами проведения проверки были визуальный осмотр объекта, опрос (интервью) работников объекта и технический (сканеры уязвимостей, пентесты). Использовались методы социальной инженерии для проверки организационных мер безопасности, заявленных представителями объекта на проверке. Опросный лист для проведения интервью подготавливался с обязательным учетом квалификации персонала объекта в области защиты информации.

Этап анализа и корректировки процесса аудита Аудиторы по окончании проведения проверки составляли отчеты с описанием деталей и нюансов аудита. Основное внимание в них уделялось выявленным векторам атак на объекты, особенностям функционирования информационной инфраструктуры объекта. Была создана единая база знаний проверки объектов. Ознакомление с отчетными материалами было обязательно для всех аудиторов. Проводились рабочие совещания по обобщению опыта проверок на регулярной основе.

Выводы 1. В Москве необходим единый центр компетенции в области обеспечения информационной безопасности, позволяющий централизованно и на постоянной основе обеспечивать защиту информационных систем городских объектов от актуальных угроз. 2. Стоимость компьютерного инцидента сильно зависит от места и момента. Учет этой особенности наиболее актуален при обеспечении целостности информационного контента в рекламных устройствах, размещенных на объектах. 3. Необходимо обеспечивать информационную безопасность городских объектов уже на этапе создания информацион-

ной инфраструктуры. Злоумышленники могут повлиять на сроки готовности объектов, а также подготовить плацдарм для реализации компьютерных атак на объект во время проведения массовых мероприятий. 4. Контроль защищенности городских объектов (пентесты) наиболее эффективны при комплексном применении, с увязкой с другими способами и методами аудита ИБ. Необходим стратегический подход к организации контрольных мероприятий и координации действий при проведении проверочных мероприятий. 5. Отсутствие ведомственного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) Правительства Москвы снижает оперативность реагирования на компьютерные атаки, проводимые в отношении городской информационной инфраструктуры. 6. Целесообразно включить в образовательные программы высшего профессионального образования подготовку аудиторов ИБ как отдельную специальность, по аналогии с специальностью 5.38.04.09 "Государственный аудит и контроль". В существующей ситуации по уровню квалификации специалистов по информационной безопасности наиболее соответствуют масштабу задач аудиторы, сертифицированные по стандарту ISO 27001:2013. 7. Требуется расширение области действия Федерального закона от 26.07.2018 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" на сферы деятельности, связанные с массовым нахождением людей (спортивные объекты, гостиницы, фан-зоны) и средства массовой информации, включая пресс-центры. l

Литература [1] Комаров В. Обеспечение информационной безопасности на объектах города Москвы в период подготовки к проведению чемпионата мира по футболу FIFA 2018. Часть 1. – Information Security. – № 4. – 2018. – С. 4–5. Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


elko 10/31/18 3:27 PM Page 7

www.itsec.ru

В ФОКУСЕ

Защищенный планшет для структур общественной безопасности

О

бщественная безопасность все больше зависит от работы с данными, быстрая эффективная коммуникация и обмен информацией между командным центром и полевыми отрядами играют важную роль. Команды экстренного реагирования полагаются на мобильные терминалы сбора данных, которые дают возможность оперативно собирать информацию, анализировать обстановку и принимать обоснованные решения, а также гарантируют безопасность персонала. Все эти функции были учтены при разработке полностью защищенного планшета K120.

Полицейские, медработники и пожарные используют мобильные терминалы сбора данных. Для специалистов, работающих "в полях", крайне важной является работоспособность планшета в любых ситуациях и погодных условиях. Компания Getac выпустила защищенный гибридный планшет Getac K120, разработанный специально для ежедневных нужд персонала структур общественной безопасности по всему миру. "Полностью защищенный планшет Getac K120 разработан, чтобы обеспечить персонал структур общественной безопасности мощным и компактным мобильным терминалом, который комбинирует передачу видео-, голосовых и электронных данных для быстрого доступа к важной разведывательной информации, – утверждает Рик Хванг (Rick Hwang), руководитель подразделения защищенных устройств Getac Technology Corporation. – С помощью таких продуктов, как K120, Getac стремится обеспечить новое качество работы своих клиентов в сфере общественной безопасности, используя наши надежные технологии и инновационный дизайн".

Технические характеристики K120 работает на базе ОС Windows 10 и использует облачную технологию Microsoft, включающую искусственный интеллект и Интернет вещей. Планшет оснащен процессором восьмого поколения Intel® Core i7/i5 и технологиями GPS, 4G LTE, 802.11ac Wi-Fi и Bluetooth. Обеспечивает исключительную вычислительную мощность и коммуникационный потенциал вне зависимости от местонахождения персонала. Он также снабжен большим 12,5-дюймовым сенсорным дис-

K120 – новый шаг компании Getac на пути создания мощных защищенных устройств, которые уже на протяжении многих лет помогают в работе медицинским работникам, полицейским и пожарным.

плеем и многоуровневой системой аутентификации: сканером отпечатков пальцев, считывателем смарт-карт и RFID-меток. Сертифицирован на соответствие военным стандартам надежности MIL-STD-810G и MILSTD-461G, а также имеет защиту от воды и пыли IP65. Персонал может использовать его в любых условиях: устройство выдерживает падение с высоты 1,8 м во включенном состоянии и функционирует в температурном диапазоне от -29 до +63 °C. Планшет также опционально оснащен двойной батареей с функцией горячей замены, которая гарантирует бесперебойное питание устройства в критических обстоятельствах. Приведенная выше информация доказывает оптимальную функциональность и безопасность устройства в самых сложных условиях работы. Планшет K120 полностью совместим с аксессуарами Getac и док-станциями, которые позволяют установить его в транспортное средство, превращая автомобиль в мобильный

офис, или использовать как обычный офисный компьютер. На планшет предоставляется трехлетняя гарантия Bumper-toBumper, покрывающая как стандартные, так и случайные повреждения. В дополнение к K120 серия надежных компьютеров Getac для общественной безопасности включает в себя полностью прочные таблетки F110 и A140, полностью прочный конвертируемый ноутбук V110 и полупрочный ноутбук S410. "Защищенные компьютеры Getac – идеальные устройства для сферы общественной безопасности, – комментирует Кирк Артур (Kirk Arthur), директор WW Industry Solutions (отдел общественной безопасности и правосудия Microsoft). – Новый K120 является отличным примером того, как дополнение линейки продуктов Getac для структур общественной безопасности помогает увеличить показатели безопасности и эффективности работы персонала". l

О компании Getac Getac – основное подразделение MiTAC-Synnex Business Group (годовой доход компании в 2017 г. составил $34,07 млрд). Компания была основана в 1989 г. как совместное предприятие с GE Aerospace для производства военной электронной техники. Сегодня Getac производит защищенные ноутбуки, планшеты и мобильные видеорешения для армии, полиции, пожарных, а также для промышленных, транспортных и логистических предприятий. Подробная информация на сайте http://ru.getac.com/.

О компании ELKO ELKO Group, один из крупнейших дистрибьюторов в Восточной Европе и Центральной Азии, представляет более 200 ИТ-производителей и предлагает широкий спектр продуктов, решений и сервисов. Группа компаний имеет 12 офисов в странах Европы и Центральной Азии, сотрудничает с более чем 8 тыс. клиентов в 31 стране. Компания основана в 1993 г. в Риге. ELKO Group сотрудничает с ведущими мировыми производителями ИT-продукции, среди них: Microsoft, AMD, Intel, Apple, HP, Acer, Huawei, Samsung и т.д. В России функционируют три офиса – в Москве, Красноярске, Санкт-Петербурге и склады в Москве и Санкт-Петербурге. Налаженная логистическая сеть компании обеспечивается четырьмя транспортными пересадочными узлами: Хельсинки, Дубай, Роттердам и Амстердам.

NM АДРЕСА И ТЕЛЕФОНЫ компании ELKO см. стр. 56

• 7


solonin 10/31/18 3:26 PM Page 8

В ФОКУСЕ

Новая технология аутентификации Владимир Солонин, директор по информационной безопасности, СДМ-Банк

О

«СДМ-Банк» (ПАО) основан 17 сентября 1991 года Имеет четырнадцать отделений в г. Москве и Московской области и восемь филиалов в городах России.

8 •

внедрении технологии аутентификации по смарт-картам и сертификатам, сложностях внедрения и изменениях для пользователей редакции рассказал директор по информационной безопасности СДМ-банка Владимир Солонин.

– Каким образом появились задачи усиленной аутентификации пользователей и построения системы SSO? Что послужило толчком к поиску решения и реализации проекта? – Можно строить эшелонированные системы антивирусной защиты, возводить множество стен из файерволлов, внедрять множество других средств защиты, но, во-первых, любая сложная система содержит в себе уязвимости, а во-вторых, угадываемые пароли никто не отменял. Можно включить политики, проверяющие сложность паролей, и пароль "Август2018!" будет удовлетворять всем критериям сложности, но будет ли он действительно сложным? Добиться от пользователей использования уникальных паролей в каждой информационной системе – очень нелегкая задача. Человек не машина, запрограммировать его не получится, только воспитать, используя методы убеждения. Регулярные проверки сложности паролей учетных записей путем выгрузки их хешей и взлома по словарям показали, что прово-

дить регулярные семинары и тренинги, направленные на повышение осведомленности сотрудников, достаточно эффективно, если этим заниматься на регулярной основе. Однако таким образом лишь снижается число плохих паролей до некого уровня, но ведь достаточно только одного, если его смогли взломать. – Кто выступал инициатором внедрения и заказчиком новой системы? – Имея такую статистку, ИБ и ИТ получили одобрение у руководства на проект по внедрению системы управления идентификационными данными, благо о паролях знают все и важность их устойчивости понятна всем. – Почему была выбрана технология аутентификации по смарт-картам и сертификатам? Рассматривались ли другие варианты аутентификации? – Чем усилить пароль? Напрашивается классическое решение-комбинация: "знание" и "владение". Первый фактор – пароль, второй фактор – устройство, которое можно физически выдать пользовате-

лю. Вначале рассматривали биометрию, в частности отпечаток пальца, благо он всегда при пользователе. Альтернативным вариантом была смарткарта с записанным на ней сертификатом. Этот вариант и победил в конечном итоге, так как в Windows есть уже возможность использовать для аутентификации смарт-карты, к тому же дополнительным бонусом получили сертификат, который можно использовать и для электронной подписи в электронной почте и в офисных документах. Немаловажно и то, что стоимость считывателей биометрии значительно выше считывателей смарт-карт, причем чем они надежнее, тем дороже. Непонятно, что делать в случае компрометации: сертификат можно отозвать и перевыпустить, а что делать с пальцем? Совместив чип с сертификатом с пропуском, получилось интегрировать систему со СКУД. – Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие особенности были у ее внедрения? – Задача была простой: облегчить жизнь пользователей и повысить уровень безопасности. К сожалению, не все системы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными. Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, автоматизированную смену


solonin 10/31/18 3:26 PM Page 9

www.itsec.ru

ПЕРСОНЫ

кроме одного PIN-кода для карты, вручную вводить логины и пароли в системы тоже не надо. Осталась одна забота – не забывать дома пропуск. Если при переходе все происходит гладко, заранее все протестировано, а с пользователями предварительно проведена разъяснительная работа, то и отношение хорошее. Для успешного внедрения приходится брать на вооружение маркетинговые технологии, и с их помощью новые продукты, как говорится, идут в массы.

Задача была простой: облегчить жизнь пользователей и повысить уровень безопасности. К сожалению, не все системы можно легко

паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. – Какие есть сложности в использовании новой технологии аутентификации/SSO? – Технических сложностей при использовании нет, они скорее технологические и организационные. При внедрении они, конечно, были из-за необходимости интеграции со многими системами. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, изменить технологический процесс внесения изменений или обновления существующих информационных систем, дополнив его процессом проверки функционирования систем 2FA и SSO, а также дополнить и протестировать все аварийные планы по переходу на резервные серверы с учетом новой технологии. Еще из сложностей – организация процессов, связанных с

жизненным циклом пропусков, порядком их выдачи и замены или, например, что делать, если пользователь забыл свой пропуск и находится к тому же в филиале? Впрочем, все решается. – Что изменилось после внедрения усиленной аутентификации? Как проект в целом повлиял на ИБ? – Забот у ИБ стало больше. Но это происходит при внедрении любой новой системы. Большинство проектов ИБ обычно невидимо для конечных пользователей, об ИБ обычно вспоминают, если письмо задержится или ссылка какая в Интернете не откроется. Этот же проект затронул всех пользователей. – Что на деле изменилось для пользователей? Как они отнеслись к переходу на новую технологию доступа? – У пользователя одни плюсы, пароли придумывать не надо,

– Какие, на ваш взгляд, существуют особенности в организации ИБ при работе сотрудников в финансовой организации? – Банк – это надежность, обрабатываемая им информация – это деньги. Потому потеря этой информации – это прямая потеря денег. Банк – это и доверие, клиент передает банку много конфиденциальной информации, и ее необходимо защищать. Банк – это удобные сервисы, они шагнули вначале на стол к клиентам с системами "Банк – Клиент", а затем и к ним в карман на мобильные телефоны с системами "Мобильный банк". Банк – это бесперебойность, клиент должен быть уверен в том, что сможет перевести деньги или сделать платеж по карте в любое время и в любом месте. ИБ в банке – это повышенная ответственность за обеспечение всего вышеперечисленного. Ответственность за то, что системы защиты должны работать и новые внедряемые системы не должны усложнять существующие процессы.

перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным.

Технических сложностей при использовании нет, они скорее технологические и организационные. При внедрении они, конечно, были из-за необходимости интеграции со многими системами. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, изменить технологический процесс внесения изменений или обновления существующих информационных систем, дополнив его процессом

– Что повлияло на выбор конкретного поставщика решения? – При выборе поставщика мы имели уже некоторое представление о том, как должна работать система в наших реалиях. Один из главных критериев выбора – происхождение. Она должна быть российской. Простота внедрения, успешные внедрения в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже немаловажный фактор. l

проверки функционирования систем 2FA и SSO, а также дополнить и протестировать все аварийные планы по переходу на резервные серверы с учетом новой технологии.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 9


demin 10/31/18 3:26 PM Page 10

В ФОКУСЕ

ВЭБ Инновации: мы не инвестируем, а акселерируем технологии Владимир Демин, руководитель фонда “ВЭБ Инновации”

Фонд "ВЭБ Инновации" управляет Центром блокчейн компетенций и цифровых трансформаций.

Среди приоритетов "ВЭБ Инновации" – финансирование проектов Национальной технологической инициативы, программы "Цифровая экономика Российской Федерации", содействие российским инновационным компаниям в выходе на международные рынки. В сферу интересов компании также входят перспективные проекты в области конвергентных

технологий, квантовых

– Правительство Российской Федерации всячески поддерживает инновации, технологии. Есть ли понимание конкурентного преимущества, которое Россия может здесь получить? Какие основные векторы развития в этом направлении? – У России есть большой потенциал для того, чтобы стать одним из ведущих в мире государств в развитии ряда прорывных технологий. Но важно понимать, на чем именно фокусировать свои усилия. Можно пытаться догнать других в цифровых технологиях настоящего, где мы уже серьезно отстали и гонка потребует миллиардных инвестиций, а можно попытаться захватить лидерство в terra incognita – отраслях будущего, где все равны и есть место для качественного скачка. Это, к примеру, блокчейн, квантовые и конвергентные технологии. Дело в том, что в этих областях пока нет ярко выраженной страны-лидера, и у нас есть шанс выиграть технологическую гонку у конкурентов. А те страны, которые смогут победить в этой гонке, получат шанс конвертировать это лидерство в экономический рост. Так, перевод государственных услуг на блокчейн может увеличить в несколько раз их эффективность. Активное же внедрение прорывных технологий в экономику может дать двузначные цифры прироста ВВП.

тех нологий и другие.

– Как вы считаете, способствует ли существующий российский бизнесклимат развитию инноваций? – Россия – это огромный рынок, в том числе и для тех-

10 •

нологических компаний, для многих из них это потенциал для кратного роста. Когда ставка – такой рост бизнеса, то вопрос о том, лучше или хуже в стране бизнес-климат, отходит на второй план. И вот тут наша задача – осуществлять трансфер технологий. То есть чтобы приходя в Россию, инновационные компании локализовывали бы свои технологии, позволяли российским компаниям становиться их технологическими партнерами и перенимать технологии.

– Не так много можно привести примеров успешных российских стартапов, тогда как за рубежом ситуация противоположная. Почему существует такая разница? – Россия, как и раньше, рождает и выращивает очень много светлых умов с гениальными подчас идеями. Но инфраструктура поддержки инноваторов все еще недостаточно комфортна. Проще говоря, умному, талантливому человеку легче уехать за рубеж и получить там образование, финансирование, партнеров, рынки сбыта, чем остаться в России и испытать все тяготы российского инноватора. Наш Центр блокчейн компетенций и цифровых трансформаций вместе с другими институтами развития пытается упростить ему жизнь, но пока факт остается фактом. Например, на мировом рынке половина криптокомпаний – с российскими корнями. Но они базируются в кантоне Цуг в Швейцарии, в так называемой Криптодолине, или даже в Беларуси. Конечно, хотелось бы, чтобы они оставались в России.

– В России почти 40 институтов развития. В чем вы видите уникальность ВЭБа? – Говорить за весь Внешэкономбанк было бы непра-

вильным. Что касается Центра цифровых трансформаций, который я возглавляю, то наша задача – помочь бизнесу трансформироваться с помощью цифровых технологий. Сегодня о цифровой трансформации много говорят, но по-прежнему мало кто понимает в этом. Мы – понимаем и готовы не просто поделиться с компаниями своими знаниями, но и помочь им применить эти компетенции на практике.

– Как решить проблему с доведением большинства инновационных решений до реального применения? – Мы в Центре цифровых трансформаций занимаемся в том числе и именно этим. К нам приходят инноваторы со своими технологическими решениями, мы понимаем, где и какой есть спрос на такие решения и сводим "покупателя" решения с "продавцом". Делаем пилотный проект, и если все "полетело" – его можно масштабировать. Другое дело, что часто бывает так, что доводить инновационное решение до реального применения бессмысленно или даже вредно. Инновация должна нести не только новизну, но и пользу – увеличение эффективности, сокращение издержек или рост качества. – С какими проблемами чаще всего сталкиваются начинающие предприниматели, у которых уже есть интересная задумка? – Ровно то, о чем я сказал выше: интересная задумка – это только первый шаг к продукту. По нашему опыту, большинство таких задумок не выдерживает проверки на эффективность. Доказать, что применение инновации даст искомый экономический эффект, – вот главная про-


demin 10/31/18 3:26 PM Page 11

ПЕРСОНЫ

блема, которая обычно стоит перед изобретателем. Доказать, что его идея не просто работает, но и нужна экономике.

– Российским стартаперам, предпринимателям – тем, кто уже находится на определенном этапе, – необходима помощь с выходом на внешние рынки. А среди приоритетов "ВЭБ-Инновации" – содействие российским инновационным компаниям в данном вопросе. Есть ли уже успешные кейсы? – Говорить об успешном выводе партнеров на мировой рынок пока рано, фонду меньше года. Но есть успешные кейсы, в которых, возможно, в том числе и международное сотрудничество. Это, например, компания ОМК, наш партнер по проекту перевода на блокчейнсистему больницы в Новгороде, это AMJ Group – компания создает блокчейнсистему для мониторинга строительства различных объектов. Или вот компания Joys, сотрудничество с которой позволило нашему фонду первому в России выпустить токены для учета расчетов внутри коммуны. – Есть ли за рубежом потребность в российских разработках? – Я скажу по-другому: в России есть разработки в тех областях, на технологии в которых есть спрос за рубежом. Но современный мир сложнее, любой продукт состоит из массы решений, которые были созданы в различных странах. Российским технологиям важно встроиться в эту мировую технологическую цепочку создания стоимости. Ниши для этого есть. – Можете ли вы дать рекомендации нашим читателям, как и с какими проектами компаниям надо выходить к инвесторам? Что должны знать и уметь компании, которые решили, например, обратиться в Инвестиционный фонд ВЭБа? – Это не наш профиль: мы не инвестируем, а акселери-

www.itsec.ru

руем технологии. Наша задача не денег дать, а довести проект до пилота. То есть компания должна приходить к нам уже с минимально жизнеспособным продуктом, а не просто с идеей. Таким компаниям мы готовы помочь найти фирмы или регионы для пилотных проектов.

– Внешэкономбанк активно занимается блокчейном. В каких проектах? – У нас в Центре цифровых трансформаций есть много различных проектов, связанных с блокчейном. Среди тех, что уже прошли стадию пилота или находятся в пилотном режиме, назову, например, реестр договоров долевого участия в строительстве жилья – совместный проект с Росреестром; с ним же есть проект "Титул" по переводу на блокчейн реестра недвижимости в Москве и регистрации сделок с недвижимостью. Есть региональные проекты по применению блокчейна в здравоохранении (в Великом Новгороде), в социальной помощи населению (в Калининграде), в ЖКХ и управлении муниципальной собственностью (в Чечне). Но сегодня Центр цифровых трансформаций уже шагнул за рамки только блокчейн-проектов. Так, в наших проектах, объединенных понятием "цифровой банк", есть и технологии искусственного интеллекта, и передачи данных посредством ультразвука, и аналитика больших данных, и многое другое. – Как можно охарактеризовать нынешнее состояние дел, какие есть ограничения для применения блокчейн-технологий? Ведется работа в части законодательной базы, но глобальные экономические институты категорически против использования криптовалют. – После ажиотажа в прошлом году в мире наступил период стабилизации курсов криптовалют. Криптовалюты – это часть новой технологической реальности, и сейчас общество постепенно приспосабливается к ней. Процесс обещает быть трудным, но

он неотвратим. Другое дело, что прежде, чем криптовалюты начнут завоевывать мир, необходимо будет снять обоснованные опасения, связанные с возможностями их использования в преступных целях: отмывании доходов, финансировании терроризма. Другая ситуация с блокчейном – нейтральной технологией, которая может обеспечивать работу криптовалюты, а может – обеспечивать, например, работу реестра недвижимости. Каких-то законодательных ограничений на работу этой технологии, насколько я знаю, нигде не вводилось.

"ВЭБ Инновации" создана в 2017 году для поиска, отбора и поддержки уникальных проектов в интересах российской экономики. Является "единым окном" для обращений во Внешэкономбанк по вопросам поддержки инновационных проектов. Предполагает осуществлять финансирование проектов Национальной тех-

– Вы бы посоветовали российскому бизнесу выходить на ICO? – Сегодня рынок ICO остается довольно активным, несмотря на падение курсов криптовалют. То есть возможности для компаний есть. Другое дело, что пока эта сфера деятельности не описана законодательно, она остается в серой зоне. Это значит, что предприятие само для себя должно решить, готово ли оно нести сопутствующие риски.

нологической инициативы и программы "Цифровая экономика Российской Федерации".

Сегодня Центр цифровых трансформаций уже шагнул за рамки только блокчейн-проектов. Так, в наших проектах, объединенных понятием "цифровой банк", есть и техноло-

– В июле этого года в Центре цифровых трансформаций стартовал ваш проект "Цифровое лето". Расскажите, пожалуйста, о нем подробнее. – Цифровое лето – это встречи профессионалов из российских банков с компаниями, успешно работающими в области финансовых технологий, как российскими, так и зарубежными. И мы видим большой интерес банков к данной области. На этих сессиях мы даем возможность банкам, уже столкнувшимися в своей работе с необходимостью цифровой трансформации, посмотреть на решения, которые мы предлагаем им в рамках нашего проекта "Цифровой банк", пообщаться с разработчиками, прикинуть, что из большого набора цифровых финансовых технологий им нужно, а что нет. l

гии искусственного интеллекта, и передачи данных посредством ультразвука, и аналитика больших данных, и многое другое.

Многие стартапы не могут реализовать свой потенциал на российском рынке в силу ограниченного объема рынка сбыта и рынка капитала, и перемещают проекты за границу. Компания "ВЭБ Инновации" предлагает российским стартапам широкий спектр возможностей по развитию на международных рынках.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 11


kasper 10/31/18 3:26 PM Page 12

СПЕЦРАЗДЕЛ

Ландшафт угроз для систем промышленной автоматизации Первое полугодие 2018 года

П

редставляем вашему вниманию очередной отчет Центра реагирования на инциденты информационной безопасности промышленных инфраструктур “Лаборатории Касперского” (Kaspersky Lab ICS CERT), где представлены результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение первого полугодия 2018 года. Основная цель отчета – информационная поддержка глобальных и локальных команд реагирования на инциденты, специалистов по информационной безопасности предприятий и исследователей в области защищенности промышленных объектов.

Основные события полугодия Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их анонимную передачу. В силу ограничений продукта и законодательных ограничений мы не идентифицируем конкретную компанию/организацию, от которой KSN получает статистические данные. Данные получены с защищаемых продуктами "Лаборатории Касперского" компьютеров АСУ, которые Kaspersky Lab ICS CERT относит к технологической инфраструктуре организаций.

Уязвимости Spectre и Meltdown в промышленных решениях В начале 2018 г. в процессорах Intel, ARM64 и AMD были обнаружены уязвимости, позволяющие получить несанкционированный доступ к содержимому виртуальной памяти. Атаки, использующие эти уязвимости, были названы Meltdown и Spectre. Выявленная проблема связана с тремя уязвимостями: l обход проверки границ (CVE2017-5753/Spectre); l манипуляция целевым кэшем адресов ветвлений (CVE-20175715/Spectre); l оседание данных в кэше после отмены операции (CVE2017-5754/Meltdown). Атаки Spectre позволяют пользовательскому приложению получить данные другой программы, Meltdown, – также содержимое памяти ядра. Данная проблема затронула множество компьютеров, серверов и мобильных устройств под управлением операционных

Рис. 1. Доля компьютеров АСУ, атакованных вредоносными программами для майнинга криптовалют

12 •

систем Windows, macOS, Linux, Android, iOS и Chrome OS, использующих уязвимые микропроцессоры. Промышленное оборудование – серверы SCADA, промышленные компьютеры и сетевые устройства с уязвимыми процессорами – также оказалось подвержено уязвимостям Meltdown и Spectre. Одной из первых об уязвимостях своих продуктов заявила компания Cisco. Среди затронутых устройств – маршрутизаторы Cisco 800 Industrial Integrated Services и коммутаторы Industrial Ethernet 4000. Затем уведомления о влиянии уязвимостей Meltdown и Spectre на свои продукты опубликовали другие промышленные вендоры. Об уязвимости десятков своих продуктов, включая системы управления, различные промышленные компьютеры и HMI, проинформировала своих клиентов PHOENIX CONTACT. В числе уязвимых продуктов компании Yokogawa оказались станция управления (FCS) системы CENTUM VP/CS 3000 и контроллер системы безопасности (SCS) для системы противоаварийной защиты ProSafe-RS. Уязвимости Meltdown и Spectre затронули также промышленное оборудование Siemens: устройства RUGGEDCOM APE и RX1400 VPE, панели оператора SIMATIC HMI серии Comfort, промышленные компьютеры SIMATIC IPC, программируемый логический контроллер SIMATIC S7-1500 Software Controller и др. Помимо информации об уязвимостях Meltdown и Spectre компания Siemens сообщила о

подверженности своих решений еще двум брешам из группы уязвимостей под названием Spectre Next Generation (Spectre-NG), которые были обнаружены позднее в мае 2018 г. Информацию об использовании уязвимых процессоров в своих продуктах опубликовали также Schneider Electric, ABB, OSIsoft и другие вендоры.

Криптомайнеры в промышленных сетях В феврале 2018 г. в СМИ появилось сразу несколько сообщений о заражении промышленных предприятий вредоносным программным обеспечением с функцией майнинга криптовалюты. В одной из водоочистных станций в Европе зараженными оказались четыре сервера под управлением операционной системы Windows XP с программным обеспечением CIMPLICITY SCADA от компании GE Digital. Вредоносное ПО замедляло работу HMI и SCADA-серверов, используемых для мониторинга технологических процессов. Атаке подверглись также облачные серверы компании Tesla с целью использования части их мощностей для добычи криптовалюты Monero. Киберпреступники атаковали фреймворк Kubernetes, который эксплуатируется в инфраструктуре ведущего производителя электромобилей, и внедрили в него вредоносное ПО для генерации криптовалюты. По данным KL ICS CERT, эти широко обсуждаемые инциденты далеко не единичны и отражают общую неутешительную тенденцию.


kasper 10/31/18 3:26 PM Page 13

www.itsec.ru

ЗАЩИТА АСУ ТП

С апреля 2018 г. в "Лаборатории Касперского" начали использовать более точные вердикты для сбора статистики о майнерах. Как следствие, по нашей статистике процент компьютеров АСУ, атакованных вредоносными программами для майнинга криптовалют, с апреля резко вырос и по итогам первого полугодия 2018 г. достиг 6% – это на 4,2 п.п. больше, чем в предыдущем полугодии (рис. 1). Основная проблема, связанная с работой вредоносных программ-майнеров, заключается в увеличении нагрузки на промышленные информационные системы, что может оказаться неприемлемым для систем промышленной автоматизации – угрожать стабильности их функционирования и снижать уровень контроля за технологическим процессом предприятия.

Массовые атаки на коммутаторы Cisco затронули объекты критической инфраструктуры 6 апреля по всему миру были зафиксированы массовые атаки на коммутаторы Cisco IOS. Атаки привели к сбою в работе некоторых интернет-провайдеров, дата-центров и Web-сайтов. Злоумышленники использовали уязвимость CVE-2018-0171 в программном обеспечении Cisco Smart Install Client. По результатам исследований команды Cisco Talos, в мире насчитывается более 168 тыс. потенциально подверженных ей устройств. Для атаки использовался специальный бот, который обнаруживает уязвимые устройства, перезаписывает на них образ системы Cisco IOS и меняет конфигурационный файл. В результате этого устройство становится недоступным. В основном атакам подверглись организации России и Ирана. По данным Cisco Talos, среди компаний, подвергшихся атакам, оказались и объекты критической инфраструктуры.

Новое вредоносное ПО VPNFilter с функцией мониторинга SCADA В мае 2018 г. было обнаружено новое вредоносное ПО VPNFilter, которое заразило не менее 500 тыс. маршрутизаторов и устройств хранения данных (NAS) в 54 странах мира.

Вредоносная программа VPNFilter имеет сложную модульную архитектуру, компоненты которой реализуют различные функции, среди них – сбор сетевого трафика и данных, выполнение команд и управление устройством, перехват пакетов, а также мониторинг протоколов Modbus и взаимодействие с управляющим сервером через сеть Tor. Для инфицирования зловред использует различные известные уязвимости, однако вектор заражения на данный момент неясен. При заражении на устройство устанавливается устойчивый к перезагрузке устройства компонент, способный загружать дополнительные вредоносные модули. Таким образом, VPNFilter требует пристального внимания ИБ-сообщества, так как этот зловред может быть использован для кражи учетных данных, обнаружения промышленного SCADA-оборудования, а также проведения различных атак с использованием зараженных устройств в составе ботнета.

Атака на спутниковые системы В июне 2018 г. стало известно о масштабной кибератаке с территории Китая на телекоммуникационные предприятия, операторов спутников связи, а также оборонных подрядчиков в США и странах Юго-Восточной Азии. В ходе атаки злоумышленники инфицировали компьютеры, используемые для управления спутниками связи и сбора данных геопозиций. По мнению экспертов, целью кибератаки были шпионаж и перехват данных из гражданских и военных каналов связи. Однако потенциально атака могла привести к несанкционированному изменению позиций устройств на орбите и помехам при обмене данными. Среди обнаруженных зловредов – троянцы Rikamanu и Syndicasec, программа для похищения данных Catchamas, кейлоггер Mycicil и бэкдор Spedear. Для заражения вредоносным ПО злоумышленники использовали легитимные инструменты и средства администрирования PsExec, Mimikatz, WinSCP и LogMeIn. Такая тактика позволяет атакующим скрывать свою активность и оставаться незамеченными.

Рис. 2. Процент атакованных компьютеров АСУ Доля атакованных компьютеров АСУ в первом полугодии 2018 г. в мире выросла на 3,5 п.п. и составила 41,2%. За год этот показатель увеличился на 4,6 п.п. Рост процента атакованных компьютеров АСУ связан в основном с общим повышением вредоносной активности.

Активность IoT-ботнетов Обнаруженные ботнеты попрежнему состоят преимущественно из незащищенных IPкамер и маршрутизаторов. Однако постепенно злоумышленники начинают использовать другие типы умных устройств. Так, в апреле 2018 г. был обнаружен ботнет, состоящий в том числе из интернет-телевизоров. Этот ботнет использовался для осуществления DDoS-атак на организации финансового сектора. В условиях столь бурного развития вредоносного ПО, нацеленного на устройства Интернета вещей, существенным стало известие о появлении общедоступного инструмента для автоматического поиска и взлома уязвимых IoT-устройств. Публикация таких программ в открытом доступе может значительно расширить круг

С начала 2018 г. наблюдается активный рост числа новых ботнетов из IoTустройств, что подтверждает прогнозы экспертов о заметном увеличении числа IoTзомби-сетей в 2018 г. Наиболее значимыми событиями с точки зрения информационной безопасности Интернета вещей стало появление нового ботнета Hide 'N Seek (HNS), а также обнаружение новых модификаций зловреда Mirai – вредоносного ПО OMG и WICKED.

Важные исследования: подробности о вредоносном ПО Triton В конце первого полугодия 2018 г. стали известны подробности о вредоносном ПО TRITON, которое вызвало сбой в работе системы противоаварийной защиты предприятия, атакованного в декабре прошлого года. Вредоносное ПО Triton создано специально для вмешательства в работу систем противоаварийной защиты Triconex Safety Instrumented System (SIS) от Schneider Electric. Известно, что для удаленного взаимодействия с Triconex при помощи среды программирования TriStation 1131 используется закрытый сетевой протокол TriStation. Анализ вредоносного ПО показал существенное совпадение во вредоносной программе и в программном файле TriStation tr1com40.dll специфичных строк, таких как, например, мнемонические названия команд протокола TriStation. Исходя из этого исследователи сделали вывод, что для реализации сетевого взаимодействия с Triconex разработчики Triton, по всей видимости, осуществили обратную разработку исполняемых файлов из состава TriStation 1131.

• 13


kasper 10/31/18 3:26 PM Page 14

СПЕЦРАЗДЕЛ

Рис. 3. География атак на системы промышленной автоматизации, первое полугодие 2018 г., процент атакованных компьютеров АСУ в стране

Рис. 4. Доля атакованных систем АСУ в различных регионах мира, второе полугодие 2017 г. и первое полугодие 2018 г. злоумышленников, использующих IoT-устройства для атак на компьютерные системы и сети.

Атаки программ-вымогателей

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур "Лаборатории Касперского" (Kaspersky Lab ICS CERT) – глобальный проект "Лаборатории Касперского", нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур.

14 •

Несмотря на глобальное уменьшение количества пользователей, атакованных программами-вымогателями, процент компьютеров АСУ, на котором были заблокированы атаки вымогателей, вырос с 1,2 до 1,6%. Хотя этот показатель и кажется не очень значительным, опасность такого рода вредоносных программ для промышленных предприятий трудно недооценивать после WannaCry и ExPetr. В первом полугодии вымогатели напомнили о себе опасной ситуацией, возникшей в медицинском учреждении в результате заражения вредоносным шифровальщиком. Согласно сообщениям СМИ, злоумышленники атаковали Федеральный центр нейрохирургии в Тюмени. В ходе атаки злоумышленникам удалось получить доступ к серверам, на которых располагались компоненты медицинской информационной системы "МЕДИАЛОГ", исполь-

зуемой в качестве базы данных для снимков, результатов анализов и другой информации, необходимой в процессе лечения пациентов. В результате в тот момент, когда необходимо было начать экстренную операцию на головном мозге 13-летней пациентки, обнаружилось, что система "МЕДИАЛОГ" недоступна, как позже выяснилось, из-за того, что файлы, необходимые для работы сервисов, были зашифрованы вредоносной программой. К счастью, медикам удалось успешно провести операцию, несмотря на потерю доступа к значимой информации о результатах диагностики. Центр нейрохирургии в Тюмени оказался не единственной жертвой данной серии атак. Установлено, что злоумышленники целенаправленно атаковали именно медицинские учреждения, при этом шифрованию подверглись исключительно файлы, находящиеся на серверах, которые обеспечивают работу сервисов, критически важных для работы организации. Это говорит о намерении причинить как можно больший ущерб рабочим процессам медицинской организации. Эта серия атак является ярким примером того, что злоумышленники могут не просто выводить из строя компьютерные системы медицинских учреждений, но и оказывать непосредственное влияние на процесс лечения пациентов.

Атаки на промышленные предприятия с использованием RAT Продуктами "Лаборатории Касперского" были предотвращены множественные попытки атак, направленные на технологическую сеть автомобилестроительной/сервисной компании, в частности на компьютеры, предназначенные для диагностики двигателей и бортовых систем грузовиков и тяжелой техники. По меньшей мере на одном из компьютеров в технологической сети компании был установлен и периодически использовался RAT. В течение нескольких месяцев на этом компьютере было заблокировано множество попыток запуска различных вредоносных программ, запускаемых через RAT. Среди прочих были заблоки-

рованы модификации вредоносного ПО, детектируемого как Net-Worm.Win32.Agent.pm. Примечательно, что в случае запуска данный червь незамедлительно начинает распространение по локальной сети, используя эксплойты для уязвимостей MS17-010 – те самые, которые были опубликованы ShadowBrokers весной 2017 г. и применялись в атаках нашумевших шифровальщиков WannaCry и ExPetr. Помимо этого было заблокировано вредоносное ПО семейства Nymaim. Представители этого семейства часто являются загрузчиками модификаций ботнет-агента семейства Necus, который, в свою очередь, часто используется для заражения компьютеров вымогателями семейства Locky. Основываясь на периодичности попыток запуска вредоносного ПО через RAT и других данных, мы полагаем, что эти аутентификации RAT были скомпрометированы и использовались злоумышленниками для атаки из Интернета на компьютеры данной организации. Наличие программ для удаленного администрирования (RAT) на компьютерах АСУ иногда является производственной необходимостью, однако они становятся очень опасными, если используются злоумышленниками или попадают под их контроль.

География Сравнение показателей различных регионов мира (рис. 4) демонстрирует, что: l страны Африки, Азии и Латинской Америки являются гораздо менее благополучными по проценту атакованных компьютеров АСУ, чем страны Европы, Северной Америки и Австралии; l показатели Восточной Европы заметно выше, чем Западной; l процент атакованных компьютеров АСУ в Южной Европе выше, чем в Северной и Западной Европе. Можно предположить, что такая ситуация связана с объемами средств, вкладываемых организациями в решения для защиты инфраструктуры. По оценкам аналитической компании IDC, в 2017 г. крупнейшими рынками ИБ с географической точки зрения являлись США и Западная Европа.


kasper 10/31/18 3:26 PM Page 15

www.itsec.ru

ЗАЩИТА АСУ ТП

Показатели стран внутри отдельных регионов могут значительно отличаться. Так, на фоне большинства стран Африки наиболее благополучная обстановка наблюдается в ЮАР, а среди стран Среднего Востока заметно лучше дело обстоит в Израиле и Кувейте.

Факторы, влияющие на кибербезопасность компьютеров АСУ Анализ соответствия процента атакованных компьютеров АСУ в каждой из стран и их позиций в рейтинге по уровню ВВП на душу населения продемонстрировал, что между этими показателями существует высокая положительная корреляция (c множественным коэффициентом корреляции R = 0,84 и коэффициентом значимости P < 0,001). За некоторыми исключениями в странах с высоким уровнем ВВП на душу населения (первые места в соответствующем рейтинге) процент атакованных компьютеров АСУ меньше, чем в странах с низким уровнем ВВП. Семь из десяти самых неблагополучных стран (рис. 5) по проценту атакованных компьютеров АСУ в 2017 г. не попали в первую сотню стран по уровню ВВП на душу населения. Высокий показатель процента атакованных компьютеров АСУ в развивающихся странах может быть связан с тем, что их промышленность относительно молодая. Как известно, зачастую при проектировании и введении в эксплуатацию индустриальных объектов первоочередное внимание уделяется экономическим аспектам их работы и физической безопасности технологического процесса, а обеспечению информационной безопасности ставится значительно более низкий приоритет. Вероятно, те несколько примеров, которые отмечены на диаграмме (рис. 6), – это некоторые страны, в которых доступные ресурсы используются для защиты промышленных активов от кибератак более (над пунктирной линией) или менее (под пунктирной линией) эффективно, чем в других странах. Чтобы оценить уровень вредоносной активности в разных странах, мы посчитали процент всех атакованных компьютеров (домашних, корпоративных пользователей и компьютеров

АСУ) в каждой стране (рис. 6). Обнаружили, что существует высокая положительная корреляция (c множественным коэффициентом корреляции R = 0,89 и коэффициентом значимости P < 0,001) между процентом атакованных компьютеров АСУ и показателем вредоносной активности в стране (процентом всех атакованных компьютеров). Эти данные согласуются с предположением, что компьютеры в инфраструктуре технологических сетей, сопряженные с корпоративной сетью и/или подключающиеся к Интернету даже эпизодически, в подавляющем большинстве случаев подвергаются атакам вредоносного ПО в той же мере, в которой им подвергаются такие традиционные для злоумышленников мишени, как офисные компьютеры организаций и частных лиц в той же стране. Отметим, что почти во всех странах, где в течение полугодия было атаковано не менее половины всех компьютеров АСУ (рис. 5), процент атакованных машин в инфраструктуре технологических сетей оказался выше, чем показатель по всем атакованным компьютерам в стране. Такая ситуация вызывает особую тревогу, учитывая, что, по данным Всемирного банка и Организации экономического сотрудничества и развития, восемь стран из этого списка – Индонезия, Китай, Индия, Иран, Саудовская Аравия, Мексика, Филиппины и Малайзия – в 2017 г. по объему промышленного производства вошли в топ-30.

Основные источники заражения Основные источники заражения компьютеров в технологической инфраструктуре организаций – Интернет, съемные носители и электронная почта. Интернет за последние годы стал основным источником заражения компьютеров технологической инфраструктуры организаций. Более того, процент компьютеров АСУ, на которых были заблокированы попытки загрузки вредоносного ПО из Интернета, доступ к известным вредоносным и фишинговым Web-ресурсам, фишинговые письма и вредоносные вложения, открываемые в почтовых Web-сервисах через браузер, растет.

Рис. 5. Топ-20 стран по проценту атакованных компьютеров АСУ, первое полугодие 2018 г.

Рис. 6. Процент атакованных компьютеров АСУ в стране (ось X) и ее место в рейтинге стран по ВВП на душу населения (ось Y), первое полугодие 2018 г. Если год назад, в первом полугодии 2017 г., Интернет стал источником угроз, заблокированных на 20,6% компьютеров АСУ, с которых мы получаем обезличенную статистику, то в первом полугодии 2018 г. – уже на 27,3% (рис. 7). Современные технологические сети трудно назвать изолированными от внешних систем. В настоящее время сопряжение технологической сети с корпоративной сетью необходимо как для управления производством, так и для администрирования промышленных сетей и систем. Вынужденной необходимостью может быть и доступ к Интернету из технологической сети, например, для сопровождения и технической поддержки систем промышленной автоматизации сотрудниками организацийподрядчиков. Компьютеры подрядчиков, разработчиков, интеграторов, системных/сетевых администраторов, которые подключаются к технологической сети обслуживаемого предприятия извне (напрямую или удаленно) и при этом часто имеют свободный доступ к

Если год назад, в первом полугодии 2017 г., Интернет стал источником угроз, заблокированных на 20,6% компьютеров АСУ, с которых ЛК получали обезличенную статистику, то в первом полугодии 2018 г. – уже на 27,3%.

• 15


kasper 10/31/18 3:26 PM Page 16

СПЕЦРАЗДЕЛ

Рис. 7. Основные источники угроз, заблокированных на компьютерах АСУ (процент атакованных компьютеров АСУ по полугодиям)

Рис. 8. Классы вредоносного ПО, процент атакованных компьютеров АСУ, первое полугодие 2018 г.

Основная проблема, связанная с работой вредоносных программ-майнеров, заключается в увеличении нагрузки на промышленные информационные системы, что может оказаться неприемлемым для систем промышленной автоматизации – угрожать стабильности их функционирования и снижать уровень контроля за технологическим процессом

Интернету, также могут быть одним из каналов проникновения вредоносного ПО в технологические сети. Кроме того, такой канал создают подключения к Интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB-модемов и/или Wi-Fi-роутеров с поддержкой 3G/LTE). Второе и третье места среди наиболее распространенных источников заражения промышленных сетей заняли съемные носители информации и почтовые клиенты соответственно. Показатели по этим источникам заражений за полугодие изменились незначительно. Показатели по остальным источникам заражений не превышают 1% и остались на уровне прошлого полугодия.

предприятия.

Рекомендации Для противодействия угрозам, описанным в данном отчете, мы рекомендуем принять ряд мер по обеспечению информационной безопасности. Предлагаемый список мер приведен в порядке, который, по опыту наших специалистов, соответствует убыванию соотношения их важности и сложности реализации.

16 •

Список не следует считать исчерпывающим. При его составлении мы ориентировались на проблемы информационной безопасности промышленных предприятий и систем промышленной автоматизации, обнаруженные и проанализированные нами в ходе исследований, проделанных в течение отчетного периода. Так, он не включает такие меры, как конфигурация межсетевого экрана для запрета обращения извне технологической сети по протоколам, используемым для автоматизации технологического процесса, и запрет прямого обращения к узлам технологической сети из Интернета. Основываясь на результатах проделанных нами аудитов и тестирования технологических сетей промышленных предприятий на проникновение, мы считаем, что подавляющее большинство организаций подобные меры уже применяют на практике.

Меры, не требующие организационных изменений, дополнительного персонала, корректировки бизнес- и производственных процессов, существенных изменений информационных систем Эти меры помогают сделать первый шаг на пути к защите технологических объектов предприятия. По нашему мнению, эти меры применимы для большинства организаций, вне зависимости от уровня зрелости их процессов обеспечения информационной безопасности. 1. Защитить все узлы промышленной сети от вредоносных атак при помощи средств антивирусной защиты: l убедиться, что все основные компоненты защиты включены и функционируют; l из области защиты не исключать каталоги ПО АСУ ТП, системные каталоги ОС, профили пользователей; l по возможности не использовать исключения из проверки вообще; l добиться частоты обновления антивирусных баз не реже одного раза в день. Желательно обновлять базы в соответствии с рекомендациями производителя средств защиты; l убедиться, что настроена автоматическая проверка съемных носителей при их подключении;

l при возможности настроить оперативное получение актуальных вердиктов из антивирусного облака производителя. 2. Настроить правила сетевых экранов на границе технологической сети: l запретить обращения к службам предоставления удаленного доступа к объектам файловой системы, таким как SMB/CIFS и/или NFS (актуально в случае атак на системы под управлением ОС Linux); l настроить правила контроля использования средств удаленного администрирования. Создать белый список адресов, с которых возможен удаленный доступ к системам в технологической сети. Убедиться, что в этот список входят только адреса доверенных ресурсов и исключены облачные инфраструктуры производителей средств администрирования, прочие недоверенные и неизвестные адреса; l запретить использование внешних почтовых сервисов внутри технологической сети; l запретить использование внешних почтовых сервисов HTTP/HTTPS; l запретить использование социальных сетей; l запретить использование облачных файловых хранилищ; l запретить использование торрентов. 3. Настроить защиту от спамовых и фишинговых рассылок на границе и внутри корпоративной сети: l добиться частоты обновления антиспамовых и антифишинговых средств с частотой, рекомендованной производителем; l при возможности настроить подключение к облачному сервису оперативной передачи вердиктов производителя. 4. Настроить антивирусную защиту на периметре сети организации и контроль обращения к вредоносным и потенциально опасным интернет-ресурсам. 5. Провести аудит использования почты внутри технологической сети: l запретить использование внешних почтовых сервисов на компьютерах технологической сети средствами антивирусной защиты; l по возможности запретить использование корпоративной почты внутри технологической сети, удалить установленные почтовые клиенты либо запретить их запуск средствами контроля запуска приложений;


kasper 10/31/18 3:26 PM Page 17

www.itsec.ru

ЗАЩИТА АСУ ТП

l отключить использование сервиса mailto. 6. Провести аудит использования папок общего доступа внутри технологической сети: l отключить все сетевые папки общего доступа, не обусловленные производственной необходимостью; l отключить сервисы удаленного доступа к файловой системе SMB/CIFS и NFS там, где в них нет производственной необходимости. 7. Провести аудит использования сторонних средств удаленного администрирования внутри технологической сети, таких как VNC, RDP, TeamViewer RMS/Remote Utilities. Удалить все средства удаленного администрирования, не обусловленные производственной необходимостью. 8. Отключить средства удаленного администрирования, поставляемые вместе с ПО АСУ ТП (обратитесь к документации на соответствующее ПО за детальными инструкциями), если в их использовании нет производственной необходимости. 9. Провести аудит использования в технологической сети прочего ПО, которое существенно увеличивает поверхность атаки систем АСУ. В случае если использование этого ПО не обусловлено технологической необходимостью, деинсталлировать его. Особое внимание уделить следующим типам ПО: l интернет-браузеры; l клиенты социальных сетей; l почтовые клиенты; l ПО MS Office; l ПО Adobe; l Java Runtime; l медиапроигрыватели; l скриптовые интерпретаторы типа Perl, Python, PHP; l нелицензионное "поломанное" ПО – оно часто содержит закладки и инфицировано. 10. Выключить Windows Script Host, если его запуск не требуется для работы ПО АСУ ТП и не обусловлен другой производственной необходимостью. 11. При возможности ограничить использование привилегий SeDebugPrivilege для локальных администраторов систем промышленной сети предприятия при помощи групповых политик домена Windows (может требоваться для работы некоторого ПО, например MS SQL Server, –

обратитесь к документации производителей соответствующих систем).

Меры, рассчитанные на организации с высоким уровнем зрелости в области ИБ Применение этих мер для недостаточно зрелых организаций может потребовать существенных временных либо ресурсных затрат, налаживания новых процессов киберзащиты, изменений штатного расписания, а также осложняться прочими обстоятельствами. 1. Наладить процесс обучения персонала предприятия кибергигиене: l организовать курсы повышения квалификации для сотрудников по теме кибербезопасности, чтобы повысить осведомленность персонала о современных угрозах: целях, технических методах и схемах реализации атак на промышленные организации, опасностях, которые представляют атаки для бизнес- и технологических процессов, методов защиты от атак и предотвращения инцидентов; l организовать периодические тренинги по теме киберугроз и способов защиты с учетом изменения ландшафта угроз и тренинги для новых сотрудников. Рассмотреть возможность использования тренинговых платформ (онлайн или развернутых внутри предприятия), вебинаров, записей предыдущих тренингов для повышения доступности тренингов для сотрудников предприятия; l внедрить практику коротких инструктажей персонала по теме защиты от киберугроз; l обеспечить сотрудников предприятия соответствующими информационными материалами: плакатами, буклетами и прочим, напоминающими о необходимости защиты от киберугроз; l организовать регулярные учения по кибербезопасности и проверку знаний сотрудников в этой области. 2. Организовать службу информационной безопасности и киберзащиты промышленных информационных систем: l назначить ответственного за киберзащиту информационных систем технологической сети; l сделать защиту технологической сети частью общего процесса обеспечения ИБ предприятия; l наладить эффективную работу различных горизонтальных

Рис. 9. Основные платформы, используемые вредоносным ПО, второе полугодие 2017 г. и первое полугодие 2018 г., процент атакованных компьютеров АСУ

Рис. 10. Типы приложений, атакуемых эксплойтами, процент атакованных компьютеров АСУ и вертикальных подразделений и служб организации – инженеров, операторов, ИТ, ИБ – для защиты от кибератак; l наладить эффективные коммуникации по вопросам киберзащиты с производителями средств автоматизации и производителями средств защиты; l организовать процесс реагирования на инциденты ИБ в технологической сети. 3. Ввести практику регулярных аудитов состояния ИБ информационных систем технологической сети: l инвентаризация запущенных сетевых служб на всех узлах технологической сети; по возможности остановить (лучше отключить/удалить) уязвимые сетевые службы (если это не нанесет ущерба непрерывности технологического процесса) и остальные службы, не требующиеся для непосредственного функционирования системы автоматизации. Особое внимание обратить на службы SMB/CIFS, NBNS, LLMNR; l аудит разграничения доступа к компонентам АСУ ТП, постараться добиться максимальной гранулярности доступа; l аудит сетевой активности внутри промышленной сети предприятия и на ее границах.

Почти во всех странах, где в течение полугодия было атаковано не менее половины всех компьютеров АСУ (рис. 5), процент атакованных машин в инфраструктуре технологических сетей оказался выше, чем показатель по всем атакованным компьютерам в стране. Такая ситуация вызывает особую тревогу, учитывая, что, по данным Всемирного банка и Организации экономического сотрудничества и развития, восемь стран из этого списка – Индонезия, Китай, Индия, Иран, Саудовская Аравия, Мексика, Филиппины и Малайзия – в 2017 г. по объему промышленного производства вошли в топ-30.

• 17


kasper 10/31/18 3:26 PM Page 18

СПЕЦРАЗДЕЛ Первый шаг на пути к защите технологических объектов предприятия 1. Защитить все узлы промышленной сети от вредоносных атак при помощи средств антивирусной защиты. 2. Настроить правила сетевых экранов на границе технологической сети. 3. Настроить защиту от спамовых и фишинговых рассылок на границе и внутри корпоративной сети. 4. Настроить антивирусную защиту на периметре сети организации и контроль обращения к вредоносным и потенциально опасным интернет-ресурсам. 5. Провести аудит использования почты внутри технологической сети. 6. Провести аудит использования папок общего доступа внутри технологической сети. 7. Провести аудит использования сторонних средств удаленного администрирования внутри технологической сети, таких как VNC, RDP, TeamViewer RMS/Remote Utilities. Удалить все средства удаленного администрирования, не обусловленные производственной необходимостью. 8. Отключить средства удаленного администрирования, поставляемые вместе с ПО АСУ ТП, если в их использовании нет производственной необходимости. 9. Провести аудит использования в технологической сети прочего ПО, которое существенно увеличивает поверхность атаки систем АСУ. 10. Выключить Windows Script Host, если его запуск не требуется для работы ПО АСУ ТП и не обусловлен другой производственной необходимостью. 11. При возможности ограничить использование привилегий SeDebugPrivilege для локальных администраторов систем промышленной сети предприятия при помощи групповых политик домена Windows.

18 •

Устранить не обусловленные производственной необходимостью сетевые соединения с внешними и смежными информационными сетями; l аудит безопасности организации удаленного доступа к промышленной сети; обратить особое внимание на соответствие организации демилитаризованных зон требованиям информационной безопасности; l аудит политики и практики использования съемных носителей информации и портативных устройств. Не допускать подключения к узлам промышленной сети устройств, предоставляющих нелегитимный доступ к внешним сетям и Интернету. По возможности отключить соответствующие порты или контролировать доступ к ним правильно настроенными специальными средствами; l аудит учетных записей и парольной политики. Пользовательские и сервисные учетные записи должны иметь только те права, которые требуют рабочие необходимости. Число учетных записей пользователей с административными правами должно быть максимально ограничено. Должны использоваться сложные пароли (не менее девяти символов, различного регистра, дополненные цифрами и специальными символами; пароли не должны состоять из словарных слов), обязательная смена пароля должна быть задана доменной политикой, например, каждые 90 дней. По возможности следует отказаться от использования небезопасных алгоритмов аутентификации, таких как NTLM, в пользу более безопасных NTLMv2 и Kerberos. 4. Наладить процесс своевременного устранения уязвимостей безопасности систем технологической сети: l получить доступ к источникам информации об уязвимостях, обнаруженных в продуктах АСУ ТП, сетевых устройствах и общих компонентах, наладить процесс обработки и анализа такой информации; l внедрить процесс регулярной проверки на уязвимости систем, развернутых в технологической сети и на ее периметре. Подумать о внедрении специализированных средств обнаружения уязвимостей систем технологической сети;

l регулярно устанавливать обновления операционной системы, прикладного ПО и средств защиты на системы, работающие в технологической сети предприятия; l своевременно устанавливать обновления прошивок устройств автоматизированного управления и средств противоаварийной защиты. 5. Использовать следующие специализированные технологии автоматических средств защиты. Как правило, это требует тонкой настройки, тщательного тестирования и развитых процессов мониторинга и реагирования на инциденты ИБ: l настроить контроль запуска программ в режиме белых списков (обычно входит в состав решений по антивирусной защите узлов технологической сети). Там, где это невозможно, настроить контроль запуска программ в режиме мониторинга и уведомления ответственного за ИБ; l внедрить специализированные средства (могут входить в состав решений по антивирусной защите узлов технологической сети) обеспечения целостности компьютеров – критических областей и конфигурации ОС и прикладного ПО, в особенности ПО АСУ ТП. Там, где это невозможно, настроить контроль целостности в режиме мониторинга и уведомления ответственного за ИБ; l настроить контроль подключения внешних устройств (USB-носителей, мобильных телефонов и пр.); l включить компоненты Hostbased Intrusion Prevention System (HIPS) из состава средств антивирусной защиты; l внедрить средства автоматической инвентаризации и контроля подключения устройств к технологической сети. Требует привлечения квалифицированных специалистов для мониторинга и реакции на обнаруженные инциденты; l внедрить специализированные средства мониторинга сетевого трафика и обнаружения сетевых аномалий и компьютерных атак в индустриальных сетях. В большинстве случаев применение подобных мер не требует внесения изменений в состав и конфигурацию средств АСУ ТП и может быть произведено без остановки их работы. Однако для эффективного

использования таких средств, скорее всего, потребуется выделенный высококвалифицированный персонал, интеграция с прочими средствами обнаружения аномалий и развитые процессы обеспечения ИБ технологической и корпоративной сети. 6. Внедрить специализированные средства регистрации и автоматизации процедуры обработки инцидентов ИБ в технологической сети предприятия. 7. Наладить процесс получения и обработки информации об актуальных угрозах: l специализированных аналитических отчетов о новых выявленных атаках и вредоносных кампаниях, нацеленных на промышленные предприятия; l отчетов об исследованиях тактик, методов и средств (TTP), используемых известными группировками злоумышленников в атаках на промышленные организации; l аналитических отчетов об исследовании ландшафта угроз, представляющих опасность для промышленных предприятий; l индикаторов компрометации узлов технологической сети; Это может помочь своевременно и правильно среагировать на новую атаку и предотвратить инцидент.

Меры, которые потребуют существенных изменений в конфигурации и топологии технологической сети и сопряжены с прочими существенными модификациями информационных систем предприятия 1. Понимая, что полностью изолировать технологическую сеть от смежных сетей чаще всего невозможно, для организации более безопасного удаленного доступа к системам автоматизации и передачи данных между технологической и другими сетями, имеющими различные уровни доверия, мы рекомендуем: l системы, имеющие постоянную или регулярную связь с внешними сетями (мобильные устройства, VPN-концентраторы, терминальные серверы и пр.) изолировать в отдельный сегмент внутри технологической сети – демилитаризованную зону (DMZ);


kasper 10/31/18 3:26 PM Page 19

www.itsec.ru

ЗАЩИТА АСУ ТП

l системы в демилитаризованной зоне разделить на подсети или виртуальные подсети (VLAN) и разграничить доступ между подсетями (разрешить только необходимые коммуникации); l весь необходимый обмен информацией между промышленной сетью и внешним миром (включая корпоративную офисную сеть предприятия) осуществлять только через DMZ; l при необходимости в DMZ можно развернуть терминальные серверы, позволяющие использовать методы обратного подключения (из технологической сети в DMZ); l для доступа к технологической сети извне использовать тонкие клиенты (применяя методы обратного подключения); l не разрешать доступ из демилитаризованной зоны в технологическую сеть; l ограничить сетевой трафик по используемым портам и протоколам на пограничных маршрутизаторах между сетью организации и сетями других компаний (если имеется передача информации из технологической сети одной компании в другую); l если бизнес-процессы предприятия допускают возмож-

ность однонаправленных коммуникаций, рекомендуем рассмотреть возможность использования дата-диодов. 2. Перед развертыванием и вводом в строй новых систем и компонентов АСУ ТП рекомендуем проводить их тестирование на предмет соответствия требованиям безопасности, включая поиск известных и новых уязвимостей, – как часть процесса аттестации новых компонентов АСУ ТП. Это позволит существенно сократить затраты на обеспечение ИБ систем после их внедрения. 3. При прочих равных рекомендуем отдавать предпочтение продуктам, производители которых ставили безопасность во главу угла при разработке архитектуры своих продуктов, например используя подход правильного разделения доменов безопасности и реализуя принципы MILS (Multiple Independent Layers of Security). 4. Для защиты от атак типа "человек посредине" рекомендуем рассмотреть настройку криптостойкого шифрования трафика внутри и на границе технологической сети, как минимум там, где это позволяют используемое оборудование, особенности биз-

нес- и технологического процесса предприятия. 5. В ряде случаев можно настроить шифрование трафика между компонентами технологической сети, даже если эта функциональность не поддерживается соответствующим оборудованием, при помощи дополнительных средств. Рекомендуем проконсультироваться с производителем ваших систем автоматизации. 6. Для доступа персонала к системам технологической сети желательно настроить использование двухфакторной аутентификации. 7. Для упрощения поддержки процедур и процессов аутентификации и шифрования рекомендуем развернуть инфраструктуру PKI. 8. Для снижения рисков атак через цепочку поставщиков и подрядчиков (Supply Chain) рекомендуем рассмотреть возможность внедрения политики, механизмов и процедур контроля подключения устройств (например, ноутбуков подрядчиков и инженеров) к технологической сети. l

Полная версия исследования доступна по ссылке: https://ics-cert.kaspersky.ru/ reports/2018/09/06/threatlandscape-for-industrial-automation-systems-h1-2018/

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

ДЕЛОВАЯ ПРОГРАММА ЭКСПОЗИЦИЯ

ДЕМО-ЗОНЫ ТЕМАТИЧЕСКИЕ КОНФЕРЕНЦИИ

МАСТЕР КЛАССЫ АНАЛИТИКА

МОНИТОРИНГ И РЕАГИРОВАНИЕ

THE FUTURE

БЕЗОПАСНОСТЬ ДАННЫХ

ВИРТУАЛИЗАЦИЯ

УПРАВЛЕНИЕ ДОСТУПОМ

БЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ

21– 23 Ноября 2018 Москва, КВЦ "Сокольники"

СИСТЕМ АВТОМАТИЗАЦИИ И УПРАВЛЕНИЯ

КРИПТОГРАФИЯ • 19


positive 11/2/18 6:22 PM Page 20

СПЕЦПРОЕКТ

АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies

О

бсуждение вопросов, связанных с ФЗ-187 и приказом № 239, все больше переходит в практическое русло: уже есть понимание, какие шаги необходимо сделать предприятиям в ближайшие несколько лет, и уже вполне можно обсуждать практические аспекты реализации требований по обеспечению защиты. Если не технических, то организационных и компенсирующих – точно. Потому что именно они дают возможность закрыть больше половины требований по обеспечению безопасности объектов КИИ, не прибегая к инвестициям в технические средства защиты.

Тем не менее ряд мер и требований реализовать без применения технических средств достаточно сложно. А если объект КИИ включает системы промышленной автоматизации и АСУ ТП, задача применения дополнительных технических средств усложняется в разы. К примеру, если взять небольшой перечень мер, обязательных к реализации для объектов КИИ всех трех категорий значимости, таких как АУД.4 (регистрация событий безопасности), АУД.7 (мониторинг безопасности), ИНЦ.1 (выявление компьютерных инцидентов), ИНЦ.2 (информирование о компьютерных инцидентах), ИНЦ.3 (анализ компьютерных инцидентов)1, то простой вопрос "Как это технически реализовать в АСУ ТП?", как правило, остается без ответа.

Рис. 1. Интерфейс сенсора PT Industrial Security Incident Manager (PT ISIM)

АСУ ТП – это сложно На этом всем известном факте зиждется общепринятое мнение о том, что простых и эффективных решений в области кибербезопасности АСУ ТП не бывает. Слишком много интересов и зон ответственности пересекается при соприкосновении областей кибербезопасности, промышленной автоматизации и информационных технологий. А ужесточение требований регуляторов и отсутствие решений, позволяющих их закрыть, усложняет и без того непростой процесс принятия решений. Специалистам Positive Technologies, имеющим многолетнюю экспертизу в области исследований защищенности АСУ ТП, вопрос сложности решений безопасности в этой области также был всегда очевиден. Но ровно до тех пор, пока они не поставили сами себе амбициозную цель – дать рынку простое решение сложных задач. В 2016 г. компанией была выпущена первая версия решения Industrial Security Incident Manager (PT ISIM). Решение было ориентировано на выявление инцидентов и кибератак на системы управления технологическими процессами и стало первым в мире решением такого класса, применяемым на системах централизации управления железнодорожным транспортом.

Сегодня продукт представляет собой систему мониторинга защищенности и управления инцидентами кибербезопасности технологических сетей и систем промышленной автоматизации. Но не только. Помимо непосредственного выявления инцидентов и кибератак, PT ISIM выполняет автоматическую инвентаризацию сети, контролирует все информационное взаимодействие между компонентами АСУ ТП, выявляет попытки неавторизованного управления как самой АСУ ТП, так и непосредственно технологическим процессом. Кроме того, анализируемые и хранимые в нем данные можно использовать при проведении расследований инцидентов. А осенью 2018 г., развивая идею простого решения сложных задач безопасности АСУ ТП, компания выпустила бесплатную версию PT ISIM – PT ISIM freeView Sensor.

Инструмент для любой АСУ ТП Набор функциональных возможностей коммерческой версии PT ISIM позволяет эффективно ее использовать в АСУ ТП независимо от того, на какой платформе она построена. Например: l обеспечение безопасности самого технологического процесса: архитектура пассивного мониторинга PT ISIM исключает нежелательное воздействие на технологический процесс;

1 Список мер по обеспечению безопасности КИИ, определенный приказом ФСТЭК № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

20 •


positive 11/2/18 6:22 PM Page 21

www.itsec.ru

ЗАЩИТА АСУ ТП

l инвентаризация и контроль целостности сети АСУ ТП: PT ISIM в режиме автоматического обучения инвентаризирует элементы сети АСУ ТП, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети; l визуализация инцидентов: за счет удобных средств графического отображения элементов сетевой топологии

l учет специфики предприятия: с помощью PT ISIM можно контролировать векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате анализа защищенности АСУ ТП предприятия. В состав PT ISIM входят удобные средства конфигурирования уникальных для защищаемого объекта правил обнаружения атак;

Рис. 2. Интерфейс сервера консолидации и управления PT Industrial Security Incident Manager (PT ISIM) и технологического процесса (мнемосхем) PT ISIM позволяет визуализировать инциденты информационной безопасности, в том числе на уровне бизнес-логики технологического процесса; l обнаружение сложных атак: PT ISIM анализирует события информационной безопасности и связывает их в логические цепочки. Цепочка событий позволяет наглядно представить развитие инцидента во времени и в нужный момент принять меры по предотвращению угрозы. Таким образом, в отличие от аналогичных средств, использующих только классический сигнатурный подход, PT ISIM эффективно выявляет и длительные многоэтапные атаки; l оперативное реагирование на инциденты ИБ: в случае возникновения инцидента PT ISIM предоставляет ответственным сотрудникам информацию, соответствующую их полномочиям. Оперативный персонал располагает минимальным набором инструментов, необходимых для поддержки административных регламентов, а служба ИБ получает полный доступ к информации об инцидентах для их расследования;

l соответствие требованиям промышленной среды: физические условия эксплуатации в промышленности бывают крайне агрессивными. Промышленное исполнение компонентов PT ISIM подбирается с учетом специфики отрасли и защищаемого предприятия. И еще одно важное преимущество, которое дает PT ISIM, – это простота его ввода в эксплуатацию. Для того чтоб решение начало работать, на его сенсор необходимо лишь направить копию сетевого трафика технологической сети. Опыт показывает, что практические результаты работы PT ISIM демонстрирует уже в течение нескольких часов после первого включения, при этом оставаясь абсолютно безопасным для самих АСУ ТП.

Из АСУ ТП в SOC В разрезе необходимости объектам КИИ реализовать предписанные меры защиты и обеспечивать взаимодействие с центрами ГосСОПКА для большинства промышленных предприятий становится все более очевидной необходимость создания Security Operations Center или внедрение как минимум систем класса SIEM для обеспечения централизо-

ванного мониторинга инцидентов безопасности. К сожалению, совместное использование АСУ ТП и систем класса SIEM имеет ряд существенных ограничений: l сегодня SIEM не смотрят в АСУ ТП, для них это "слепая зона"; l в АСУ ТП очень мало источников, с которых SIEM получают и в обозримом будущем будут получать события безопасности; l в АСУ ТП огромное количество событий, для которых крайне сложно написать правила корреляции в SIEM для корректного выявления инцидентов; l SIEM не инвентаризируют АСУ ТП (а это требует тот же ФЗ-187); l SIEM не умеют обрабатывать трафик сетей АСУ ТП, тогда как огромная часть событий и инцидентов выявляются именно в нем; l и главное – сегодня и в обозримом будущем SIEM по ряду причин не будут коррелировать события АСУ ТП в инциденты с учетом их прикладного значения, тогда как основной объем инцидентов, имеющих критичное значение для специалистов АСУ ТП, происходит в основном на прикладном уровне систем. PT ISIM как источник информации об инцидентах безопасности АСУ ТП сетевого и прикладного уровня для систем класса SIEM, Incident Management и других дает возможность решить все эти задачи. Важным является тот факт, что в SIEM передаются именно инциденты, а не события, требующие дополнительной интерпретации и корреляций. Такое решение позволяет практически в один прыжок преодолеть ограничения, обозначенные выше, и перейти от сложного проектирования и переконфигурирования технологической сети практически сразу к реализации процессов выявления, управления и реагирования на инциденты кибербезопасности АСУ ТП. l

PT ISIM freeView Sensor предназначен для решения базовых задач мониторинга ИБ АСУ ТП, бесплатен, не требует сложной настройки и специфической экспертизы при использовании. Решение предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования коммутатора сети АСУ ТП. Система анализирует собранный трафик, производит инвентаризацию ресурсов и позволяет выявлять различные нарушения и аномалии при ежедневном использовании. Общее время, необходимое для скачивания PT ISIM freeView Sensor с официального сайта и запуска, составляет считанные минуты. Продукт идеально подходит для знакомства с PT ISIM, а переход к использованию более функциональных версий продукта (netView Sensor и proView Sensor) занимает минимальное время.

NM АДРЕСА И ТЕЛЕФОНЫ компании POSITIVE TECHNOLOGIES см. стр. 56

• 21


krugly_stol 11/2/18 6:22 PM Page 22

СПЕЦПРОЕКТ

Актуальные вопросы защиты АСУ ТП

В

ирус Petya/NotPetya в 2017 году был примером того, насколько крупный бизнес может пострадать от такого рода атаки. Компании и госструктуры подсчитывают потенциальные убытки, которые могут понести в случае, если не будут готовы к внезапному вторжению в свою экосистему. Поэтому тема безопасности сегодня особенно актуальна, если речь идет об объектах инфраструктуры, от которых напрямую зависит жизнедеятельность целых городов, отдельных регионов, а то и всей страны. Какие существуют типовые проблемы безопасности АСУ ТП, повлияет ли 187-ФЗ на зрелость процессов обеспечения ИБ в промышленности и в чем сложность реализации защиты АСУ ТП? На эти и другие вопросы редакции ответили эксперты информационной безопасности: Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ, ЕВРАЗ Игорь Тарви, ведущий архитектор систем безопасности АСУ ТП, АО “ДиалогНаука”

– Что вы можете сказать об актуальной специфике защиты АСУ ТП? Дмитрий Даренский – Сегодня основная проблема при обеспечении безопасности АСУ ТП связана с распределением зон ответственности на предприятиях. За АСУ ТП, как правило, отвечают службы эксплуатации, основная задача которых – функциональная безопасность. Риски АСУ ТП с точки зрения информационной безопасности исторически не учитываются. Отсутствует и опыт минимизации этих угроз, и понимание их опасности. А ИБ-специалисты, если они есть в штате, на предприятии заняты защитой офисной ИТ-инфраструктуры. Для решения этой проблемы сегодня на некоторых промышленных объектах создаются объединенные группы, состоящие из специалистов по эксплуатации и информационной безопасности, либо ИБ-специалисты

Партнер "Круглого стола" 22 •

включаются в штат службы эксплуатации. И это положительная тенденция, на наш взгляд. Наибольшее понимание проблем ИБ сейчас мы видим у металлургов, а самая консервативная пока отрасль по вполне понятным причинам – энергетика. Несмотря на огромный объем работы, которую делаем мы и другие компании, развитие направления информационной безопасности в АСУ ТП здесь идет довольно медленно.

Андрей Нуйкин – В настоящий момент актуальны вопросы разделения корпоративных и технологических сетей, выявление всех потоков информации и организация правильных настроек безопасности. Вопрос разделения сетей достаточно сложен в связи с тем, что технологические системы крайне сложно менять и простая смена адресации может быть практически невыполнима. Множество тонкостей также возникает при защите MESсистем.

Игорь Тарви – Защита АСУ ТП – это отдельная область информационной безопасности, которая накладывает определенную специфику. В каждом случае от специалистов по защите требуется серьезное погружение в технологические процессы защищаемых систем. Оборудование, входящее в состав АСУ ТП, порой уникально, предназначено для выполнения конкретных целей и спроектировано для решения определенных задач. В АСУ ТП также могут применяться уникальные технологические протоколы. Зачастую в ходе построения системы защиты возникает необходимость взаимодействия с разработчиками АСУ ТП, тестирования на их стендах предлагаемых заказчикам программно-аппаратных средств защиты, получения подтверждения о совместимости продуктов. При этом не редкость, когда разработчик не отечественный, а документацию на систему нельзя назвать исчерпывающей.

www.dialognauka.ru


krugly_stol 11/2/18 6:22 PM Page 23

www.itsec.ru

ЗАЩИТА АСУ ТП

– Какие существуют типовые проблемы безопасности АСУ ТП? Дмитрий Даренский – Наибольшая угроза связана с действиями сотрудников, имеющих доступ к АСУ ТП. Это могут быть специалисты по эксплуатации, администраторы, инженеры, подрядчики, аутсорсеры и т.д. При этом их действия зачастую связаны с выполнением должностных обязанностей. Это может быть, к примеру, скачанный с торрентов и установленный на контроллер файл прошивки или USB-модем, необходимый для того, чтобы работать с системой удаленно. Антивирусные решения на рабочих станциях SCADA могли быть установлены несколько лет назад и при этом быть ни разу не обновленными. Причем все это может существовать в рамках "устоявшейся практики" на отдельно взятом предприятии. Одна учетная запись на 20 инженеров – практически классика нашего АСУ ТП. В некоторых случаях запрос пароля просто отключен. Причина вполне объяснима: в случае аварии дежурные инженеры должны иметь доступ ко всем системам. Однако такая ситуация существенно упрощает работу злоумышленнику и снижает персональную ответственность. Есть кейс, когда на предприятии была остановлена технологическая установка на 10 мин в связи с установкой некорректной конфигурации контроллера (отмечу, что время простоя на предприятии всегда имеет четкий расчет финансовых и материальных потерь). При этом два инженера использовали одну учетную запись. В данном случае на объекте был только один из них, поэтому виновника определить удалось, а вот если бы присутствовали оба – ответственность могли бы понести также оба (один из них незаслуженно), которая, к слову, может быть как материальной (если это прописано в трудовом договоре), так и уголовной.

Андрей Нуйкин – Отсутствие четкой границы между корпоративными и технологическими сегментами. Наличие настроек по умолчанию, например учетные записи с паролем по умолчанию. Отсутствие обновлений ОС и ИС в технологической сети.

Партнер "Круглого стола"

Игорь Тарви – При реализации проектов по построению систем защиты АСУ ТП встречается ряд типовых проблем, носящих системный характер: l отсутствие на объектах заказчиков специалистов по защите с необходимой квалификацией; l фокусировка на задачах обеспечения безопасности корпоративного сегмента сети и отсутствие внимания к технологическому аспекту, в силу недостаточных знаний об архитектуре и функционировании АСУ ТП или недостаточной вовлеченности специалистов в технологические процессы (как следствие, во многих компаниях подход к защите АСУ ТП ограничивается исключительно защитой периметра технологической сети и, возможно, установкой антивирусных средств); l применение в системах АСУ ТП средств защиты корпоративного уровня, которые могут негативно повлиять на технологический процесс в силу их неприспособленности к специфической среде функционирования и не учитывающие особенности реализации технологических процессов.

– Нас уже несколько лет пугают четвертой промышленной революцией. Что это такое и сделает ли она АСУ ТП безопасней? Дмитрий Даренский – Представим, что вы выбираете автомобиль на сайте: цвет кузова, обивка сидений, тип коробки и колесных дисков. Сегодня эти данные уходят дилеру, а затем по длинной цепочке и с участием большого количества людей – на предприятие. Цифровая революция в промышленности (в идеальном виде) предполагает автоматизацию этой цепочки: ваш заказ будет сразу идти в системы управления складскими запасами, производственными линиями и т.д. Разумеется, у злоумышленников в этом случае появляется множество вариантов для атаки, от поддельного заказа на тысячу розовых автомобилей (условно) до блокировки сайта и остановки производственной линии. Недоступен сайт – значит, заказчики не могут заказать автомобили, так как вся остальная цепочка автоматизирована. Остановилась линия – тоже понятно, что это беда.

С развитием цифровизации "всего" окончательно канет в Лету миф об изолированности технологической сети, и ее придется все-таки защищать от кибератак. Уже сегодня, если хакер изменит параметры, скажем, пастеризации молока, то завод может успеть изготовить тонны некачественной продукции до того момента, когда это будет обнаружено. В фармацевтике, если отдел качества пропустит факт нарушения рецептуры, такая атака может привести к наличию пострадавших от некачественных или даже опасных лекарств. Последствия и для потребителей, и для самого предприятия настолько серьезные, что их даже объяснять не стоит.

Андрей Нуйкин – Мне кажется, что тема Internet of Things станет такой революцией. Однако на сегодня эта тема скорее ухудшает безопасность, так как нет четких требований по обеспечению безопасности при работе с подобными устройствами.

Игорь Тарви – Вопросы возможности перехода к Индустрии 4.0 – внедрению технологий сбора и обработки больших объемов данных (BigData), использованию облачных технологий и технологии распределенного реестра – возникают все чаще, в основном в контексте обеспечения более эффективного управления предприятием, при этом такие кардинальные изменения, естественно, не смогут не отразиться на АСУ ТП. Привлечение в производство современных технологий изменяет не только архитектуру АСУ ТП, но и ландшафт потенциальных угроз, образуя новые. Если ранее АСУ ТП функционировали

www.dialognauka.ru • 23


krugly_stol 11/6/18 12:51 PM Page 24

СПЕЦПРОЕКТ автономно, то теперь, под влиянием бизнес-процессов, появляется острая необходимость объединения их в общую технологическую сеть, организации их взаимодействия как между собой, так и с общим центром. Зачастую при организации таких связей используются сети сторонних компаний, а также общедоступная сеть Интернет. Это порождает новые угрозы, к которым системы АСУ ТП изначально готовы не были, и, как следствие, растет количество инцидентов ИБ.

– Как влияет 187-ФЗ на зрелость процессов обеспечения ИБ в промышленности? Дмитрий Даренский – Ранее для АСУ ТП существовали нормативные документы, такие как 31-й приказ и рекомендации по КССИ, однако они носили рекомендательный характер. 187-ФЗ сделал требования к обеспечению критичных систем, в том числе и промышленных, обязательными и ввел довольно однозначные понятия ответственности. Для некоторых компаний 187-ФЗ – кнут, которого им хочется избежать, и не все пока понимают, подпадают ли они под действие этого закона. На предприятиях с более высоким уровнем зрелости и понимания проблематики ввод 187-ФЗ существенно ничего не изменил: вопросами безопасности там как занимались, так и занимаются. Более того, он позволил лучше структурировать эту работу и в целом подтвердил целесообразность деятельности в данном направлении.

Андрей Нуйкин – Данный закон заставил многие компании взглянуть на свои промышленные системы под новым углом и задуматься об их безопасности. Хотелось бы верить, что реализация закона не остановится на бумажной безопасности и позволит реально защитить критические системы. Крупные компании и без закона активно занимались обеспечением безопасности своих технологических систем и сетей. ЕВРАЗ начиная с 2016 г. реализует проекты в области защиты технологических систем и сетей.

Партнер "Круглого стола" 24 •

Игорь Тарви – На сегодняшний день обеспечение ИБ АСУ ТП является одним из наиболее актуальных направлений для большого числа российских компаний, доля вовлеченности которых из различных сегментов промышленности продолжает увеличиваться с каждым годом. Если еще буквально несколько лет назад данной тематике уделяли больше внимания компании тяжелой, военной, добывающей промышленности, то теперь к ним присоединяются обрабатывающая, легкая и даже пищевая промышленность. Такая ситуация складывается в том числе благодаря принятию 187-ФЗ, определившему достаточно широкий перечень видов деятельности, на которые распространяются требования по защите информации. Поэтому появление соответствующих приказов ФСТЭК России, являющихся обязательными к применению для значимых объектов критической информационной инфраструктуры, в дополнение к рекомендательному 31-му приказу ФСТЭК России от 14.03.2014, позволит промышленным организациям по-другому взглянуть на вопросы защиты АСУ ТП. Повышение уровня зрелости процессов обеспечения ИБ будет напрямую зависеть от степени формальности отношения к предъявляемым требованиям.

вопросами безопасности, есть. Его можно брать, адаптировать по свои задачи и использовать.

Андрей Нуйкин – Основная сложность в том, что АСУ ТП нельзя останавливать и при реализации защиты нужно быть полностью уверенным, что внедряемые средства защиты не будут влиять на производственный процесс и не приведут к остановкам и сбоям. Большой проблемой также для старых систем АСУ ТП является сложность или невозможность внесения изменений в системы, и приходится перерабатывать средства защиты для того, чтобы их внедрение, с одной стороны, выполняло защитную функцию, а с другой – не нарушило работу АСУ ТП.

Игорь Тарви – В чем сложность реализации защиты АСУ ТП? Дмитрий Даренский – Не так сложно, как может показаться. Для решения многих проблем зачастую достаточно организационных мер, таких как обучение сотрудников основам ИБ, выстраивание процессов соблюдения и контроля за выполнением политик безопасности, информирования персонала. Сегодня существует достаточное количество общепринятых практик, стандартов, отраслевых и международных рекомендаций, международно признанных обучающих и сертификационных курсов в области ИБ АСУ ТП, и ИБ-специалисту в промышленности есть на что опереться. Это, например, документация NIST, стандарты IEC, IEEE и т.д. То есть весь необходимый базис для того, чтобы на конкретном предприятии можно было хотя бы начать заниматься

– Многие технологические процессы и реализующие их АСУ ТП чувствительны к временным задержкам. На мой взгляд, основная сложность заключается в отсутствии эффективных средств защиты, которые могли бы выполнять свои функции в условиях сильного ограничения системных ресурсов (процессорного времени, объемов выделенной памяти), не влияя при этом на временные характеристики. При реализации защиты АСУ ТП немало сложностей вызывает также отсутствие квалифицированных специалистов по защите информации, имеющих достаточный опыт работы непосредственно с АСУ ТП, понимающих специфику их работы и способных выстраивать процессы и систему защиты таким образом, чтобы избежать негативного влияния на технологические процессы. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

www.dialognauka.ru


IB_Monitor 11/2/18 6:22 PM Page 25


grishkevich 10/31/18 3:26 PM Page 26

ТЕХНОЛОГИИ

Применение AI в автомобильной индустрии Евгений Гришкевич, директор департамента послепродажного обслуживания группы компаний “АвтоСпецЦентр”

П

Если речь идет о промышленности, то в первую очередь искусственный интеллект может быть задействован в мониторинге систем с использованием датчиков. В этом случае искусственный интеллект может запускать либо прекращать те или иные производственные процессы, основываясь на показаниях датчиков. Кроме того, с помощью искусственного интеллекта можно прогнозировать качество продукции путем построения аналитических моделей, позволяющих выявлять большинство проблем уже на начальном этапе производства.

26 •

о данным Международной федерации робототехники (IFR), сегодня в мире насчитываются сотни тысяч профессиональных сервисных роботов. Если же говорить о сервисных роботах для личных нужд, то их количество таково, что подобными роботами можно было бы полностью заселить среднюю европейскую страну, например Испанию. При этом наибольшее число сервисных роботов сосредоточено в клининговой и медицинской сферах. Первое место по числу компаний, работающих над созданием сервисных роботов, занимает США, но и Россия выглядит достаточно неплохо, находясь на 12-й позиции по этому показателю

В автомобилестроении на сегодняшний день созданы все предпосылки для качественного рывка в сфере применения искусственного интеллекта. Речь идет об интеллектуальных системах помощи на дороге, или ADAS (Advanced Driver Assistance Systems). Например, в Израиле компания Mobileye разработала программно-аппаратный комплекс. Его задача – распознавать потенциально опасные ситуации на дороге, предупреждать о них водителя и контролировать сохранение безопасной дистанции. Есть чем похвастаться и отечественным разработчикам. Российская компания Cognitive Technologies выпустила технологию Cognitive Smart Situation Capture, которая во многом опережает достижения Mobileye. Эта технология отвечает за создание и реализацию алгоритмов безопасного движения, в том числе и в экстремальных ситуациях. За технологиями ADAS будущее автопрома. Эксперты американской

аналитической компании Lux Research полагают, что к 2020 г. объем рынка этих технологий будет составлять $10 млрд. А японская компания маркетинговых исследований Yano Research Institute еще более оптимистична, прогнозируя объем рынка ADAS в $75 млрд. Конечно, в развитии искусственного интеллекта есть не только неоспоримые плюсы и преимущества, но и серьезные риски. В марте в США произошло ДТП с летальным исходом – погиб водитель автомобиля Tesla Model X, которым в момент трагедии управлял автопилот. Примечательно, что именно глава Tesla Илон Маск назвал искусственный интеллект "самым большим риском, с которым мы сталкиваемся как цивилизация". Тем не менее главная опасность – это не сбои, которые неизбежны в любой технологии, а вопрос контроля искусственного интеллекта. Впрочем, у людей всегда есть, фигурально выражаясь, "красная кнопка" – возможность

отключения питания искусственного интеллекта. Одно из ключевых направлений применения искусственного интеллекта – это автоматизация трудоемкой рутинной работы, которую сегодня делают люди. Многими это воспринимается как угроза стабильности на рынке труда, но скорее здесь нужно говорить о том, что внедрение искусственного интеллекта породит новые профессии. Если речь идет о промышленности, то в первую очередь искусственный интеллект может быть задействован в мониторинге систем с использованием датчиков. В этом случае искусственный интеллект может запускать либо прекращать те или иные производственные процессы, основываясь на показаниях датчиков. Кроме того, с помощью искусственного интеллекта можно прогнозировать качество продукции путем построения аналитических моделей, позволяющих выявлять большинство проблем уже на начальном этапе производства. Что касается автомобильной индустрии, то практически все крупные разработчики ориентированы на выпуск беспилотных автомобилей. Для того чтобы не отставать от конкурентов, автомобильные концерны либо создают собственные подразделения по разработке систем искусственного интеллекта, либо объединяют усилия с перспективными стартапами. Например, General Motors выкупила стартап Cruise Automation и анонсировала выпуск в 2019 г. полноценного электромобиля Cruise AV. У этой модели не будет ни руля, ни педалей. Весь


grishkevich 10/31/18 3:26 PM Page 27

www.itsec.ru

ТЕХНОЛОГИИ

процесс движения автомобиля будет контролироваться двумя синхронизированными компьютерными системами. При этом вторая система будет брать автомобиль под управление, если в первой системе произойдет сбой. И это лишь один из многих примеров. В целом же прогнозы по продажам беспилотных автомобилей на 2020 г. составляют 2 млн штук, а на 2035-й – более 30 млн. Как уже говорилось, сбои в работе искусственного интеллекта неизбежны. Это и уже упоминавшееся ДТП со смертельным исходом в США в марте, и инцидент в декабре 2016 г., когда беспилотное такси компании Uber проехало на красный свет в Сан-Франциско. Когда речь идет о работе системы, интеллектуальные способности которой намного превосходят человеческие, стоит исходить из того, что ей под силу буквально все. В этой связи существует несколько вариантов контроля возможностей искусственного интеллекта – от физического ограничения его доступа к Интернету или различным приложениям и процессам до разработки дружественных по отношению к человеку мотиваций. Пока эта сфера, так же как и само промышленное применение искусственного интеллекта, находится на стадии развития. Кроме того (и об этом недвусмысленно говорят и в России, и за рубежом), необходима разработка

С одной стороны, Россия вроде бы находится на задворках применения искусственного интеллекта в сервисной робототехнике и автомобилестроении, да и вообще в промышленности. По данным IFR, на 10 тыс. работников в России приходится всего три робота. Для сравнения: в Южной Корее этот показатель равен 631 роботу на 10 тыс. человек. В то же время в 2017 г. российский рынок продемонстрировал взрывной рост – установка роботов на промышленных производствах возросла на 84%

законодательной базы, регламентирующей применение искусственного интеллекта. С одной стороны, Россия вроде бы находится на задворках применения искусственного интеллекта в сервисной робототехнике и автомобилестроении, да и вообще в промышленности. По данным IFR, на 10 тыс. работников в России приходится всего три робота. Для сравнения: в Южной Корее этот показатель равен 631 роботу на 10 тыс. человек. В то же время в 2017 г. российский рынок продемонстрировал взрывной рост – установка роботов на промышленных производствах возросла на 84% по сравнению с 2016 г. Все это говорит о больших перспективах промышленного искусственного интеллекта в нашей стране.

В качестве наиболее ярких примеров можно привести не только уже упомянутую отечественную компанию Cognitive Technologies, успешно конкурирующую с израильскими разработчиками ADAS. Стоит сказать и о КАМАЗе, который в 2015 г. впервые протестировал на полигоне беспилотный автомобиль, а в 2017 г. продемонстрировал на ИННОПРОМ беспилотный автобус "Шатл". Отставание от мировых лидеров робототехники наша страна компенсирует развитием технологий не только в автопроме, но и в энергетике, банковской сфере, нефте- и газодобывающей промышленности. l

по сравнению с 2016 г. Все это говорит о больших перспективах промышленного искусственного интеллекта в нашей стране.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Аудит безопасности региональных центров Госкорпорации "Росатом" Частное учреждение “Русатом – Международная Сеть” (РМС) является отраслевым комплексом, входящим в контур управления Госкорпорации “Росатом”, который решает задачи формирования, развития и управления сетью зарубежных региональных центров. В структуру компании входят 11 региональных центров. Для РМС вопрос информационной безопасности является актуальным и важным, поэтому руководство решило привлечь внешнего подрядчика для проведения независимой оценки текущего уровня защищенности представительств компании. Подрядчиком был выбран системный интегратор в области ИБ – компания “ДиалогНаука”, которая про-

вела аудит и разработала рекомендации по совершенствованию системы обеспечения информационной и физической безопасности региональных центров Росатома. Работы проводились в два этапа. На первом этапе специалисты "ДиалогНауки" разработали методику проведения работ, в которой были определены критерии оценки, сформированные по результатам анализа внутренних документов РМС, требований законодательства страны местонахождения и рекомендаций международного стандарта ISO/IEC 27001:2013. На следующем этапе по разработанной и согласованной с заказчиком методике было проведено обследова-

ние существующей системы ИБ и системы физической безопасности, оценка соответствия их установленным критериям. По результатам анализа были разработаны детальные рекомендации по улучшению существующих и разработке недостающих процессов управления и обеспечения ИБ региональных центров Росатома, в том числе подготовлены предложения по использованию дополнительных средств защиты информации, которые необходимы для повышения уровня безопасности компании. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 27


lebedeva 10/31/18 3:25 PM Page 28

ТЕХНОЛОГИИ

Мошенничество в е-commerce Часть 2 Анна Лебедева, кандидат юридических наук

В Начиная с 1995 г. банки Канады решали проблемы электронной коммерции путем установления института электронного омбудсмена, в обязанности которого вменялось рассмотрение жалоб по существу. В 2002 г. Комиссия Европейских сообществ в Зеленой книге по вопросам альтернативного разрешения гражданско-правовых и коммерческих споров определила в качестве стимула развития электронного правосудия легкость в вовлечении в качестве сторон лиц, находящихся в разных государствах, что особенно актуально для коммерческих споров. (См.: Green paper on alternative dispute resolution in civil and commercial law. Brussels, 19.04.2002.

прошлом, четвертом, номере журнала Information Security, опубликована первая часть данной статьи. Во второй части мы разберем последний вид мошенничества – совершаемое в отношении банковской или иной кредитной организации. Напомним, что в данной в статье электронная коммерция рассматривается автором в качестве наиболее благоприятной сферы деятельности для мошенников. Используется авторская классификация способов совершения мошенничества с использованием интернет-магазинов. Приведенные примеры судебной и следственной практики служат аргументированным подтверждением классификации по выбранному основанию.

Компания, владеющая сайтом торгового предприятия, под предлогом оплаты платежной картой (реквизиты которой незаконно получены у держателей) товаров предъявляет в банк, обслуживающий торговое предприятие, электронный расчетный (платежный) документ с целью возмещения суммы покупки за заведомо несуществующий товар. Данный алгоритм незаконных действий реализуется до тех пор, пока уровень Сhargeback (отказов от платежей) от эмитентов похищенных реквизитов карт не станет свидетельством того, что имеет место мошенничество, а сам интернет-магазин исчезнет1. Указанные способы мошенничества в сфере электронной коммерции не являются исчерпывающими, основание для классификации может быть скорректировано по итогам научной дискуссии. В настоящее время существует множество процедур разре-

шения споров, касающихся сделок, совершенных в виртуальном пространстве. Вопросы хищения денежных средств посредством применения электронной коммерции также лежат и в области гражданскоправовых отношений и сопряжены, как ранее отмечено, с иными противоправными действиями. Так, в странах ЕС насчитывается более 750 различных механизмов досудебного регулирования подобных инцидентов2. Роспотребнадзор3 как представитель Российской Федерации регулярно участвует в переговорном процессе, связанном с присоединением Российской Федерации к Организации экономического сотрудничества и развития (ОЭСР)4. В настоящее время одними из ведущих направлений деятельности Комитета по потребительской политике являются электронная коммерция, трансграничное мошенничество и безопасность продукции.

В сфере электронной коммерции в рамках деятельности Комитета по потребительской политике, экономического сотрудничества и развития особое внимание уделяется мобильным платежам, цифровым товарам и услугам, защите и использованию ПДн, а также отзывам о товаре/услуге, не соответствующим действительности или вводящим в заблуждение, так называемым фейковым5 сообщениям, размещенным в социальных сетях, информации о товаре/услуге, его стоимости, характеристикам, не соответствующим действительности, или возможным скрытым платежам/стоимости, как на сайте компании, предоставляющей услугу, так и на специализированных сайтах, по сравнению цены товара/услуги, характеристик товара/услуги. В рамках этих вопросов разрабатывается ряд рекомендаций ОЭСР: по мобильным платежам, по цифровому контенту, персональным данным,

COM(2002) 196 final // http://alanuzelac.from.hr/izborni/green_paper_eu.pdf (дата обращения: 13.04.2018). Жарова А.К. Право и информационные конфликты в информационно-телекоммуникационной сфере: монография. М.: Янус-К, 2016. – 248 с.

28 •

1 См.: Классификация типов мошенничества в электронной коммерции URL: http://www. http://ono.org.ua/klassifikaciya-tipov-moshennichestva-v-elektronnoj-kommercii.html (дата обращения: 20.03.2018); http://ono.org.ua/klassifikaciya-tipov-moshennichestva-v-elektronnoj-kommercii.html. 2 См.: Alternative Dispute Resolution and Online Dispute Resolution for EU consumers: Questions and Answers // http://europa.eu/rapid/press-release_MEMO-11-840_en.htm?Locale=en. 3 Постановление Правительства РФ от 30.06.2004 № 322 (ред. от 20.09.2017) “Об утверждении Положения о Федеральной службе по надзору в сфере защиты прав потребителей и благополучия человека" // Российская газета, № 144, 08.07.2004. 4 URL//http://oecdru.org/oecd_rf.html 5 Что же касается так называемой фильтрации фейковых новостей, то появление этой возможности стало прямым следствием большого количества распространяемых преимущественно через социальные сети новостных сообщений, достоверность которых вызывала сомнения, но которые тем не менее быстро становились популярными и вирусными. (См.: А судьи кто? Google решил отслеживать фейковые новости // https://ria.ru/world/20170411/1491950179.html; Гуляев К.С. Право человека на Интернет, права в Интернете и при использовании интернет-вещей: новые тенденции // Прецеденты Европейского суда по правам человека. 2018. – № 1. – С. 29–37.


lebedeva 10/31/18 3:25 PM Page 29

www.itsec.ru

ТЕХНОЛОГИИ

а также директивы для активной электронной коммерции. Кроме того, проводятся обзоры рекомендаций по электронной коммерции с целью их обновления. В области трансграничного мошенничества действуют соответствующие рекомендации ОЭСР. В рамках работы Комитета рассматриваются вопросы взыскания убытков и иная защита потребителей при трансграничных сделках, электронных платежах, вопросы спама и иных рассылок по электронной почте, а также объявлений в сети Интернет. Государства-участники подписывают соглашения о сотрудничестве и обмене информацией в вопросах трансграничного мошенничества. Службы по защите прав потребителей совместно с другими государственными и/или некоммерческими правозащитными организациями в разных странах занимаются информативной деятельностью по просвещению потребителей в вопросах трансграничного мошенничества, проводят акции в сети Интернет и по телевидению, создают информационные порталы 6 либо публикуют информацию на своих сайтах, принимают жалобы, связанные с трансграничным мошенничеством. В странах ЕС активно обсуждается вопрос мошенничества с уплатой НДС при трансграничных сделках и связанные с этим потери экономики. Кроме того, был выпущен отчет о трансграничном мошенничестве в электронной коммерции. В то же время службами, занимающимися расследованием трансграничных преступлений в сфере защиты прав потребителя, являются полиция и иные правоохранительные органы. Например, на уровне ЕС Европейский центр киберпреступлений (начал свою деятельность с января 2013 г.) является платформой для взаимодействия с национальными правоохранительными органами по киберпреступлениям (Cybercrime Аctivities). Для улучшения взаимодействия между странами в сфере борьбы с трансграничным мошенничеством в Коми-

тете по потребительской политике создан перечень национальных контактных центров для сотрудничества по вопросам обманных или вводящих в заблуждение практик в бизнесе. Стоит также отметить, что ОЭСР сотрудничает с международной организацией ICPEN – Международная сеть по защите прав потребителей и правоисполнению, являющейся международной ассоциацией государственных органов в области защиты прав потребителей. Данная организация создана для улучшения сотрудничества в сфере обмена информацией по трансграничной коммерческой деятельности, оказывающей влияние на потребителя, а также международного взаимодействия между службами по защите потребителей в сфере правопринуждения.

Литература 1. Alternative Dispute Resolution and Online Dispute Resolution for EU consumers: Questions and Answers // http://europa.eu/rapid/ press-release_MEMO-11840_en.htm?Locale=en. 2. Commerce electronique: Une nouvelle donne pour les consommateurs, les entreprises, les citoyens et les pouvoirs publics, Rapport Du Groupe De Travail Preside Par M. Francis Lorentz, Ministere de l'Economie, des Finances et de l'Industrie. 1998 // http://www.finances.gouv.fr/commerce_electronique/lorentz (См.: Васильева Н.М. Электронная коммерция как правовая категория. – Юрист. – 2006. – № 5). 3. Government of Canada. Electronic Commerce in Canada: Priorities for Action. 1998 // http://e-com.ic.gc.ca/ english/ecom_eng.pdf. 4. Joint Statement on Electronic Commerce, Committees of U.S. – Japan Business Council, Inc. and Japan – U.S. Business Council. 07.1999 // http://www.giic.org/ focus/ecommerce/usjECstatement99.pdf. 5. Артемова И.В. Создание интернет-магазина учреждения // Советник бухгалтера государственного и муниципального учреждения. – 2017. – № 10. – С. 75–82. 6. Борщев В.Г. Становление и развитие предпринимательской деятельности в интернет-

экономике. Диссертация кандидата экономических наук. СПб., 2004. – С. 16–17. 7. Гуляев К.С. Право человека на Интернет, права в Интернете и при использовании интернетвещей: новые тенденции // Прецеденты Европейского суда по правам человека. – 2018. – № 1. – С. 29–37. 8. Зиненко О. Опасные уязвимости // Банковское обозрение. – 2015. – № 10. – С. 104–107. 9. Коробкова А.С Европейской ассоциацией свободной торговли и экономики, РУДН, 2017. 10. Ларичев В.Д., Орлова Е.А. Характеристика мошеннических действий, совершаемых по принципу финансовых пирамид // Адвокат. – 2004. – № 7. 11. Пол Винья, Майкл Кейси Эпоха криптовалют. Как биткоин и блокчейн меняют мировой экономический порядок // перевод с английского Кондуковой Э. 2-е издание, М.: "МАНН, ИВАНОВ и Фее", 2018. – С.83–85. 12. Попов В.М., Маршавин Р.А., Ляпунов С.И. Глобальный бизнес и информационные технологии. Современная практика и рекомендации / Под ред. В.М. Попова. М.: Финансы и статистика, 2001. – С. 55. 13. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. – 6-е изд., перераб. и доп. – М.: ИНФРА-М, 2011. 14. Ручинская И. Интернетэквайринг в помощь онлайнмагазинам // Просто для бизнеса: электронн. журн. 2014. – № 3. – С. 16–18. 15. Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. М.: Статут, 2016. – 640 с. 16. Тедеев А.А. Электронная коммерция (электронная экономическая деятельность). Правовое регулирование и налогообложение. М., 2002. – С. 14. 17. Цитаты Билла Гейтса URL: http://www. http://superiormale.ru (дата обращения: 20.03.2018). 18. Шарова И.И. Хищение электронных денежных средств // Уголовное право. 2017. – № 1. – С. 112–120.

Службы по защите прав потребителей совместно с другими государственными и/или некоммерческими правозащитными организациями в разных странах занимаются информативной деятельностью по просвещению потребителей в вопросах трансграничного мошенничества, проводят акции в сети Интернет и по телевидению, создают информационные порталы либо публикуют информацию на своих сайтах, принимают жалобы, связанные с трансграничным мошенничеством.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

6 Например, http://www.lookstoogoodtobetrue.com/.

• 29


tsod_DS 10/31/18 3:26 PM Page 30

ТЕХНОЛОГИИ

Практические рекомендации по выбору коммерческого ЦОД

Ц

ифровизация экономики диктует новые требования к надежности и производительности корпоративных информационных систем, ресурсы которых должны оперативно адаптироваться к изменяющимся условиям . Для реализации этих требований и оптимизации расходов многие руководители идут по пути аутсорсинга ИТ, обращаясь к услугам коммерческих центров обработки данных (КЦОД). Цель данного материала – предоставить потенциальным клиентам КЦОД рекомендации по комплексному подходу к выбору объекта, с применением многофакторного анализа и оценки основных критериев. В основе лежит методика, разработанная экспертами iKS-Consulting.

Полная информация относительно сертификатов Uptime Institute доступна по адресу https://uptimeinstitute com/TierCertification/

Выбор КЦОД – стратегическое решение для любой компании и организации, требующее согласованности с бизнесцелями, стратегиями и инвестициями. В этом процессе, предполагающем многофакторный анализ различных характеристик, должны участвовать не только специалисты по ИТ (CIO), но и все заинтересованные службы, включая финансовое руководство (CFO), исполнительного директора (COO), бизнес-подразделения, отделы безопасности, закупки и т.д. Комплексная оценка проекта предполагает формирование рабочей группы, учитывающей интересы всех подразделений и обладающей необходимым уровнем компетенции и

знаний не только в технической, но и в правовой, финансовой и других областях.

Состояние российского рынка КЦОД Данные iKS-Consulting свидетельствуют об устойчивом развитии российского рынка КЦОД. В период 2016–2018 гг. среднее ежегодное увеличение числа стоек, по предварительным оценкам, составит 21%, дойдя в текущем году до 44,5 тыс. (рис. 1). Рост продолжится и в 2019–2020 гг., но его темп, по прогнозу, снизится до 8%. Аналитики связывают это с большим числом площадей, введенных в эксплуатацию в 2018 г. Техническая оснащенность КЦОД в России находится на высоком мировом уровне. Об этом свидетельствует, в частности, большое число объектов, получивших сертификат TIER IIII Facility организации Uptime Institute. По состоянию на июль 2018 г. в России 10 таких ЦОД.

Как происходит выбор КЦОД в России Рис. 1. Развитие российского рынка коммерческих ЦОД

Рис. 2. Оценка важности отдельных факторов при работе с КЦОД (средний балл, по 5-балльной шкале)

30 •

При выборе КЦОД сегодня заказчики в России в первую очередь уделяют внимание базовым факторам, связанным с надежностью и отказоустойчивостью. При этом вопрос стоимости по степени важности располагается только на пятом месте (рис. 2). Ситуация меняется в зависимости от категории заказчиков. Так, стоимость наиболее важна для клиентов, не имеющих активного опыта размещения на площадках КЦОД (рис. 3). Далее для них идут показатели безопасности и надежности. Клиенты, имеющие опыт взаимодействия с КЦОД, меньшее значение придают вопросу

стоимости. Эта категория клиентов чаще оперирует понятиями совокупной стоимости владения (TCO) и лучше оценивает риски, а потому простая "цена за стойку" для них отступает на второй план. В России вопросами выбора КЦОД в основном занимаются ИТ-подразделения и непосредственно CIO. Финансовые службы и руководство подключаются только на этапе финального одобрения. С учетом стратегической важности такого решения для бизнеса уже на этапе выбора следует подключать к проекту все заинтересованные службы, включая CFO, COO, бизнес-подразделения, отделы безопасности, закупки и т. д. Перевод ИТинфраструктуры на аутсорсинг (размещение ее в КЦОД) может повлиять на различные бизнеспроцессы, затронуть процедуры внутри этих процессов.

Что важно учитывать при выборе КЦОД. Анализ основных параметров Выбор КЦОД основан на многофакторном анализе различных параметров. Он требует как инженерной, правовой и финан-

Рис. 3. Требования к КЦОД потенциальных заказчиков из сегмента "только на собственных площадках"


tsod_DS 10/31/18 3:26 PM Page 31

www.itsec.ru

ТЕХНОЛОГИИ

совой экспертизы, так и знания реальной ситуации на площадках. Ниже приводятся основные группы вопросов для такого анализа. В основе лежит методика оценки КЦОД, которую разработали эксперты iKS-Consulting с целью помощи заказчикам в выборе площадки для размещения ИТ-инфраструктуры.

Правовые вопросы Важной для оценки рисков является информация о том, кто является собственником и владельцем всего того, что составляет основу КЦОД. В первую очередь это: l земельный участок, на котором расположен объект и прилегающая территория; l здание, в котором он размещен; l инфраструктура ЦОД. Следующая группа вопросов связана с проверкой разрешительной документации на строительство и ввод объекта в эксплуатацию. Документация должна подтверждать возможность строительства на выбранной площадке ЦОД с заявленными характеристиками. Дополнительные риски возникают и в случае, если оборудование инфраструктуры ЦОД находится в лизинге, аренде или является залогом по другим обязательствам. Потенциальные риски: банкротство лизингодателя, переход прав собственности на оборудование к третьим лицам, наложение ареста на оборудование и т.д. Еще один важный момент – оценка рисков, связанных с подключением КЦОД к сетям электро-, тепло-, водоснабжения и водоотведения. Ключевым является вопрос взаимоотношений КЦОД с поставщиком энергетических ресурсов, поскольку, по статистике, в большинстве случаев остановка ЦОД связана с проблемами в обеспечении электропитанием. Снижению рисков способствует наличие прямого договора КЦОД с надежным поставщиком электроэнергии, а также энергоснабжение от двух городских подстанций по нескольким независимым линиям.

Финансовые вопросы Финансовая стабильность КЦОД – важное условие для долгосрочного сотрудничества. Не следует сотрудничать с операторами ЦОД, которые испытывают проблемы с выполнением своих

финансовых обязательств и могут обанкротиться. Если оператор КЦОД – публичная компания, то ее финансовые показатели (годовые отчеты) всегда можно найти в открытых источниках. Многие компании для подтверждения своей финансовой стабильности обращаются к известным независимым аудиторам, таким, например, как KPMG или EY (Ernst & Young). Наличие независимого аудита – дополнительный плюс в пользу КЦОД с точки зрения оценки стабильности будущего партнера. Целесообразно узнать, готов ли КЦОД наряду с компенсацией в случае простоя, которая обычно оговаривается в SLA, нести ответственность за убытки своих клиентов. Какова максимальная сумма этой ответственности? Кто является страховщиком? Высокая сумма страхового покрытия от авторитетной страховой компании – дополнительная гарантия того, что ЦОД прошел всесторонний аудит, как сам объект, так и процедуры его эксплуатации. Наличие у провайдера возобновляемых кредитных линий от надежных банков – еще один аргумент в его пользу. Это гарантирует возможность дальнейшего развития КЦОД.

Репутация оператора КЦОД Финансовая стабильность – важный показатель репутации оператора КЦОД. Однако не менее важен его опыт в области предоставления таких услуг. Следует отдать предпочтение компании, которая работает в данной области не один-два года, а пять и более лет. Это означает, что ею уже накоплен большой опыт в части эксплуатации ЦОД и решения задач клиентов, например по миграции в КЦОД, расширенной технической поддержке и т.д. Присутствие в списке клиентов КЦОД крупных и известных компаний, особенно из таких требовательных к надежности ИТ-инфраструктуры отраслей, как финансовая, – серьезный плюс для провайдера. Наличие в этом списке предприятий из той же отрасли, в которой работает ваша компания, означает, что КЦОД уже имеет опыт учета специфических требований, скажем, в части хранения персональных данных. Нелишним будет обратиться к таким предприятиям за отзывами.

Рис. 4. Основные технические причины отказов в работе ЦОД

Расположение и транспортная доступность объекта При строительстве ЦОД стараются выбирать места, максимально защищенные от стихийных бедствий и техногенных катастроф. В частности, объект должен находиться там, где невозможно подтопление, вдали от потенциально опасных промышленных объектов или производств, характеризующихся повышенным выбросом агрессивных веществ и пыли (химическое производство, склад пиротехники, стройка) и т.д. Это общие правила, которым соответствуют большинство КЦОД. Многие заказчики предпочитают, чтобы коммерческий ЦОД находился в шаговой доступности от метро, чтобы персонал мог в любое время легко до него добраться. Важно также учесть возможность объекта обеспечить круглосуточный доступ к оборудованию клиентов, разгрузку и установку новых устройств.

Если земля, на которой расположен КЦОД, не принадлежит его владельцу, то в случае конфликта с собственником земли возможна остановка или даже закрытие ЦОД. Даже если ЦОД стоит на земле, принадлежащей его владельцу, он может быть окружен территориями другого собственника или арендодателя. При возникновении юридического спора с ним может возникнуть ситуация, когда подъезд к ЦОД на автотранспорте будет значительно затруднен или вовсе невозможен, или когда прокладка коммуникаций к ЦОД будет блокирована собственником соседней земли.

В России наибольшее распространение получили сертификаты организации Uptime Institute. Существует три

Безопасность При оценке эффективности физической безопасности необходимо учитывать наличие грамотно организованных периметров безопасности, пропускной системы, системы видеонаблюдения и пр. Снизить риск проникновения в здание КЦОД "с улицы" позволяет внешний периметр безопасности, реализованный в виде высокого ограждения со средствами защиты от проникновения (колючая проволока, шипы), охранной сигнализацией и полноростовыми турникетами. Доступ в само здание наиболее защищенных КЦОД осуществляется через бронированные тамбур-шлюзы с современными средствами контроля (считыва-

вида таких сертификатов:

l сертификат соответствия рабочей документации ЦОД (TIER Design);

l сертификат соответствия исполнительной документации ЦОД (TIER Facility);

l сертификат устойчивости операционной деятельности (TIER Operational Sustainability).

Помимо названных, существуют и другие документы, которые могут оказаться важными для конкретных заказчиков.

• 31


tsod_DS 10/31/18 3:26 PM Page 32

ТЕХНОЛОГИИ

Рис. 5. Причины, приводящие к отказу оборудования

Параметры, определяющие транспортную доступность:

l расстояние до ближайшей

транспортной магистрали, железной дороги, аэропорта, грузового терминала, станции метро, центра города (время в пути);

l возможность круглосуточ-

ного подъезда/выезда грузового транспорта, въезда/выезда одновременно нескольких грузовых машин;

l габариты тамбур-шлюза,

наличие и угол наклона пандуса в зоне погрузки и разгрузки;

l наличие и тип альтерна-

тивных путей доставки оборудования в серверное помещение;

l возможность транспорти-

ровки крупногабаритного оборудования.

Отдельно следует оценить имеющуюся на объекте противопожарную систему, в частности выяснить:

l тип автоматизированной

системы раннего обнаружения пожара в серверном зале и местах размещения инженерных систем;

l тип системы устранения

пожара в серверном зале и местах размещения инже-

тели бесконтактных карт доступа, сканеры геометрии ладони, отпечатков пальцев, радужной оболочки глаз). Следующий периметр безопасности организуется на входе в конкретный серверный зал. Для ряда крупных заказчиков важна возможность оператора ЦОД предоставить отдельный зал. Компании, ориентирующиеся на создание больших монообъемных залов, при таких запросах идут по пути организации индивидуального ограждения (клетки) для размещения ИТ-оборудования заказчика с отдельной системой контроля доступа. При оценке эффективности системы видеонаблюдения необходимо выяснить не только количество и места размещения камер (на входе в здание, в коридорах, серверных залах), но и время хранения записей. Ряд заказчиков требуют организовать локальное видеонаблюдение в месте размещения своего оборудования. В оценке системы безопасности нет мелочей. Важен человеческий фактор: квалификация службы безопасности, ее численность, маршруты патрулирования. В целом важна профессиональная организация всех процедур, включая выдачу и регистрацию пропусков, определение зон допуска различных сотрудников, правил уборки серверных залов и т.д.

нерных систем;

l марку газа, применяемого

в системе предотвращения и локализации пожара.

Материал подготовлен компанией DataSpace. Полная версия доступна на сайте: https://www.dataspace.ru/report/

32 •

Надежность/ отказоустойчивость Вопросы надежности/отказоустойчивости наиболее тщательно анализируются заказчиком. Сама по себе надежность определяется как качеством отдельных элементов инфраструктуры ЦОД, так и схемой их резервирования. Если у КЦОД отсутствует устраивающий заказчика сертификат, то имеет смысл проверить реализованный уровень

отказоустойчивости (или поручить такую проверку независимым экспертам). В этой связи следует, в частности, изучить: l уровень (схему) резервирования компонентов системы бесперебойного гарантированного электропитания; l уровень (схему) резервирования компонентов системы кондиционирования; l количество вводов электропитания от независимых подстанций, тип категории каждого; l наличие собственной генерирующей установки, ее мощность в абсолютных величинах и процентах от общей мощности ЦОД. Время автономной работы КЦОД при отключении внешней электросети, как правило, определяется наличием топлива ДГУ. Важными параметрами являются имеющийся на объекте запас топлива, а также время его подвоза (с момента вызова). Помимо технических аспектов отказоустойчивости (рис. 4), для заказчиков важно наличие у провайдера планов по обеспечению непрерывности и восстановлению работы ИТ-систем Уточните, имеются ли такие планы, какие стандарты (документы) положены в их основу. Готов ли КЦОД предложить не только резервирование вашего ИТ-комплекса, но и офисные площади для работы сотрудников в чрезвычайной ситуации.

Производственноэксплуатационные вопросы Как бы качественно ни был построен ЦОД, сколь бы совершенными ни были реализованные схемы отказоустойчивости, проблемы при эксплуатации могут существенно повысить риски остановки предоставления сервисов. В большинстве случаев причина простоев ЦОД связана именно с негативным влиянием человеческого фактора. В ходе исследования iKSConsulting 70% респондентов указали на то, что отказы в основном обусловлены действиями специалистов в процессе обслуживания (рис. 5). В качестве основных причин недостаточной квалификации персонала названы отсутствие должного обучения, документации, а также квалифицированных требований. Влияние человеческого фактора может быть минимизи-

ровано за счет организации процесса эксплуатации и регулярных тренингов для персонала, создания четких регламентов взаимодействия сотрудников и подразделений (как при проведении ежедневных рутинных операций, так и при возникновении ЧП), обеспечения технического обслуживания инженерных систем в соответствии с графиком, рекомендуемым производителем оборудования. Упростить задачу оценки рисков, связанных с эксплуатационно-производственной деятельностью КЦОД, может наличие у него соответствующих сертификатов. Один из наиболее известных – сертификат операционной устойчивости TIER III Certification of Operational Sustainability.

Заключение Современное состояние российского ИТ-рынка характеризуется ростом интереса заказчиков к аутсорсингу ИТ и доверия к услугам коммерческих ЦОД. Однако практика выбора КЦОД часто сводится к рассмотрению ценовых и технических моментов, при этом уделяется недостаточно внимания анализу правовых, финансовых и иных рисков. В России вопросами выбора КЦОД в основном занимаются ИТ-подразделения и непосредственно CIO. Однако с учетом стратегической важности такого решения для бизнеса уже на этапе целеполагания бизнесединицы и ИТ должны постоянно взаимодействовать и работать слаженно, следует подключать к проекту службы CFO, COO, отделы безопасности, закупки и т.д. Перевод корпоративной ИТ-инфраструктуры в коммерческий ЦОД может повлиять на различные бизнеспроцессы. Для оценки последствий такого влияния, эффективного управления изменениями и обеспечения непрерывности бизнеса необходимо участие соответствующих экспертов, в том числе внешних, и руководителей подразделений. Изучайте отраслевые примеры – они помогают лучше оценивать планы и концепции, а также возможные результаты проекта. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


sapr 10/31/18 3:26 PM Page 33

www.itsec.ru

ТЕХНОЛОГИИ

Необходимо и достаточно, или контроль целостности виртуальных машин с помощью "Аккорд-KVM" Надежда Мозолина, ОКБ САПР, преподаватель кафедры “Защита информации” ФРТК МФТИ

П

еред открытием любого файла необходимо убедиться в его безопасности. Перед этим необходимо провести проверку тех программ, с помощью которых вы будете работать с файлом, и тех, с помощью которых будете эту проверку производить. А еще раньше – убедиться в безопасности операционной системы, в которой будете работать, и оборудования вашей машины – необходим контроль целостности.

Примечательно, что все сказанное выше верно как для физических ЭВМ, так и для виртуальных машин, для железа и программного обеспечения любого производителя и любой архитектуры, для любой платформы виртуализации. В последнее время наблюдается тенденция перевода все большего числа информационных систем на ОС семейства Linux – это касается как частных компаний, так и государственных учреждений. Причины могут быть разными, например импортозамещение и переход на отечественные дистрибутивы, снижение затрат на покупку ПО, повышение производительности с уменьшением требуемых для работы ресурсов и многое другое. В любом случае операционные системы Linux все чаще используются и для рабочих мест пользователей, и для серверов, в том числе серверов виртуализации. Одним из наиболее популярных решений для виртуализации в среде Linux является программное решение KVM. Оно позволяет создавать виртуальные машины (ВМ) с различными гостевыми ОС (Linux, Windows) и собственным виртуальным аппаратным обеспечением: жестким диском, видеокартой, USB-контроллерами, дисплеем и т.д. KVM является открытым программным обеспечением, и традиционно считается, что использование таких программ повышает безопасность системы. Трудно, да и незачем спорить с этим утверждением. Но стоит заметить, что использование программного обеспечения с открытым кодом не отменяет необходимости принятия мер по защите информации [1]. И одной из таких мер является контроль целостности ВМ.

Защита для виртуальных инфраструктур Разработанное ОКБ САПР специальное программное обеспечение "Аккорд-KVM" предназначено для применения в виртуальных инфраструктурах, построенных на базе KVM и использующих библиотеку libvirt в качестве инструмента управления гипервизором. Основными функциями данного продукта являются контроль целостности ВМ, выполняемый до их запуска, и управление их размещением и перемещением между серверами виртуализации. Конечно, использования одного только "Аккорд-KVM" недостаточно для полной защиты виртуальной инфраструктуры, ее невозможно обеспечить лишь программными средствами. Необходимо применение СДЗ для физических серверов виртуализации, СЗИ от НСД, как на гипервизорах, так и внутри ВМ для защиты их ресурсов. "Аккорд-KVM" успешно работает в связке с соответствующими средствами защиты ОКБ САПР и может использоваться в составе комплексного решения по защите виртуальной инфраструктуры.

Функции защиты "Аккорд-KVM" Каждая ВМ характеризуется своим виртуальным аппаратным обеспечением (набором оборудования) и работающей на нем гостевой операционной системой со всеми ее файлами. А потому в "Аккорд-KVM" контроль целостности ВМ включает в себя

контроль двух компонентов – конфигурации и файлов внутри ВМ. Контроль целостности конфигурации заключается в расчете эталонных контрольных сумм оборудования и его настроек и в сравнении их с текущими при каждом включении ВМ или ее миграции. Аналогично осуществляется контроль системных и пользовательских файлов внутри машины. Поддерживаемые "Аккорд-KVM" файловые системы позволяют контролировать целостность ВМ с гостевыми ОС семейств и Windows, и Linux. "Аккорд-KVM" также обеспечивает контроль за размещением исполняемых ВМ на серверах виртуализации, что позволяет исключить смешение информации различного уровня доступа, другими словами, не допустить размещения ВМ, обрабатывающих информацию ограниченного доступа, на серверах виртуализации, предназначенных для работы с общедоступной информацией. "Аккорд-KVM" может применяться на гипервизорах с различными операционными системами – Red Hat, Ubuntu, CentOS. "Аккорд-KVM" и не требует для работы дополнительных серверов. Это позволяет использовать "Аккорд-KVM" для защиты широкого спектра виртуальных инфраструктур, администрируемых как с помощью консольного приложения virsh или довольно простой графической утилиты Virtual Machine Manager (virt-manager), так и в инфраструктурах, дополненных системой управления oVirt. Информационные системы, использующие виртуализацию на базе KVM, могут значительно различаться, но в любом случае необходимой мерой их защиты является обеспечение контроля целостности ВМ. Средству защиты для таких систем необходимо, но не достаточно решать эту задачу, кроме того, оно должно соответствовать всем факторам, характеризующим защищаемую виртуальную инфраструктуру: ОС гипервизоров, способам подключения хранилища, гостевым версиям ОС, системам управления и т.д. "Аккорд-KVM" обладает всеми необходимыми для такого СЗИ характеристиками, и его использования достаточно для контроля целостности ВМ в самых различных виртуальных инфраструктурах.

Литература 1. Лыдин С.С. Перспективы открытых программных и аппаратных решений для корпоративных и коммерческих ЦОД // Национальный банковский журнал. – 2018. – № 9 (сентябрь). – С. 94–95. l NM АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 56

• 33


dialog 11/6/18 4:03 PM Page 34

ТЕХНОЛОГИИ

SOAR: автоматизация реагирования Роман Ванерке, технический директор АО “ДиалогНаука”

Х

акеры используют для проникновения в корпоративные сети автоматизированные инструменты, которые действуют быстро и точно. В то же время средства защиты могут в автоматическом режиме предотвратить только заранее известные атаки, однако ручная работа с инцидентами – это все равно что сражаться шашкой против танков. “Ручная” защита, даже если и успеет отреагировать, то уже на совершенную атаку. Пока оператор будет разбираться в том, что произошло, хакер может успеть закрепиться в системе и уничтожить следы своего проникновения. Для организации и автоматизации процесса расследования и реагирования используется инструментарий, получивший наименование SOAR (Security Orchestration, Automation and Response).

Активный щит Само сокращение SOAR определяет набор функций технологии: оркестрация для интеграции со средствами защиты и другими ИТ-системами предприятия, автоматизация за счет заранее описанных шагов расследования (Рlaybook) выявленных инцидентов и реагирование на них с помощью оркестрации. Не стоит также забывать о системе управления и оценки эффективности работы SOC. Следует отметить, что SOAR является продолжением развития технологии SIEM. Однако последняя ограничена мониторинговыми функциями и подготовкой отчетов, оставляя реагирование на внешние решения. Фактически результатом деятельности SIEM является подробный отчет о инцидентах с возможными рекомендациями по реагированию. В то же время SOAR может не только предлагать рекомендации, но и автоматически реагировать на события. Таким образом, функциональные возможности SOAR следующие: 1. Оркестрация. В рамках расследования для сбора дополнительных данных и контекста аналитику необходимо взаимодействовать с разного рода средствами и системами как ИБ, так и ИТ. Подобный "ручной" труд, с одной стороны, сильно замедляет процесс расследования, с другой – достаточно однотипный и скучный.

34 •

Эта однотипная работа является одной из причин высокой текучки аналитиков первой линии. Оркестрация позволяет интегрироваться со сторонними системами для сбора данных и управления, сокращая время на переключение между различными консолями и интерфейсами. Например, при обнаружении атаки, когда сработала виртуальная ловушка, запускаются дополнительные процессы проверки показателей компрометации, включаются системы более строгого сегментирования корпоративной сети или поиск вредоносных кодов. 2. Автоматизация. SOARрешение позволяет описать и автоматизировать выполняемые в рамках расследования действия посредством заранее подготовленных планов реагирования (Рlaybook). Таким образом, система позволяет автоматизировать однотипные действия, которые ранее аналитики выполняли вручную, тем самым значительно сокращая время на расследование и сбор необходимых данных для принятия решений. Стоит также отметить, что не все операции можно автоматизировать полностью и система должна позволять останавливать процесс и ожидать дальнейших действий от оператора. Например, после автоматического сбора данных о заражении аналитик проводит анализ достаточности

доказательств и принимает решение о блокировке учетной записи или переносе узла сети в изолированный сегмент. План реагирования должен позволять строить сложные конструкции с разными путями развития и ветвлениями (в зависимости от результата анализа). 3. Реагирование. За счет оркестрации SOAR-решение имеет возможность автоматического реагирования на выявленные инциденты. Естественно, что не всегда возможно в автоматическом режиме решить проблему, но это позволяет сделать перевод средств защиты в более "жесткие" режимы работы, выполнить сбор более подробной статистики и ограничить потенциально опасные операции. После заражений шифровальщиком WannaCry актуальной функциональностью стало оперативное реагирование на заражения, чтобы минимизировать распространение вредоносных кодов, – от скорости реакции на агрессивные заражения может сильно зависеть полученный ущерб. Когда автоматические сценарии с помощью показателей компрометации выявили зараженные устройства, средства реагирования отключают их от основной сети, чтобы блокировать дальнейшее распространение вредоносного кода. Стоит отметить другие важные функции SOAR: оценку эффективности, управление


dialog 11/6/18 4:03 PM Page 35

www.itsec.ru

ТЕХНОЛОГИИ

инцидентами ИБ, интеграцию с поставщиками Threat Intelligence. Так, например, SOAR-решение может стать единой точкой управления инцидентами ИБ в компании. Следует отметить, что достаточно большая часть функционала SOAR относится к классу SIEM. Поэтому решения SOAR либо включают в себя модуль SIEM как элемент первичного сбора и обработки сведений об инцидентах, либо интегрируются с внешними SIEM для получения сигналов тревоги, векторов атаки, признаков компрометации и других характеристик вредоносной деятельности.

Решения В качестве примера продуктов, относящихся к классу SOAR, можно привести разработки компании RSA NetWitness Orchestrator, IBM Resilient и R-Vision. Так, компания RSA выпускает несколько продуктов, которые в целом и составляют SOAR-систему. В частности, компания предлагает платформу Security Orchestration, которая обеспечивает оркестрацию и автоматизацию процессов управления средствами защиты, платформу Incident Management, с помощью которой можно реагировать на инциденты и восстанавливать штатную работу систем после атак, и платформу Interactive Investigation, которая обеспечивает интеллектуальную обработку

событий для мониторинга систем информационной безопасности. Все платформы интегрируются между собой и в целом составляют SOAR с максимально функциональной реализацией всех функций. Компания IBM, купившая одного из первых производителей SOAR-решений Resilient, предлагает платформу Resilient Incident Response Platform, которая обеспечивает выполнение всех задач SOAR, от оркестрации до реагирования на инциденты. Это единая SOAR-платформа, интегрированная с другими защитными продуктами IBM и одной из популярных SIEM IBM QRadar. Таким образом, для IBM платформа Resilient является хорошим дополнением к другим продуктам, с помощью которых можно построить полноценную SOARсистему. В этом случае возможно использовать связку качественной SIEM QRadar и автоматизации обработки инцидентов на Resilient Incident Response Platform. Российская компания R-Vision предлагает продукт R-Vision Incident Response Platform (IRP), это программная платформа для оперативной организации и автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности. Система позволяет создать единую точку консолидации информации обо всех инцидентах

12-14

информационной безопасности (корпоративный SOC), а также платформу для совместной работы группы реагирования на инциденты ИБ с возможностью сбора, анализа и хранения сведений, относящихся к инцидентам ИБ. R-Vision IRP обеспечивает координацию деятельности сотрудников компании, распределение задач и учет выполненных мероприятий по реагированию на инциденты ИБ. Однако это, скорее, координатор для ручной обработки инцидентов, который со временем может развиться в полноценную SOAR.

Заключение Рынок SOAR достаточно молодой: аналитики сформировали потребность в подобного класса продуктах только в последние два года. Игроков на нем пока немного, хотя уже появляются и российские решения. Тем не менее уже сейчас очевидно, что для эффективного реагирования на инциденты информационной безопасности будут требоваться инструменты для автоматизации этих процессов. В этой связи востребованность SOAR-решений в долгосрочной перспективе будет только расти. l NM АДРЕСА И ТЕЛЕФОНЫ АО "ДИАЛОГНАУКА" см. стр. 56

2019 • 35


samatov 10/31/18 3:26 PM Page 36

ТЕХНОЛОГИИ

Применение методов проектного управления при внедрении DLP-систем Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

С

амое слабое звено в информационной безопасности организации – это персонал. Мировая и отечественная статистика свидетельствует о том, что значительный процент утечек информации происходит от так называемых инсайдеров – работников организации. В настоящее время на рынке информационной безопасности существует множество производителей систем класса DLP, позволяющих осуществлять контроль над коммуникациями работников и предотвращать утечку информации за периметр организации. Как правильно выбрать и внедрить DLPсистему в организации, будет рассказано в данной статье.

Управление проектами в сфере информационной безопасности

Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами: l

инициация;

l

планирование;

l

выполнение (координация

человеческих и других ресурсов для выполнения плана); l

контроль;

l

завершение (процесс при-

емки окончательных результатов и официального закрытия проекта).

Практически любой вид деятельности, связанный с реализацией мероприятий по защите информации в организации, – это проект. Например, разработка системы защиты персональных данных, внедрение системы противодействия внутренним утечкам, внедрение средств защиты информации, установление режима коммерческой тайны – все они являются однократной, неповторяющейся деятельностью, обладающей уникальностью в рамках своей организации. По мнению автора, при использовании проектного управления для реализации мероприятий по защите информации важно учитывать следующие моменты: l с точки зрения управления любой проект представляет собой треугольник, в котором сбалансированы цель (результат), время и ресурсы (деньги);

Рис. 1. Пример диаграммы Ганта

36 •

l целью любого мероприятия по защите информации является обеспечение конфиденциальности, целостности и доступности обрабатываемой информации; l время и ресурсы зависят от конкретных проектов. Проектное управление в рамках проектного подхода включает комплекс мероприятий по планированию, организации, мониторингу и контролю, а также мотивации всех его участников с целью полного достижения целей проекта в заданный промежуток времени и в рамках выделенных ресурсов. Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами: l процессы инициации – процессы формального признания необходимости выполнения проекта; l процессы планирования – определение и уточнение целей

проекта и наилучшего пути их достижения; l процессы выполнения – координация человеческих и других ресурсов для выполнения плана; l процессы контроля – регулярное измерение параметров проекта, идентификация возникающих отклонений и принятие решений о необходимости применения корректирующих действий; l процессы завершения – процессы приемки окончательных результатов и официального закрытия проекта. Попробую проиллюстрировать применение методов проектного менеджмента для реализации мероприятий информационной безопасности на конкретном примере – внедрение в организации DLP-системы.

Проект внедрения DLPсистемы в организации DLP (англ. Data Leak Prevention) представляет собой систему защиты конфиденциальных данных от внутренних угроз. Речь идет прежде всего о защите информации от утечек за периметр организации, а также контроле за поведением персонала на автоматизированных рабочих местах, обрабатывающих защищаемую информацию. Как правило, указанная система состоит из программных и аппаратных компонентов. Предположим, что перед руководителем службы информационной безопасности стоит


samatov 10/31/18 3:26 PM Page 37

www.itsec.ru

ЗАЩИТА СЕТЕЙ

Таблица 1. Иерархическая структура работ Стадия

Этап/содержание работ

Результаты работ

Исполнители Срок работ (рабочие дни) Этап 1 – проектно-изыскательские работы

Обследование

Обследование объекта автоматизации, сбор исходных данных

Отчет об обследовании

Проектная организация

14

Техническое задание

Техническое задание

Проектная организация

7

Технический Разработка и проект утверждение технического задания на создание системы

Технический проект, разПроектная работанный в соответсторганизация вии с заданием на проектирование, в его составе: l ведомость технического проекта; l пояснительная записка к техническому проекту; l схема структурная комплекса технических средств; l схема функциональной структуры; l схема (таблица) соединений и подключений

14

Этап 2 – строительно-монтажные и пусконаладочные работы Ввод в действие

Комплектация системы Акт приемки-передачи поставляемыми оборудования в монтаж изделиями

Поставщик 30 оборудования

Строительномонтажные работы

Акт завершения строительно-монтажных работ

Подрядная организация

10

Разработка документации, необходимой для ввода системы в действие

Документация, Подрядная необходимая для ввода организация в действие, в составе: l плана пусконаладочных работ; l программы и методики испытаний

10

Пусконаладочные работы в соответствии с планом пусконаладочных работ

Завершены Подрядная пусконаладочные организация работы. Система готова к предварительным испытаниям

7

Разработка эксплуатационной документации

Эксплуатационная Подрядная документация в составе: организация l инструкции администратора системы; l инструкции администратора ИБ системы; l инструкции по эксплуатации системы; l паспорта системы

14

Проведение предварительных испытаний

Протокол предварительных испытаний. Акт перевода системы в опытную эксплуатацию

5

Опытная эксплуатация системы в соответствии с программой опытной эксплуатации

Рабочий журнал опытной Подрядная эксплуатации. организация Акт завершения опытной Заказчик эксплуатации системы

Проведение Протокол приемочных приемочных испытаний испытаний системы. Акт о приемке системы в постоянную эксплуатацию

Подрядная организация Заказчик

Подрядная организация Заказчик

14

7

• 37


samatov 10/31/18 3:26 PM Page 38

ТЕХНОЛОГИИ Таблица 2. Реестр проектных рисков Наименование риска

Ожидаемые последствия

Мероприятия по реагированию

Вероятность Уровень наступления влияния на проект

1.

Внешний риск

Задержка поставки DLP-системы, выполнения работ или оказания услуг

Контроль за своевременным внесением закупки в планы, проведением торгов, заключением договоров и их оплатой

Низкая

Средний

2.

Организационные риски

Недостаток финансирования (ошибки в первоначальных расчетах)

Переговоры с поставщиком (производителем) по снижению цен, переговоры с руководителем (инвестором) о выделении дополнительного финансирования

Средняя

Высокий

Недостаточная квалификация работников, задействованных в проекте

Обучение (в том числе собственными силами)

Низкая

Низкий

Ошибки планирования

Контроль исполнения. Корректировка планов Низкая

Средний

Недостаточный контроль

Мониторинг, корректировка требований

Низкая

Средний

Проблемы в коммуникациях с подрядчиками, исполнителями

Выделение из проектной группы наиболее квалифицированных коммуникаторов (переговорщиков)

Средняя

Высокий

Проблемы в коммуникациях с дру- Проведение мероприятий по подготовке Высокая гими структурными подразделеперсонала к внедрению DLP-системы (корниями, сопротивление изменениям ректировка инструкций, подготовка обязательств о неразглашении информации и т.п.), задействование административного ресурса (власть руководителя организации)

Средний

Сложность внедрения

Проведение обучения сотрудников, задействованных в проекте (администраторов DLP-системы)

Средняя

Средний

Конфликт внедряемых решений с имеющейся ИТ-инфраструктурой

Проведение аудита ИТ-инфраструктуры, выявление возможных проблемных мест, проработка решений

Средняя

Высокий

3.

Риски управления проектом

4.

Технические риски

В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечки информации, стоимости похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (уменьшение среднегодовых потерь (риска) – стоимость защитных мер)/стоимость защитных мер1.

1

задача внедрения данной системы в организации. Задача взята из практики автора. Попробуем посмотреть на нее с точки зрения управления проектами. Очевидно, что указанная задача представляет собой однократный (неповторяющийся) комплекс мероприятий, при реализации которого человеческие, финансовые и материальные ресурсы организованы для ее выполнения. Таким образом, внедрение DLP-системы в организации – это проект. Для реализации данного проекта "рисуем" проектный треугольник: l цель – внедрение в организации системы защиты конфиденциальных данных от внутренних угроз; l время – определяем временной промежуток, необходимый для реализации указанной цели (например, один год); l ресурсы: бюджет на закупку системы (например, 3 млн руб.). В процессе инициации данного проекта проводится анализ

угроз безопасности и информационных ресурсов организации, определяется актуальность защиты от внутренних утечек и целесообразность внедрения DLP-системы, в том числе производится оценка возврата на инвестиции в проект, так называемый ROI (Return on Investment). В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечки информации, стоимости похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (уменьшение среднегодовых потерь (риска) – стоимость защитных мер)/стоимость защитных мер1. ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает расходы на его предотвращение. Возможные значения ROI2:

l ROI = 0, сколько вложили, столько и сэкономили (ничего не выиграли и не потеряли); l ROI < 0, стоимость защиты превышает потенциальный ущерб (зря потрачены деньги и время); l 0 < ROI < 1, с учетом большой неопределенности измерений какая-либо польза не очевидна; l ROI = 1, получаем 100% экономию на вложенные средства; l ROI > 1, ожидаемое сокращение потерь на порядок превышает затраты. Расчет ROI важен для обоснования необходимости и целесообразности внедрения DLPсистемы. Завершением процесса инициации проекта является принятие решения о необходимости внедрения DLP-системы. Процесс планирования включает в себя подготовку иерархической структуры работ, так называемую WBS (Work Breakdown Structure), идентификацию и оценку рисков, а также создание проектной команды.

В данном случае стоимость покупки и владения DLP-системой. Астахов А. Есть решение. Как рассчитать окупаемость DLP-системы? // Директор по безопасности. – 2017. – Февраль. – С. 46–55. 2

38 •


samatov 10/31/18 3:26 PM Page 39

www.itsec.ru

ЗАЩИТА СЕТЕЙ

Применительно к проекту внедрения DLP-системы WBS может быть представлена следующим образом – табл. 1. Реестр рисков можно представить в виде следующей структуры (табл. 2). Приведен перечень основных рисков, в зависимости от конкретного проекта перечень рисков может меняться. В рамках проекта должна быть создана проектная команда в составе следующих лиц: l руководитель проекта – отвечает за организационные вопросы реализации проекта, координирует взаимодействие в команде проекта и с внешними организациями, обеспечивает соответствие выполняемых работ требованиям проектной и нормативной документации, контролирует сроки выполнения проекта; l куратор (координатор) проекта – назначается из топменеджмента компании, обеспечивает контроль общего хода выполнения проекта и решение вопросов, выходящих за пределы компетенции остальных членов проектной команды, в том числе разрешение конфликтных ситуаций; l инженер проекта – отвечает за качество технической части проекта, координирует работу команды исполнителей; l основной персонал проекта – специалисты, непосредственно исполняющие задачи проекта и осуществляющие контроль качества его результатов; l вспомогательный персонал проекта – специалисты, выполняющие одну или несколько неосновных (вспомогательных) функций и задач в проекте. Данный процесс завершается утверждением иерархической

Состав проектной команды: l l l l l

руководитель проекта ; куратор (координатор) проекта; инженер проекта; основной персонал проекта; вспомогательный персонал проекта.

структуры работ и реестра рисков, формированием команды проекта. Процессы выполнения и контроля заключаются в реализации утвержденного плана работ и контроля указанного процесса. Процесс реализации проекта необходимо контролировать. В качестве инструмента для контроля можно использовать диаграмму Ганта (используется также и в процессах планирования), позволяющую наглядно представлять сроки этапов про-

екта и визуализировать их исполнение (рис. 1). По завершении этапа реализации проекта проводится анализ, подготавливается отчет, организуются необходимые для

перехода к процессу эксплуатации DLP-системы мероприятия. Процесс завершения проекта внедрения DLP-системы включает в себя следующие подпроцессы: l закрытие (завершение) контрактов – данный подпроцесс может считаться завершенным только в том случае, если произведены окончательные расчеты и решены все возникшие в ходе исполнения контрактов спорные моменты;

l внесены все необходимые для легитимации (узаконивания) DLP-системы изменения в организационно-распорядительные документы, работники ознакомлены с ними под подпись; l проведено закрывающее совещание – все участники проекта подтвердили полное выполнение работ и его окончание. Таким образом, рассмотренный в данной статье пример показывает, что методологию проектного управления можно эффективно использовать для реализации мероприятий, направленных на обеспечение информационной безопасности организации, в том числе и при внедрении DLP-систем. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 39


smart 10/31/18 3:26 PM Page 40

ТЕХНОЛОГИИ

DeviceLock DLP как современная гибридная DLP-система Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк")

И Ключевая задача серверного DLP-компонента, работающего с копией сетевого трафика организации в целом, состоит в контроле использования сотрудниками сетевых каналов передачи данных при нахождении пользователя внутри корпоративного периметра, включая сбор доказательной базы, обнаружение ИБ-инцидентов. В то же время endpoint-агенты гибридного DLP-решения призваны решать задачу контроля за использованием съемных накопителей, канала печати, сетевых приложений с проприетарным шифрованием, причем с применением контентной фильтрации в режиме реального времени для всех потенциальных каналов утечки данных в DLP-системах, претендующих на звание полнофункциональных агентов. Первым таким примером гибридной DLP на российском рынке является обновленная версия DeviceLock DLP 8.3, дополненная серверным модулем DeviceLock EtherSensor. Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности: мониторинга сетевого трафика компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижения нагрузки на рабочие станции пользователей за счет раздельного контроля сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLPполитик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий

40 •

дея полноценной гибридной DLP-системы, позволяющей обеспечить надежную защиту от утечек данных и мониторинг сетевого трафика на широчайшем спектре каналов передачи данных, состоит том, чтобы эффективно использовать сильные стороны сетецентричной и endpoint DLP-архитектур в различных сценариях и в разных постановках задачи предотвращения и контроля за утечками данных. В большинстве DLP-систем, представленных на российском рынке, определяющим выступает сервер перехвата сетевого трафика, как правило работающий в пассивном режиме, и практически всегда присутствует endpoint-агент для решения несовместимых с контролем трафика на уровне шлюза задач: контроля устройств и некоторых Web-сервисов и протоколов. Однако наличие в системе агента – еще не признак полноценной гибридной DLP, это всего лишь разнесение разных функций контроля по разным компонентам.

контроль пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных. Рассмотрим несколько типовых сценариев использования DeviceLock DLP как гибридной DLP-системы. Наиболее простым является весьма распространенный сценарий, когда полноценный контроль сетевого трафика с блокировкой передачи данных невозможен или неприменим. Такая ситуация возникает при использовании в корпоративной сети гостевых компьютеров и мобильных устройств, а также для рабочих станций под управлением ОС Linux и MacOS. Кроме того, перехват и анализ сетевых коммуникаций непосредственно на рабочих станциях может быть невозможным или чрезмерно ресурсоемким на рабочих станциях со слабыми вычислительными мощностями. Решение задачи контроля сетевого трафика в таком сценарии обеспечивается перехватом и анализом трафика на уровне сети – прослушиванием трафика с зеркальных портов сервера,

интеграцией с NGFW-устройствами и прокси-серверами, другими методами, не требующими установки агента на рабочих станциях, что с успехом обеспечивается сервером EtherSensor. При этом задача DLP-контроля периферийных устройств и портов рабочих станций выполняется агентом DeviceLock (на операционных системах Windows и MacOS), а в базе данных сервера DeviceLock Enterprise Server для централизованного анализа собираются события и данные как от EtherSensor в части объектов сетевого трафика, так и от агентов DeviceLock в части контроля устройств. Второй типичный сценарий – мониторинг сетевых коммуникаций при недопустимости блокировки передачи данных по сети. В некоторых организациях задача контроля сетевого трафика ограничивается протоколированием и анализом архива перехваченных данных вследствие ряда факторов. Например, для реализации полноценного DLP-контроля с блокировкой утечки данных ограниченного доступа недостаточно ресурсов службы ИБ, или пассивный контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сетевого периметра, или руководство опасается риска вмешательства в выстроенные бизнес-процессы с сетевым обменом информацией. Известны случаи, когда организация не оценивает риски утечки данных как критичные для бизнеса или, наконец, нет возможности классифицировать конфиденциальные данные либо определить критерии детектирования данных ограниченного доступа для при-


smart 10/31/18 3:26 PM Page 41

ЗАЩИТА СЕТЕЙ

менения механизмов контентной фильтрации и предотвращения утечки таких данных. В этом сценарии использования DeviceLock DLP организация получает в свое распоряжение традиционную DLP-систему Enterprise-уровня, способную отслеживать и анализировать трафик на очень больших потоках (вплоть до анализа трафика от сотен тысяч сотрудников) с низкими затратами на развертывание и текущую эксплуатацию, а также незначительными требованиями к техническому оснащению. Решение в данном сценарии полностью соответствует предыдущему. Разница лишь в распознавании критериев конфиденциальных данных и возможности использования контентной фильтрации при попытке передачи данных ограниченного доступа. В таком случае данный сценарий перетекает уже в другую вариацию – применение полноценной гибридной DLP-системы для контроля отдельных сотрудников, подразделений или в масштабах всей организации. Дальнейшее развитие логики комбинирования возможностей агентов DeviceLock и сервера EtherSensor приводит нас к сценариям, более сложным в воплощении, но при этом намного более эффективным для предотвращения утечек конфиденциальных данных. Прежде всего это сценарий, предусматривающий раздельный контроль сетевых коммуникаций в соответствии с подключением к корпоративной сети, когда в зависимости от текущего статуса подключения (доступность локального сетевого подключения, доступность контроллера домена, доступность DLP-сервера) может варьироваться степень актуальности доступа к корпоративной информации, а следовательно необходим гибкий подход к реализации защиты информации от утечек. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика (различных комбинаций правил и параметров контроля) в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий, раздельный контроль сетевых коммуникаций пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, в целях предотвращения утечки конфиденциальной информации, а инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. При переключении агента DeviceLock на защищаемой рабочей станции в режим офлайн происходит автоматическое переключение политик на максимально необходимый уровень контроля сетевых коммуникаций с учетом возможной недоступности исходя-

www.itsec.ru

щего сетевого трафика с рабочей станВ таком сценарии достигается качеции для сервера EtherSensor. ственный баланс возможностей и рисков: риски, связанные с блокировкой, делеВ результате раздельного контроля с гируются агентам на защищаемых комприменением автоматического перепьютерах, при этом задачи мониторинга ключения онлайн- и офлайн-режимов в сетевого трафика и детектирования собыагенте DeviceLock с мониторингом тратий безопасности по всей сети в целом фика на уровне сервера EtherSensor поручаются серверу EtherSensor. достигается полноценный контроль сетевых коммуникаций вне зависимости от Если пойти дальше, можно рассмотреть – местонахождения и способа подключения и достаточно легко реализовать! – наик сети Интернет контролируемых комболее мощный сценарий использования пьютеров. Такой подход особенно просовременной гибридной DLP-системы, дуктивен при решении задачи контроля когда помимо возможностей разделения мобильных сотрудников, использующих уровней контроля (мониторинга и блокиноутбуки и лэптопы для работы вне офиса. рования передачи данных) между агентом и сервером DLP-системы DeviceLock DLP Еще эффективнее будет сценарий добавляется избирательный подход для селективного контроля сетевых коммуразличных пользователей и групп польникаций, когда благодаря совместному зователей либо для разных компьютеров использованию функциональности endи групп компьютеров. point-агента и технологий серверного В таком варианте полнофункциональперехвата сетевого трафика достигается ные агенты DeviceLock выполняют непоизвлечение всей полноты возможностей средственно и только на защищаемых гибридной системы. Он является наиборабочих станциях все DLP-функции (контлее мощным сценарием контроля сетероль доступа, протоколирование, тревых коммуникаций из всех возможных вожные оповещения), только для укана сегодня. занных пользователей и групп пользоваВ таком сценарии наиболее критичетелей. Сетевая активность пользователей ская часть сетевых приложений, раси групп, которым для выполнения бизсматриваемых как потенциальные кананес-задач требуется свободный доступ к лы утечки конфиденциальных данных различным каналам сетевых коммуни(например, мессенджеры с возможностью каций, отслеживается сервером EtherSenпередачи файлов), равно как и локальные sor посредством перехвата и анализа порты и устройства, контролируются агенсетевого трафика на уровне периметра. том DeviceLock. Процессы передачи данДанный сценарий также является крайных ограниченного доступа (также на не продуктивным для контроля так назыуровне агента, "в разрыв") подвергаются ваемых групп риска, когда на агентах в режиме реального времени анализу DeviceLock создаются специальные набосодержимого с принятием решений о ры политик для DLP-контроля различных допустимости передачи, либо о создании учетных записей, а переключение притеневой копии для целей расследования меняемых политик выполняется в реальинцидентов, либо о направлении треном времени путем включения таких вожного оповещения по факту срабатыпользователей в группу пользователей, вания DLP-правила. Контроль прочих соответствующих той или иной группе сетевых коммуникаций, рассматриваериска. мых как имеющие меньшую степень В любом сценарии одновременного риска с точки зрения противодействия использования серверного модуля Deviceутечке данных (когда для решения задач Lock EtherSensor в сочетании с еndpointинформационной безопасности достакомпонентами комплекса DeviceLock DLP точно мониторинга и анализа переданных в режиме гибридной DLP-системы открыданных, например для серфинга Webвается уникальная возможность создасайтов и сервисов поиска работы), выполвать гибкие DLP-политики с различными няется сервером EtherSensor посредством уровнями контроля и реакции на события. перехвата и анализа сетевого трафика Одновременное применение двух разна уровне периметра. Кратко говоря, личных DLP-архитектур (сетевой и агентданную модель контроля сетевого траской) для контроля сетевого трафика фика можно описать как мониторинг значительно повышает надежность решевсего трафика (EtherSensor) + селективния задачи предотвращения и выявления ная блокировка недопустимых попыток утечек информации. l (агент DeviceLock DLP). Что важно, политики включения или отмены блокировки любых сетевых протоколов и сервисов как на уровне контекста, так и в контентно-зависимых правилах могут быть изменены и применены службой ИБ в любое NM время без перезагрузки АДРЕСА И ТЕЛЕФОНЫ пользовательских рабоАО "СМАРТ ЛАЙН ИНК" чих станций и без участия см. стр. 56 пользователя.

• 41


matveev 11/2/18 6:22 PM Page 42

ТЕХНОЛОГИИ

Главной проблемой безопасности остается человек Лев Матвеев, председатель совета директоров компании “СёрчИнформ” – Как вы оцениваете состояние рынка ИБ в России? – Позитивно. Он быстро растет: мы подсчитали, что потенциальный объем рынка – порядка миллиарда долларов в год. Сейчас все больше людей понимает, что информационная безопасность не менее важна, чем физическая.

– Какие проблемы и угрозы информационной безопасности на международном уровне вы могли бы выделить? – Проблемы на международном уровне те же, что и в России, – внешние атаки и злоумышленники внутри компании. Это как деструктивные действия хакерских групп, так и недобросовестные сотрудники, которые "сливают" информацию и вредят компании. За рубежом с информационной безопасностью все чуть хуже, чем в РФ, в силу ряда законодательных, политических и исторических причин. Например, в сентябрьском дайджесте1 мы публиковали обзор утечек данных в мире. В нем есть информация о крупнейшей утечке в американском бюро кредитных историй Equifax, из-за нее пострадало 147 млн человек. У нас таких масштабных инцидентов зафиксировано не было. ИТ-безопасность – одна из немногих областей, где Россия впереди других стран.

– В чем вы видите главные проблемы ИБ в России? – В госсекторе, который принимает правильную программу по цифровизации, однако реальной безопасностью заниматься не очень-то стремится. При этом госорганизации хранят наиболее критичную с точки зрения утечек информацию – полный набор персональных данных граждан: паспорта, данные о месте жительства, налогах, медицинская информация и другая, государственная и военная тайны. Перечислять можно долго. Чем больше такой информации переходит в цифру, тем лучше ее надо охранять. Госкорпорации осознают это в части защиты собственных данных. Но с информацией граждан все обстоит печальнее, потому что вроде как она ничья, а значит и защищать ее не надо. С цифровизацией можно привести такую аналогию: строится хороший дом, а входную дверь поставить забывают. Дверь по сравнению с ремонтом недорого стоит, так что вопрос не в деньгах. Просто забыли, и могут ворваться вандалы или воры. Цифровизация, в отличие от простой двери, создает больше проблем в плане защищенности людей. Пара конкретных примеров из отрасли. Сканируют паспорта в гостиницах,

а потом в Интернете можно купить эти копии по очень доступным ценам – около 300–400 рублей. Те же админы в гостиницах подрабатывают этим. Никто не озабочен вопросом ввода обязательных правил по установке системы информационной безопасности, которая бы элементарно отслеживала, что сканы паспортов уходят наружу. В любой, даже маленькой, гостинице это не те затраты, которые не позволят бизнесу развиваться. Или медицина. Это вообще больная тема. Идет перевод в "цифру": истории болезней, протоколы лечения, назначения лекарств и прочее – все в открытом виде, ничего не защищено. Тут как раз за рубежом лучше, чем в России. – Какие угрозы в сфере ИБ наиболее сильно затронули бизнес в 2018 году? – Проблемы типовые: фишинг не теряет актуальности, атаки на отказ в обслуживании все еще результативны, инсайд, шантаж, шпионаж, интернетмошенничество – это неполный список. Сравнительно недавно стала актуальной еще одна угроза, точнее тренд, – распространение облачных технологий. Возможности Интернета стали активнее использоваться как бизнесом, так и конечными пользователями, многие перешли на облачные сервисы и заливают туда огромные массивы информации. Но остается проблема "сквозной авторизации" (использование одного аккаунта для ряда систем), при ошибочном использовании она объединяет сферы, которые соединяться не должны: личную и корпоративную. Сейчас огромный массив рабочих данных можно переместить из корпоративной инфраструктуры в личную, в один клик, просто по ошибке. Для бизнеса это актуальная проблема. – Можете ли порекомендовать бизнесу инновационные методы борьбы с угрозами? – Прежде чем внедрять инновационные методы, нужно обеспечить основы защиты. Прежде всего отдавайте предпочтение, пусть не самым инновационным, но проверенным технологиям. Машинное обучение, нейросети, элементы искусственного интеллекта, поведенческая аналитика – звучит, конечно, прогрессивно, но далеко не всегда при-

1

https://www.itweek.ru/security/news-company/detail.php?ID=203601

42 •


matveev 11/2/18 6:22 PM Page 43

www.itsec.ru

ЗАЩИТА СЕТЕЙ

носит ощутимый результат. Лучше решать проверенной технологией новые задачи, чем для старых задач использовать новые продукты. Из прикладных рекомендаций: в любом случае нужно ставить систему защиты данных (DLP). Чтобы развеять сомнения в необходимости такого ПО, можно просто провести пилот. Не все, но многие вендоры предоставляют возможность бесплатного теста в течение месяца. Этого времени чаще всего достаточно, чтобы увидеть проблемы, связанные с защитой информации, и на основе этих данных принять решение. Самое распространенное заблуждение руководителей – что все вокруг "белые и пушистые". Система, как правило, помогает убедиться, что в собственной компании все не так хорошо, как вы думаете. В любой компании, где больше 50 человек, найдутся недобросовестные люди, которые захотят получить от организации больше, чем просто зарплату. Наша практика показывает, что в среднем после одного-двух месяцев эксплуатации системы руководитель бизнеса принимает решение об увольнении 2% персонала за различные выявленные нарушения. В случае с безопасностью бизнеса уместна та же аналогия с дверью. Не помню, где и от кого слышал, но очень понравилось: если считаешь, что вкладываться в информационную безопасность не нужно, сними входную дверь в квартиру, а на вырученные деньги купи мягкий диван и оставь квартиру открытой. Мягкого дивана, да и других вещей, очень скоро не станет. – Вы сказали, что за рубежом больше внимания уделяется частной жизни сотрудников. Как с правовой точки зрения, не нарушает ли DLP права человека? – Не нарушает, если не ставить DLP на личное устройство сотрудника и не контролировать его работу тайком. Практика документального оформления работы DLP-системы в компаниях давно проработана. Если совсем просто: нужно прописать необходимые пункты в трудовом контракте, внутренних регламентах организации и ознакомить работника с этими правилами под роспись. В дополнение подчеркну, что компании обязаны контролировать работу сотрудников, так как должны защищать, например, персональные данные клиентов от утечки, охранять медицинскую, коммерческую, государственную, военную тайну, другую критически важную информацию. – То есть получается, что DLPтехнологии неприменимы к технологии BYOD, когда человек работает со своего устройства. – И да, и нет. Неприменимы, потому что это личное устройство. Работодатель не имеет права ничего устанавливать

на него. Потому здесь два пути: либо предоставить работнику корпоративный телефон, планшет или ПК, либо смириться с рисками, которые несет BYODконцепция. При этом если человек пользуется Wi-Fi-сетью, которая принадлежит компании, то все потоки данных, которые через нее проходят, могут контролироваться работодателем на законном основании, потому что Wi-Fi и роутер – собственность работодателя.

– Многие вендоры сейчас сосредоточились на технологии UEBA. Как вы к ней относитесь? – Это хороший маркетинговый ход, да и сама технология интересна, но результата пока нет. Вендоры заявляют ее, но никто не может показать в действии, с прикладными, а не надуманными кейсами. Это в основном красивые слова о том, что на основании поведения пользователя что-то и както определяется. Когда интересуешься деталями, что технология позволяет сделать такого, чего нельзя сделать другими средствами, то понимаешь – ничего. В прошлом году на конференции Gartner на мою прямую просьбу рассказать о кейсах с реально работающей технологией спикер привел в пример ситуации, которые отрабатываются без всякой UEBA. В итоге мы пришли к совместному выводу, что UEBA – это просто статистические отчеты, выход за рамки “среднего”, а не попытка понять и оцифровать человеческое поведение. В нашей системе подобное реализовано уже 5–7 лет назад, но еще тогда мы не считали это чем-то особенным, тем более – прорывным. Есть занятный кейс на тему. В одном из региональных офисов обнаружился всплеск активности по чатам. Сотрудник службы безопасности после проверки сигнала DLP установил, что один из сотрудников пришел на работу в нетрезвом виде и весь офис вместо работы обсуждал его 40 минут в чатах. Вот вам и пример UEBA. Увы, коллеги по рынку очень любят поговорить на эту тему, но стоит задать конкретные вопросы: что она дает? как с ней работать? можно ли

ее протестировать? – слышишь только уклончивые ответы: наши специалисты изучат, проконсультируют, внедрят, подумают и так далее. Как только начинаются разговоры про консалтинг, это означает, что готового продукта нет. – Понятно, почему вы выбрали другой вектор. Расскажите, пожалуйста, что из себя представляет профайлинг? В чем вы видите его преимущества? – Профайлинг зародился в 60-х годах в Израиле для борьбы с терроризмом. В последнее время профайлинг используется в социально-психологических методиках для оценки достоверности сообщаемой информации по поведению человека. Это напоминает невербальный детектор лжи. Мы же пошли дальше и оцифровали профайлинг, создав модуль ProfileCenter в составе DLP-системы. Он дает оценку личности человека: анализирует все коммуникации сотрудников и формирует их психологические портреты. ИБ-специалист может использовать их, чтобы прогнозировать поведение работников в нормальных, критичных и стрессовых ситуациях, рассчитывать кадровые риски и проводить профилактику, выявлять нелояльных сотрудников и предупреждать инциденты ИБ. Плюс к этому он дает дополнительные бонусы бизнесу. Например, когда решается вопрос о повышении сотрудника, профайлинг подскажет, кого из нескольких претендентов лучше повысить. Некоторые клиенты уже сейчас применяют модуль для формирования наиболее эффективных и сплоченных команд в проектной работе, для длительных командировок и тому подобное. Поэтому профайлинг мы рассматриваем как логическое продолжение информационной безопасности. Ориентируемся не на маркетинг и красивые слова, а на продукты, которые помогут службе безопасности и дадут реальные результаты бизнесу. Если люди видят эти результаты, они готовы вкладывать деньги. – Верно ли, что UEBA и профайлинг довольно близки друг другу по функционалу? – Если ориентироваться на маркетинговые описания – да, если смотреть на реальный функционал – нет. UEBA – это статистика (например, кто сколько сообщений пишет) и корреляция статистических данных. А профайлинг – это психолингвистика. На основании анализа текстов, которые пишет человек, составляется его психологический портрет. Цель одна – предотвратить ИБ-инциденты, но подходы и результат совсем разные.

• 43


matveev 11/2/18 6:22 PM Page 44

ТЕХНОЛОГИИ

– DLP – один из наиболее удачных примеров отечественных технологий. Востребованы ли российские разработки за рубежом? – Да, востребованы. Однако, выходя на международный рынок, мы сознательно изменили позиционирование. DLP, которые есть на Западе, очень ограниченны по функционалу. Компании их ставят для галочки, они не решают большинства проблем, а просто блокируют информацию, не имея нормальной аналитики. В России же DLP развиты гораздо сильнее. Наша DLP, например, не просто перехватывает информацию, но анализирует ее так хорошо, что обеспечивает минимум ложных срабатываний, позволяет проводить качественные расследования, от кого и куда уходит информация, какие еще некорректные инциденты происходят в компании и ведут к потере денег. Поэтому мы позиционируем нашу систему за рубежом как MLP – Money Loss Prevention – решение для предотвращения потери денег. – В чем заключается принципиальная разница в подходах к разработке DLP-систем российских и зарубежных вендоров? – У российских служб безопасности другие требования к продукту. В России исторически сложилось, что после распада Советского Союза в коммерческий сектор пришло много бывших сотрудников органов, которые возглавили службы безопасности. Эти люди прекрасно понимали, что такое информация, какова ее ценность и как нужно строить работу по ее защите. У них был прикладной оперативный опыт, под который они выбирали подходящие инструменты. На Западе – наоборот, на имеющихся инструментах нарабатывался опыт, не выходя за рамки их возможностей, естественно. Мы развивали систему исходя из запросов клиентов и реальных кейсов, о которых они нам рассказывали. Так и получилось, что мы разрабатывали ПО на основе жизненных реалий и построили защиту даже от самых изощренных мошеннических действий.

44 •

– Куда движется сейчас развитие DLP-продуктов? Можно ли ожидать какой-то технологический прорыв в данном направлении? Например, в ближайшие год-два. – DLP движутся от средств защиты данных к средствам защиты бизнеса. Это закономерно, так как разработчики наращивали функциональные возможности систем согласно потребностям заказчиков. Заказчикам, в свою очередь, недостаточно только защиты данных, их запросы направлены на защиту бизнеса в целом. Сюда входит и детектирование групп риска, вопросы занятости сотрудников, проблемы воровства и откатов и тому подобное. И если в РФ отрасль привыкла, что некоторые из перечисленных задач решаются через DLP, то на Западе такой подход вызывает "вау-эффект". В качестве перспектив развития я бы назвал движение защитных решений в сторону укрупнения. Теперь заказчику мало одной DLP, он хочет закрывать внутренние угрозы комплексным продуктом от одного вендора. Именно поэтому мы расширяем линейку ПО и избавляем заказчиков от головной боли с так называемым зоопарком продуктов. Они увидят результат в едином AlertCenter, им будет удобно проводить расследования. Ситуация, когда клиент сначала видит аномалию в SIEMсистеме, а затем проводит расследование в DLP, – нередкая. Прыгать из одного ИТ-решения в другое – неудобно и долго. Если такая ситуация случается раз в полгода – не проблема, но если в компании сидят 10 аналитиков и ежедневно работают с инцидентами? Здесь экономия даже 20 минут на каждом расследовании – это огромные деньги.

– Каковы ваши прогнозы по основным угрозам 2019 года? Ожидается ли что-то кардинально новое по сравнению с 2018-м? – Не уверен, что это будет в 2019-м, возможно, позже, в 2020 или 2021 году. Но вообще грядет новая угроза – умные вещи. Холодильники, микроволновки, браслеты и прочие смарт-устройства, которые сами общаются по Интернету

и еще много чего делают. Рано или поздно они станут серьезной угрозой. Ведь они знают вас лучше всех (вплоть до показателей здоровья), а хранят данные "где-то там". Как они защищены и защищены ли вообще – загадка. Если умное устройство используется в офисе, его изолируют от корпоративной сети. Но домашнюю сеть человек не будет защищать так, как работодатель защищает корпоративную, и есть косвенная угроза: унесенный домой документ может "утечь" в руки злоумышленников, проникших через умные устройства, которые человек установил у себя в квартире. На Западе сейчас эта проблема стала настолько критичной, что появляется законодательное регулирование. В Калифорнии появился закон о недопустимости дефолтных паролей (паролей по умолчанию) для устройств, каждое устройство должно иметь уникальный пароль. Пока за этим не следят, 90% пользователей не меняет пароль у умного устройства. Не нужно быть хакером, чтобы узнать идентификатор смарт-устройства интересного тебе человека, а если у него еще и умный чайник, умная камера со стандартным паролем, то и "в гости" к pнему зайти вообще ничего не стоит. – Какие технологические тенденции являются наиболее перспективными? – Пока сложно сказать. Нельзя прогнозировать все, что в мире может появиться. Часто интересные новинки появляются в результате стечения обстоятельств, на стыке разных технологий. Тот же автоматизированный профайлинг не смогли бы создать отдельно ни профайлеры, ни технические специалисты. Просто так совпало, что в мое поле зрения попал один из основателей профайлинга в России, это случайность, потому что этот человек психолингвист и далек от ИТ-стартапов. Но вот, кстати, профайлинг укладывается в общие технологические тенденции. В безопасности все возрастает роль оценки человека по косвенным признакам. Мы сейчас собираемся сделать распознавание электронного почерка человека, это косвенный показатель оценки его состояния. В отрыве от других эта технология особого смысла не имеет, но в комплексе с тем же профайлингом позволяет получить о человеке гораздо больше информации. На Западе есть технологии, которые по тембру голоса определяют, в каком человек настроении. Пока это на уровне развлечения. Тенденция – максимальная оценка по общедоступным косвенным признакам того, какие риски и угрозы ждать от человека. Потому что главная угроза безопасности – сам человек. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


rybin 11/2/18 6:22 PM Page 45

www.itsec.ru

ЗАЩИТА СЕТЕЙ

Классификация и защита бизнес-информации Андрей Рыбин, директор по развитию, Периметрикс

В

июньском номере нашего журнала в рамках спецпроекта DLP была опубликована статья директора по развитию компании Периметрикс Андрея Рыбина, посвященная применению технологий EDRM и DLP для решения задач предотвращения утечек ценных данных. В этом номере мы решили продолжить разговор и узнали, какая должна быть эффективная DLP-система, куда движется отрасль и что такое информационноцентричная модель безопасности.

– Выбор DLP-системы, ее возможности и эффективность предотвращения утечек – на что вы как разработчик (интегратор) рекомендуете обратить внимание? Что считаете самым важным? – С учетом существующих киберрисков простого функционала DLP недостаточно. Кроме мониторинга и блокировки, для надежной защиты необходимо шифрование файлов, папок и дисков. Мировые лидеры в области DLP (Symantec, McAfee, Digital Guardian) включают функции шифрования и интеграцию с IRM/EDRM в состав своих решений. – Ключевая задача DLPсистемы – предотвращение утечки техническими методами. Какие способы обхода DLP-систем могут использовать инсайдеры и как им противостоять? – От самого простого способа – архива с паролем – до построения SSL-туннелей и использования клиента TOR. Противостоять нужно путем применения четких и жестких политик безопасности и специализированных решений, основанных на применении Data-Centric Security. При таком подходе фокус защитных мероприятий переносится от контроля над каналами к контролю над данными, что позволяет: l идентифицировать и защитить все информационные активы независимо от их расположения как внутри периметра организации, так и вне его;

l ограничить и строго контролировать доступ к данным конфиденциального характера через все сети, устройства, информационные системы, сервисы и прочее; l протоколировать и инспектировать все действия, совершаемые с чувствительными данными; l ускорить бизнес-процессы компании за счет использования защищенной цифровой экосистемы, включающей внутренних и внешних бизнес-пользователей и передовые технологии безопасности данных на протяжении их жизненного цикла. – Многие российские DLPвендоры делают акцент на инструментарии анализа событий и инцидентов при слабых возможностях недопущения утечки данных. В чем эффективность таких DLP-систем и какую реальную пользу они могут принести заказчикам? – Использование решений российских DLP-вендоров может быть полезно для расследования инцидентов, установления нелояльных и склонных к злоупотреблениям сотрудников и прочих мероприятий, проводимых, как правило, службой экономической безопасности. Наличие в компании "архива коммуникаций сотрудников" предоставляет возможности для различного рода аналитической работы. – В последнее время повышается значимость принципов невмешательства в личную переписку и личную жизнь, появляются новые законы (такие как GDPR). Учитывают ли разработчики

DLP-систем, что в потоке данных могут попадаться личные данные, а их сбор и хранение в архивах может быть незаконным и привести к юридическим последствиям? – Как правило, такие риски снижаются заключением с сотрудниками соответствующих соглашений и обязательств и утверждением в компании комплекта организационно-распорядительных документов, переводящих использование DLPсистемы в легальную плоскость.

Типовые страхи пользователей при работе с конфиденциальной информацией: l "Я несу материальную ответственность за возможный ущерб при утечке!" l "Не оставил ли я где-нибудь на файлообменнике черновик с конфиденциальными сведениями?" l "Что, если файл с моего компьютера прочитает сотрудник-злоумышленник?" l "Или какой-нибудь всемогущий хакер своим вирусом унесет его через сеть?" l "А если вместо моего начальника его откроет ктото другой?" l "Или тайно распечатает и унесет?" l "Или скопирует самое важное и отправит в Интернет?"

– Почему большинство российских DLP-систем практически не используются на Западе? Существует ли принципиальная разница между DLP-системами российских и зарубежных вендоров? Что влияет на продажи больше всего – функциональные возможности, геополитические аспекты, легальность использования?

• 45


rybin 11/2/18 6:22 PM Page 46

ТЕХНОЛОГИИ Сегодня мировые вендоры идут по пути, когда одна компания приобретает другую с целью интеграции в единый продукт. Последний

пример такого явления – приобретение Symantec португальской компании Watchful Software с целью создания Symantec Information Centric Tagging и последующей реализации подхода Data-Centric Security из следующего набора решений: l Symantec Information Centric Tagging;

l Symantec Data Loss Prevention;

l Symantec Information Centric Encryption;

l Symantec Validation and ID Protection Service.

– Принципиальная разница существует в подходах к инцидентам. На Западе принято их предотвращать, в то время как в России, как правило, занимаются расследованиями и поиском виновных. Эта особенность нашего менталитета отражается в требованиях заказчиков к DLP-системам и находит отклик в решениях, предлагаемых российскими разработчиками. Соответственно, функциональные возможности российских DLP-систем мало востребованы на Западе и наоборот. Кроме того, отмечается технологическое отставание российских вендоров, обусловленное отсутствием серьезных инвестиций в развитие продуктов.

Использование решений российских DLP-вендоров может быть полезно для расследования инцидентов, установления нелояльных и склонных к злоупотреблениям сотрудников и прочих мероприятий, проводимых, как правило, службой экономической безопасности. Наличие в компании "архива коммуникаций сотрудников" предоставляет возможности для различного рода аналитической работы.

Основные ограничения DLP-систем связаны с невозможностью отслеживания всех каналов утечки и обработки всех форматов данных. Самое сложное при внедрении DLP – это определение данных, которые необходимо защищать, и всех возможных каналов утечки. Кроме того, необходимо ограничивать использование программ/протоколов/типов данных, которые не обрабатываются DLPрешением. Если же требуется передать конфиденциальные данные "за периметр" организации, например партнерам, то как отследить, что они не "утекут" от партнера? Тут и возникает необходимость в IRM/EDRM-решениях.

46 •

– Какие новые функциональные возможности вы добавили в свое DLPрешение в прошлом году? – Хотя наше решение тоже применяется для решения задач предотвращения утечки данных, нас нельзя относить к разработчикам DLP в его классическом понимании. Да, в нашей системе есть модуль, предназначенный для контроля некоторых каналов и протоколов передачи, по которым ценные данные могут "утечь" за пределы компании. Но мы считаем подход Рerimeter-Based Security устаревшим, и в основе нашего решения лежит идея Data-Centric Security. Программный комплекс Perimetrix SafeSpace скорее можно отнести к классу EDRM-решений. Основные ограничения DLPсистем связаны с невозможностью отслеживания всех каналов утечки и обработки всех форматов данных. Самое сложное при внедрении DLP – это определение данных, которые необходимо защищать, и всех возможных каналов утечки. Кроме того, необходимо ограничивать использование программ/протоколов/типов данных, которые не обрабатываются DLP-решением.

Если же требуется передать конфиденциальные данные "за периметр" организации, например партнерам, то как отследить, что они не "утекут" от партнера? Тут и возникает необходимость в IRM/EDRMрешениях. IRM (Information Rights Management) позволяет удаленно контролировать использование данных. За счет шифрования файлов удается предотвратить неавторизованный доступ, а с помощью клиентских приложений удается ограничить возможные действия над документами. Но использование IRM ограничивается поддержкой на уровне пользовательских приложений. Системы EDRM (Enterprise Digital Rights Management) позволяют контролировать доступ к данным: все документы шифруются, при этом ключи для расшифровки находятся на сервере и для получения доступа к ключам/серверу необходимо пройти аутентификацию. Что касается клиентских приложений (MS Word, Adobe Acrobat Reader и т.д.), то они работают под управлением агента EDRM, который гарантирует права использования документов. Классическим примером необходимости использования EDRM является защита конструкторской документации. Допустим, к таким данным имеет доступ ограниченное число пользователей – конструкторов. Риск утечки может возникнуть в связи с тем, что нет средств контроля действий пользователей, которым разрешен доступ к такой информации. Ситуация: в связи с производственной необходимостью сотрудник конструкторского бюро копирует конфиденциальные данные на свой рабочий компьютер, а затем пересылает по электронной почте коллеге. Это вполне допустимо и является частью соответствующего бизнес-процесса. Однако в результате таких действий данные могут попасть к тем пользователям, которые не имеют соответствующих полномочий, или даже к злоумышленникам. Благодаря использованию EDRM неавторизованные пользователи не смогут получить доступ к защищаемой информации, при этом все попытки доступа протоколируются. Контроль над движением информации конфиденциального характера осуществляется и

в том случае, если данные находятся "за периметром", а доступ к ним может быть централизованно отменен в любой момент. Таким образом, совместное использование технологий DLP и EDRM очень и очень оправданно. DLP – хорошее решение для мониторинга коммуникаций, опознавания содержимого конфиденциального характера с последующим оповещением или блокировкой передачи данных. EDRM – для обеспечения безопасного документооборота, в который вовлечено ограниченное число ответственных сотрудников организации и, возможно, внешних контрагентов. – Чего ждать от разработчиков DLP-систем в обозримом будущем, куда движется отрасль? – С учетом сегодняшнего ландшафта угроз информационной безопасности очевидно, что требуется совместное применение технологий DLP и EDRM в рамках подхода DataCentric Security. Первые интегрированные решения нового класса (IRM/EDRM + DLP) создавались из продуктов разных разработчиков, поэтому большого развития и популярности они не получили. Сегодня мировые вендоры идут по пути, когда одна компания приобретает другую с целью интеграции в единый продукт. Последний пример такого явления – приобретение Symantec португальской компании Watchful Software с целью создания Symantec Information Centric Tagging и последующей реализации подхода Data-Centric Security из следующего набора решений: l Symantec Information Centric Tagging; l Symantec Data Loss Prevention; l Symantec Information Centric Encryption; l Symantec Validation and ID Protection Service. Далее, на наш взгляд, вендоры задумаются об интеграции DLP/EDRM, контроля привилегированных пользователей PIM и решений класса IDM в один продукт. Такой подход позволит эффективнее решать следующие задачи службы безопасности: l защита от утечек конфиденциальной информации; l борьба с вредительством; l борьба с проявлениями саботажа;


rybin 11/2/18 6:22 PM Page 47

www.itsec.ru

ЗАЩИТА СЕТЕЙ

l соответствие требованиям регуляторов; l усиление традиционных мер защиты информации. – Вы многократно упоминали о Data-Centric Securiry. Не могли бы вы подробнее пояснить суть этого подхода и поделиться опытом его реализации на практике? – В основе нашего подхода к защите ценных данных лежит методология DCSM (Data Centric Security Model), или информационноцентричная модель безопасности, основной фокус которой нацелен на обеспечение данных соответствующим уровнем безопасности в зависимости от их бизнес-ценности. Существует несколько классификаций бизнес-информации в зависимости от ее ценности и вовлеченности в бизнес-процесс, где она обрабатывается. Такая классификация позволяет динамически управлять полномочиями как пользователей, так и приложений (процессов). Внедрение подхода DCSM начинается с формирования набора руководящих принципов корпоративной обработки данных, которые, в свою очередь, определяют политики безопасности и сервисы ИБ, необходимые для поддержки этих руководящих принципов. После идентификации информационных активов и классификации данных становится возможным определение бизнесориентированных правил управления этими данными для каждой категории информации. Допустимые действия с классифицированными данными суммируются в политики, определяющие все аспекты использования защищаемых данных в процессах их создания, обработки, хранения и передачи, на всем протяжении их жизненного цикла, от создания до утраты полезности. Эти политики транслируются в настройки ИБ-сервисов и прикладные пользовательские системы, образуя прочную связь между бизнесом и ИТ-технологиями, которые теперь могут быть сфокусированно применены в необходимом контексте. Реализуя ядро концепции DCSM, наш программный комплекс Perimetrix SafeSpace (PSS) обеспечивает классификацию ценных данных и соблюдение устанавливаемых правил работы

с данными, динамически контролируя и ограничивая отступления от этих правил. Любые действия пользователей и процессов, так или иначе не укладывающиеся в рамки разрешений, блокируются, и, таким образом, защищаемые данные могут существовать и использоваться только в пределах четко определенного периметра. Каждый проект внедрения PSS предполагает не только развертывание самого ПО, но и существенную часть работ, направленных на обследование бизнес-процессов, в рамках которых ведется обработка ценной информации в электронном виде и последующее построение модели ее защиты. Реализация режима конфиденциальности в отношении информации в электронной форме должна основываться на методологии управления рисками, учитывающей бизнес-требования, что предполагает приоритетное обеспечение конфиденциальности данных в тех рабочих процессах, где ее нарушение может нанести наибольший ущерб компании. Как правило, такими рабочими процессами являются конфиденциальный документооборот, внутрикорпоративная переписка по электронной почте, обработка данных в системе управления персоналом, финансовых и конструкторских данных разрабатываемых приборов и изделий, ноухау, схемы и методики производственных технологических процессов и т.д. Порядок анализа рабочих процессов нами проработан достаточно подробно. Мы не только выделяем подпроцессы, происходящие непосредственно в электронной среде, но и принимаем во внимание требуемые ограничения по работе с конфиденциальной информацией до и после ее преобразования в электронный вид. Результатом консалтинговой части проекта является детальная модель защиты информации, в которой описывается планируемая классификация защищаемых электронных данных и порядок нанесения на них неотрывных классификационных меток, допустимые места и форматы хранения защищаемых данных, допустимые приложения для обработки, каналы их передачи и правила преобразования из электронной формы в иные физические. Кроме того, в модели защиты

определяются полномочия пользователей по работе с электронными конфиденциальными данными в тех или иных рабочих процессах. Модель защиты затем транслируется во внутренние настройки программного комплекса. Так мы реализуем информационноцентричный подход к защите, в котором характер и ценность бизнес-данных определяют политики безопасности, реализуемые непосредственно в электронной среде.

После идентификации информационных активов и классификации данных становится возможным определение бизнес-ориентированных правил управления этими данными для каждой категории информации.

– Насколько установка вашего ПО помешает работе пользователей? Не помешают ли ограничения и блокировки привычной работе?

Системы EDRM (Enterprise Digital Rights Management) позволяют контролировать доступ к данным: все документы шифруются, при этом ключи для расшифровки находятся на сервере и для получения доступа к ключам/серверу необходимо пройти аутентификацию. Что касается клиентских приложений (MS Word, Adobe Acrobat Reader и т.д.), то они работают под управлением агента EDRM, который гарантирует права использования документов. Классическим примером необходимости использования EDRM является защита конструкторской документации.

– Во-первых, ограничительные политики не являются искусственно надуманными, они лишь реализуют те требования безопасности, которые ответственный пользователь и ранее должен был соблюдать. А вовторых, появление небольшой оранжевой метки на электронных конфиденциальных данных облегчит работу пользователей, избавив их от типовых страхов. Увидев на экране рабочего места файл с защищенной меткой, работник будет знать: файл лежит там, где ему разрешено быть, и ни в каких других местах корпоративной сети, его не откроет никто, кроме уполномоченных лиц, имеющих необходимый допуск, его случайно или злонамеренно не скопируют на флешку, не отправят по почте, не выложат в облако, не вытащат из него текст, чтобы переслать сообщением, все действия с ним учтены и известны. В этом вся разница между работой с конфиденциальными данными и с обычными. l

Каждый проект внедрения PSS предполагает не только развертывание самого ПО, но и существенную часть работ, направленных на обследование бизнеспроцессов, в рамках которых ведется обработка ценной информации в электронном виде и последующее построение модели ее защиты. Реализация режима конфиденциальности в отношении информации в электронной форме должна основываться на методологии управления рисками, учитывающей бизнес-требования.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 47


pleshkov 10/31/18 3:26 PM Page 48

ПРАВО И НОРМАТИВЫ

Проблемы обработки персональных данных в Интернете Алексей Плешков, эксперт по информационной безопасности

Несколько определений из действующей редакции Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" для выравнивания информационного поля.

Статья 3. п. 1 Персональные данные – любая информация, относящаяся к прямо или косвенно

Все, что написано ниже, – это персональное/субъективное (иногда провоцирующее задуматься) мнение автора статьи. Редакция не несет ответственности за корректность и актуальность информации, изложенной ниже, а также за доступность указанных автором ссылок на первоисточники. Так бы я на месте главного редактора журнала начал представление материала, предложенного вам к ознакомлению. Почему? Потому что тема изначально скандальная и разного рода экспертизы огромное количество доступно в открытых источниках. Базовому вопросу уже более 12 лет (привет, Федеральных закон 152-ФЗ о персональных данных 2006 г.), а решения, удовлетворяющего все стороны, до настоящего времени не найдено, не придумано и пока особо никем не ищется. Буду ли я как автор данной статьи претендовать на лавры первопроходца? Это вряд ли. Тогда в чем скандальность темы и собственно проблематика? Давайте разбираться.

определенному или определяемому физическому лицу (субъекту персональных данных).

Статья 3. п. 2 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

48 •

Часть 1 Ежедневно мы читаем сообщения в СМИ о массовых компрометациях в Интернете персональных данных (ПДн) определенных групп субъектов в России и в мире, куда, теоретически (или весьма вероятно?) можем входить и мы с вами. Примеры таких сообщений представлены ниже по тексту. Все мы, пользователи Интернета, счастливые обладатели электронной почты, как минимум раз в жизни регистрировались на каком-либо внешнем хостинге (какие при этом данные указывали и ПДн ли – это вопрос второй). Другой пример неумышленного указания ПДн в Интернете – электронные платежи по реквизитам пластиковой карты. Удобство и быстрота

электронных переводов на сайтах в сети составляет значимую часть быта держателей банковских карт. А ведь совершение платежа предполагает неявную регистрацию в процессе заполнения форм, указания реквизитов карты плательщика и данных получателя. Яркий пример размещения ПДн в Интернете: мобильные приложения, привязанные к ним сервисы и продукты становятся доступными для абонентов только после указания неких реквизитов, в отдельных случаях – ПДн. И если смотреть со стороны бизнеса или обычного интернет-пользователя, то в описанных выше примерах нет ничего страшного или угрожающего информационной безопасности. Это все базовые современные технологии или, если хотите, обязательное требование времени.

Часть 2 Однако с позиции специалистов по информационной безопасности (чья профессиональная деятельность часто может сопровождаться вялотекущей паранойей) размещение (умышленное или случайное) субъектами собственных ПДн в Интернете не только повышает риски совершения атак на субъекта ПДн с причинением ему материального или имиджевого ущерба, но и своими растущими масштабом, простотой и доступностью способствует повышению мотивации злоумышленников к совершению все новых и новых преступлений в Интернете. Уязвимости портальных Webинтерфейсов, некорректная настройка типовой базы данных, слабые пароли администраторов, социальная инженерия в отношении привилегированных пользователей, подмена реквизитов по схеме "человек посередине", удаленный доступ к рабочему месту и серверу, на котором обрабатываются ПДн – злоумышленники и в 2018 г. (как и много лет до этого момента) продолжают использовать

не слишком широкий, но показательно эффективный спектр инструментов для атак на интересующие их хранилища или персонально в отношении субъектов ПДн на просторах Всемирной паутины. Но чаще всего именно недобросовестное отношение оператора к обработке ПДн является основной причиной нарушения конфиденциальности или массовой утечки ПДн через Интернет. При подготовке данной статьи я постарался найти и проанализировать ранее неизвестные случаи утечки или некорректной обработки ПДн в Интернете. И нашел их, как это ни странно, в практике работы Национального центра по защите персональных данных Республики Молдова (далее по тексту – НЦЗПД РМ). Для иллюстрации масштаба проблемы некорректной обработки ПДн в Интернете реальные случаи из повседневной практики регулятора из так или иначе близкого нам государства подходят как нельзя лучше.

2014 год НЦЗПД РМ выявил незаконное размещение на портале Центральной избирательной комиссии в Интернете ПДн граждан РМ. После громкого судебного разбирательства, связанного в том числе с незаконным коммерческим использованием размещенных в общем доступе ПДн граждан РМ, во втором квартале 2015 г. НЦЗПД РМ вынудил в судебном порядке Центральную избирательную комиссию и Государственную регистрационную палату Молдовы, которые много лет до этого выкладывали в общий доступ на своих сайтах в Интернете ПДн, прекратить подобную практику.

2015 год Вызвал широкий резонанс беспрецедентный случай, связанный с раскрытием идентификационных данных детей, подвергшихся сексуальному


pleshkov 10/31/18 3:26 PM Page 49

www.itsec.ru

ПРАВО И НОРМАТИВЫ

насилию. В мае 2015 г. Центр по защите прав женщин уведомил НЦЗПД РМ о незаконной обработке ПДн одним из судов, который опубликовал в Интернете в открытом доступе личные ПДн детей/несовершеннолетних (имя, домашний адрес, дата рождения). Опубликованная информация содержала медицинские диагнозы отдельных субъектов ПДн. Указанная информация более года находилась в общем доступе и по решению другого суда была срочно изъята с сайта и обезличена.

2016 год Завершено одно из самых громких расследований НЦЗПД РМ, связанное с компанией STARNET, которая разместила ПДн своих клиентов в Интернете в свободном доступе. По результатам проведенной экспертизы подтверждены отсутствие согласия клиентов на подобные действияй, наличие открытого доступа к ПДн, обрабатываемых в информационной системе STARNET, фактическая обработка (хранение) в STARNET ПДн, отсутствие необходимой системы защиты информации и другие нарушения. В отношении организации, допустившей нарушения, судом выбрана соответствующая мера наказания. И таких примеров в практике НЦЗПД РМ или аналогичного отечественного регулятора можно найти десятки, если не сотни в год.

Часть 3 Громкие и масштабные утечки субъектов ПДн невольно заставляют задуматься специалистов по защите информации как об ИБ (не как о состоянии на момент формальной ком-

плаенс-проверки, а как о сложном процессе, наблюдаемом во времени), так и об основаниях для обработки ПДн (в том числе согласно п. 2.1. ФЗ-152) граждан РФ на сторонних (порой запрещенных на территории РФ или расположенных за пределами страны) порталах. Если вопросам проверки защищенности, поиска и устранения уязвимостей организаторы крупнейших российских медиапорталов уделяют хоть какоето, пусть минимальное, внимание, то вопросам комплаенса и выполнения требований территориальных органов и федеральных регуляторов в случае с крупнейшими интернет-проектами уделяется минимум ресурсов по остаточному принципу. Тут масштаб проблемы хорошо проиллюстрирует статистика работы отечественного Роскомнадзора. Согласно Реестру нарушителей прав субъектов ПДн, размещенному на сайте регулятора, только за неполные шесть месяцев 2018 г. Роскомнадзор заблокировал более 500 различных сайтов и порталов в Интернете. Более 600 сайтов, получивших предписание Роскомнадзора, самостоятельно удалили ПДн со своих страниц, не дожидаясь блокировки, объявленной в качестве потенциального наказания за нарушение ФЗ-152. К сожалению, не все актуальные проблемы попали в фокус рассмотрения Роскомнадзора за истекший период работы. Следующие вопросы и нестыковки по состоянию на октябрь 2018 г. до конца не решены (обозначим их крупными мазками): 1. Неоднозначная/вариативная трактовка термина "персональные данные" (ПДн) при их обработке в Интернете.

Определение ПДн из ФЗ-152 представлено выше по тексту. А вот, к примеру, определение ПДн (личная информация) с точки зрения корпорации Google: "личная информация – это предоставленные вами компании Google сведения, которые позволяют установить вашу личность. К ним относятся имя, адрес электронной почты, платежные данные и прочие сведения, которые могут расцениваться компанией Google как идентифицирующие, например информация из вашего аккаунта Google". В свою очередь сервис Mail.ru под термином "личные данные" понимает следующий набор: имя, фамилия, псевдоним, фотография, дата рождения, пол, город, часовой пояс, номер телефона и т.д. Попытка формально уйти от соответствия определению термина ПДн, данному в законе ФЗ-152, регулярно приводит к идейным спорам. 2. Трансграничная передача и обработка ПДн в Интернете. В сентябре 2016 г. появились новости в СМИ, породившие волну негодования пользователей портала LinkedIN в связи с его скоропостижной блокировкой на территории РФ. Оставим за рамками данной статьи реальные причины и следствия того скандала и укажем в качестве иллюстрации только официальную версию уполномоченного органа. Роскомнадзор тогда выиграл слушания в Таганском суде Москвы о нарушении организаторами LinkedIN ст. 12 закона ФЗ-152 в части трансграничной передачи ПДн, (по другим источникам – в части несогласованной передачи ПДн иностранным третьим лицам и хранения ПДн пользователей в ЦОД вне территории РФ). На основании полученного решения суда уполномоченный орган

Статья 3. п. 3 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Статья 3. п. 4 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники

Статья 3. п. 10 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Статья 3. п. 11 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

• 49


pleshkov 10/31/18 3:26 PM Page 50

ПРАВО И НОРМАТИВЫ

В политике конфиденциальности Google в действующей редакции от 25.05.2018 (кстати сказать, она менялась 28 раз за прошедшие двадцать с небольшим лет), с которой пользователи могут в любой момент ознакомиться в своем личном кабинете, термин ПДн встречается только один раз в разделе, посвященном обработке ПДн третьими сторонами по поручению Google. Дословно это выглядит так: "Google может предоставлять ПДн аффилированным лицам Google и иным доверенным компаниям и лицам для обработки от имении Google". C этим тезисом пользователи Google формально соглашаются, проставляя галочку в нужной строчке в процессе регистрации учетной записи.

50 •

совместно с операторами связи практически сразу начал планомерно блокировать доступ с территории РФ к порталу LinkedIn. Ближе к зиме 2016 г. появились официальные отчеты регулятора об успешном завершении блокировок. А что же другие импортные социальные сети? Характерны ли для них, продолжающих по состоянию на октябрь 2018 г. быть доступными для отечественных пользователей, описанные выше нарушения? Вероятнее всего ответ на этот вопрос – да. Проводили ли организаторы иностранных медиапроектов, работающих в России, разборы полетов по кейсу с LinkedIN – уверен (как минимум в двух известных мне случаях), что проводили. Завершены ли работы по минимизации подобных комплаенс-рисков для них? А вот тут большой вопрос, учитывая что основные ЦОД для поддержки крупнейших интернетпроектов продолжают размещаться вне территории РФ. Вопрос открытый, но для понимания сути проблемы № 2 более писать ничего не будем. 3. Вторжение в личное пространство внутри социальной сети, выраженное в получении несанкционированного субъектом ПДн доступа к персональной переписке и вложениям. Первое, что приходит на ум при прочтении третьей актуальной проблемы, – это слово "хакеры". Однако при дальнейшем рассмотрении модель нарушителя постепенно расширяется. В нее целесообразно включить нелояльных администраторов серверов и баз данных, маркетинговых аналитиков и аналитиков специальных служб и многих других, кто потенциально (официально или случайно) способствует утечке ПДн в Интернет и совершению атак на субъекта, оставившего свои ПДн на целевом портале. При подготовке материала для статьи я вспомнил, что не так давно получил электронное сообщение на один из своих почтовых ящиков, используемых для регистрации неосновных учетных записей в социальных сетях и интересных мне новых медиапроектах. Текст сообщения передаю вниманию читателя дословно: "Let's get straight to the point. I know that 1qaz1QAZ is your pass word. Moreover, I know your secret and I've proof

of it. You do not know me and nobody paid me to examine you. It is just your hard luck that I stumbled across your misadventures...". И далее в том же духе. Сообщение содержит угрозу разглашения моих (размещенных мною в профиле при регистрации на взломанном портале) ПДн вследствие их компрометации третьим лицом и предложение выкупить свои ПДн за небольшое (по меркам автора рассылки) вознаграждение. Понятно, что этот обезличенный текст скорее всего рассылался его авторами вслепую, полагаясь на авось, и, по теории больших цифр, чем шире область рассылки, тем больше вероятность, что она сработает хотя бы раз. Получив доступ к базе электронных адресов пользователей уязвимого портала, злоумышленники используют эту информацию в том числе для проведения атак класса "социальная инженерия". 4. Отсутствие у интернетоператора письменного согласия субъекта ПДн на обработку им ПДн данного субъекта. Форма письменного согласия субъекта на обработку его ПДн, основные ее позиции, последовательность и примеры заполнения размещены на портале Роскомнадзора уже более 10 лет. При этом организаторы интернет-порталов и социальных сетей при регистрации новых учетных записей продолжают использовать свои собственные формы, терминологию и аргументы, не предлагающие соблюдение установленных норм. Большинство специалистов по информационной безопасности сходятся во мнении, что постановка галочки в Webформе при регистрации, без использования электронной подписи или другого аналога собственноручной подписи субъекта, является существенным нарушением требований ФЗ-152 о получении оператором письменного согласия субъекта ПДн. Так или иначе, этот вопрос до сих пор окончательно не решен. 5. Нарушение требований об использовании для защиты ПДн субъектов – граждан РФ только сертифицированных ФСТЭК средств защиты информации и криптографических средств защиты с действующими аттестатами соответствия, подтвержденными ФСБ.

Для иллюстрации данной проблемы можно воспользоваться выдержкой из политики конфиденциальности компании Google (в действующей редакции). Вот о чем Google любезно информирует пользователей: "Поскольку наши серверы расположены в разных регионах по всему миру, информация конкретного пользователя может обрабатываться не в той стране, в которой он проживает. Уровень защиты информации и законодательные нормы в этой сфере могут различаться в разных странах. Вне зависимости от того, где именно осуществляется обработка Ваших данных, компания Google использует одни и те же меры обеспечения их безопасности, описанные в этой Политике конфиденциальности. Google также придерживается ряда законодательных норм в сфере передачи данных, среди которых рамочное соглашение между США и ЕС в отношении конфиденциальности EU-US Privacy Shield Framework, а также аналогичное соглашение между США и Швейцарией Swiss-US Privacy Shield Framework". Понято, что при таком подходе к защите информации вопрос об использовании сертифицированных и аттестованных средств защиты ПДн становится для интернет-оператора ПДн второстепенным. И таких вопросов остается незакрытыми еще очень много! Профилирование в аналитических системах хостера, таргетинг и персональные предложения, нарушение требования закона о забвении… "И что дальше?!" – спросите вы. Подумайте, так ли вам и вашим близким нужно раскрывать всего себя и указывать реальные данные при регистрации в формах интернет-операторов ПДн? Неужели степень притягательности сыра настолько велика, что риски компрометации и вероятность использования третьими лицами против вас ваших реальных ПДн забывается и не берется во внимание... Не забывайте читать политики конфиденциальности и условия эксплуатации сервисов интернетоператоров ПДн. В них (в любой доступной редакции) всегда можно найти много любопытного, в том числе нарушающего требования действующего на территории РФ законодательства. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


starostina 11/2/18 5:33 PM Page 51

www.itsec.ru

JOB

Взгляд в будущее: система образования и воспитания кадров, успешно отвечающая на вызовы цифровой экономики Екатерина Старостина, руководитель образовательной программы “Кибербезопасность в новой информационной среде”, Московский политехнический университет. Руководитель образовательной программы “Коммерция в IT” (Digital–коммуникации), ИТ-колледж МИРБИС. Партнер по развитию детской школы программирования CODDY SCHOOL Андрей Хохлов, старший преподаватель, Воронежский институт МВД России

В

последнее время большое внимание уделяется цифровой экономике, которая, как отметил президент Российской Федерации В.В. Путин, является не конкретной отраслью, а основой, позволяющей создавать качественно новые модели бизнеса, торговли, логистики, производства, изменить образование, здравоохранение, государственное управление и коммуникации между людьми, задать новую парадигму развития государства, экономики и всего общества с учетом обеспечения информационной безопасности государства, общества и граждан.

По определению Всемирного банка, цифровая экономика – система экономических, социальных и культурных отношений, основанных на использовании цифровых информационно-коммуникационных технологий. Переход к этой экономической модели приведет к трансформации бизнес-моделей, позволит резко сократить значение посредников и в целом изменить существующие логистические схемы, увеличит значение индивидуального подхода. При этом цифровая экономика невозможна без завершения перехода к информационному обществу, представляющему собой принципиально новый общественный порядок1, в котором важнейшим ресурсом становятся информация и ее высшая форма – знание, т.е. результат процесса познавательной деятельности человека. Именно развитие человеческого потенциала должно стать базисом для развития цифровой экономики, а для этого потребуется трансформация всей системы образования. Необходимо отметить, что

речь идет не только об отдельных направлениях подготовки специалистов, но и в целом о повышении компьютерной грамотности населения независимо от возраста, рода деятельности и места жительства. Современные информационнотелекоммуникационные технологии проникают во все сферы жизни, меняя сложившийся уклад, существенно расширяя возможности, но и порождая невнимание к обеспечению ИБ при их использовании.

Новая модель обучения В ближайшее время благодаря повышению эффективности обмена информацией между потребителями (гражданами) и поставщиками данных (государственные органы, внебюджетные фонды, коммерческие организации, например банки, операторы связи и др.) с использованием единого идентификатора появится "цифровой профиль гражданина", будет упрощен, конечно, с учетом требований по защите информации порядок дачи цифрового согласия граждан на

обмен информацией. Все это позволит информационным технологиям еще глубже проникнуть во многие сферы жизни граждан, общества и государства, а соответственно система образования должна на это адекватно реагировать. В быстро меняющемся мире с бурным развитием информационнотелекоммуникационных технологий необходимо формирование новой модели непрерывного обучения, переподготовки и постоянного повышения квалификации сотрудников сучетом растущих потребностей в новых компетенциях. Это уже отражено в программе "Цифровая экономика", утвержденной распоряжением Правительства Российской Федерации от 28 июля 2017 г. № 1632-р, и в плане мероприятий по направлению "Кадры и образование" указанной программы. В частности, перед Правительством Российской Федерации стоит задача к

По определению Всемирного банка, цифровая экономика – система экономических, социальных и культурных отношений, основанных на использовании цифровых информационно-коммуникационных технологий. Переход к этой экономической модели приведет к трансформации бизнес-моделей, позволит резко сократить значение посредников и в целом изменить существую-

1

Общественный порядок – это сложившаяся в обществе система отношений между людьми, правил взаимного поведения и общежития, регулируемых действующим законодательством, обычаями и традициями, а также нравственными нормами. Повышение роли информации в жизни государства, общества и гражданина непременно затронет и взаимоотношения между ними.

щие логистические схемы, увеличит значение индивидуального подхода.

• 51


starostina 11/2/18 5:33 PM Page 52

JOB В быстро меняющемся мире с бурным развитием информационно-телекоммуникационных технологий необходимо формирование новой модели непрерывного обучения, переподготовки и постоянного повышения квалификации сотрудников с учетом растущих потребностей в новых компетенциях. Эти уже отражено в программе "Цифровая экономика", утвержденной распоряжением Правительства Российской Федерации от 28 июля 2017 г. № 1632-р, и в плане мероприятий

2024 г. обеспечить постоянно обновляемый кадровый потенциал цифровой экономики и компетентность граждан. За достаточно небольшой период времени (всего пять–шесть лет) должны быть созданы условия для подготовки кадров цифровой экономики, проведены мероприятия по совершенствованию системы образования для обеспечения цифровой экономики компетентными кадрами. Изменения коснутся и рынка труда в части требований, предъявляемых цифровой экономикой, а также системы мотивации кадров.

по направлению "Кадры и образование" указанной программы.

В рамках направления "Информационная безопасность" программы "Цифровая экономика" к 2024 г. "должны быть решены наиболее актуальные проблемы защиты прав и свобод граждан в цифровом пространстве, создан каркас инфраструктуры безопасности цифровой экономики, в том числе в области новейших технологий, обеспечен цифровой суверенитет Российской Федерации, Российская Федерация является одним из мировых лидеров в области информационной безопасности". Современные информационно-телекоммуникационные технологии проникают во все сферы жизни, меняя сложившийся уклад, существенно расширяя возможности, но и порождая невнимание к обеспечению ИБ при их использовании. Цифровая грамотность, т.е. готовность и способность личности применять цифровые технологии уверенно, эффективно, критично и безопасно во всех сферах жизнедеятельности, должна стать основой любого современного образования.

Культура информационной безопасности Цифровая грамотность (или, как сейчас модно говорить, цифровая гигиена), т.е. готовность и способность личности применять цифровые технологии уверенно, эффективно, критично и безопасно во всех сферах жизнедеятельности, должна стать основой любого современного образования. Новые технологии не только делают нашу жизнь удобнее и быстрее, но и позволяют большему числу злоумышленников попытаться причинить нам ущерб, делая их самих зачастую недосягаемыми, а арсенал их средств более разнообразным. Ведь никакие программные и технические средства защиты информации не позволят вам чувствовать себя в безопасности, если, например, вы сами вручаете злоумышленникам доступ к своим банковским счетам. Поэтому крайне важно обеспечить формирование культуры информационной безопасности у всех слоев населения, причем начинать эту работу необходимо уже в дошкольных образовательных организациях. При переходе к цифровой экономике необходимо понимать, что конкурентоспособность организаций, отраслей, регионов и стран в целом будет зависеть не столько от эффективности использования имеющихся кадров, сколько от наличия и развития кадрового потенциала. Развитие робототехники, дистанционного обслуживания, стандартизация и унификация многих процессов позволят заменить (или существенно 2

сократить) работников роботами и информационными системами. А соответственно, востребованными останутся только специалисты с навыками и компетенциями, отвечающими новым реалиям цифровой экономики. При этом только знаний о цифровых технологиях и основах их применения будет явно недостаточно. Потребуются такие компетенции, как умение непрерывно учиться и постоянно совершенствовать уровень профессионального мастерства, умение планировать и управлять проектами, критически, инновационно и творчески мыслить, инициативность, ответственность, предприимчивость, эмоциональный интеллект, умение адаптироваться в новых, постоянно изменяющихся условиях.

Задачи, стоящие перед системой образования Это и подготовка 800 тыс. выпускников системы профессионального образования, обладающих базовыми компетенциями цифровой экономики, и подготовка ИТ-специалистов в количестве не менее 120 тыс. выпускников системы высшего образования. При этом, стоит отметить, предполагается, что доля населения, обладающего цифровыми навыками, к 2021 г. составит не менее 40%.

Образование в будущем будет все больше связано с реальными секторами экономики за счет повышения значения стажировок в первую очередь в организациях, разрабатывающих, внедряющих и использующих передовые технологии.

В рамках направления "Информационная безопасность" программы "Цифровая экономика" к 2024 г. "должны быть решены наиболее актуальные проблемы защиты прав и свобод граждан в цифровом пространстве, создан каркас инфраструктуры безопасности цифровой экономики, в том числе в области новейших технологий, обеспечен цифровой суверенитет Российской Федерации, Российская Федерация является одним из мировых лидеров в области информационной безопасности". А это потребует не только изменений в системе образования, предоставления новых возможностей, но и в целом популяризации такого направления, как информационная без-

Джаннет Уоллс. Дикие лошади. У любой истории есть начало. М.: ЭКСМО, 2015. – С. 25.

52 •

опасность. В частности, планируется открытие массовых онлайнкурсов, разработка системы сертификации специалистов в области информационной безопасности, а также включение дисциплины "Информационная безопасность" в World Skills Russia. Следующий этап – это трудоустройство и подтверждение всех компетенций, получаемых работниками в течение трудового пути, будет связано с цифровым профилем, образующим своеобразную цифровую карьерную историю каждого специалиста, – электронной трудовой книжкой. На первом этапе в нее будет включена информация об образовании, прохождении курсов повышения квалификации, достижениях в профессиональной деятельности. Кстати, использование технологий искусственного интеллекта при анализе накапливаемой информации позволит в будущем давать работникам и их работодателям рекомендации по развитию профессиональных и личностных навыков. И, конечно же, образование будет все больше связано с реальными секторами экономики за счет повышения значения стажировок в первую очередь в организациях, разрабатывающих, внедряющих и использующих передовые технологии.

Выводы Система образования и воспитания кадров, успешно отвечающая на вызовы цифровой экономики, должна готовить граждан к будущему, которое "появится скоро и неожиданно, как скорый поезд из-за резкого поворота"2. И в первую очередь это относится к подготовке кадров для обеспечения информационной безопасности, ведь цифровая свобода требует и больших усилий в деле защиты информации, а соответственно специалисты в данной сфере всегда должны быть готовыми к реагированию на новые вызовы и угрозы, которые несет нам технологический прогресс. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


NEW_PROD 11/2/18 6:22 PM Page 53

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

StaffCop Enterprise 4.4

Производитель: ООО "Атом Безопасность" Сертификат: получение сертификата ФСТЭК до конца 2018 г.; решение № 5884 от 4 мая 2018 г. Назначение: программное решение, предназначенное для мониторинга действий сотрудников, потоков информации и событий системы с продвинутой системой аналитики, возможностью выявления и расследования инцидентов информационной безопасности, утечек данных, нелояльных сотрудников и предупреждения вредоносных действий Особенности: l Endpoint-решение для Windows и GNU/Linux, в том числе Astra Linux l поддерживает работу в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы подключения l обладает высокой скоростью анализа данных и генерации отчетов благодаря использованию OLAP-технологии на базе PostgreSQL и ClickHouse l кросс-платформенная Web-консоль администратора Возможности: l оповещения об утечках и инцидентах, нарушениях политик безопасности l детектор аномалий поведения пользователей l мониторинг активности пользователей l корреляция событий и перехваченных данных l файловый мониторинг l теневые копии файлов отправляемых/копируемых за пределы компании l мониторинг коммуникаций сотрудников l мониторинг и блокировка USBустройств l мониторинг и блокировка сетевой активности l мониторинг и блокировка работы приложений l контроль печати на принтерах l запись с микрофонов, скриншоты экрана, снимки с Web-камеры l удаленное подключение к рабочему столу, запись видео рабочего стола

Характеристики: l полностью интегрированное решение, не требует приобретения лицензий на стороннее ПО l серверная часть может устанавливаться на Ubuntu Server 16.04 LTS на физической, виртуальной машине или выделенном сервере. Программаагент поддерживает ОС: Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, а также ОС на базе GNU/Linux Ориентировочная цена: 4200 руб. за 1 рабочее место Время появления на российском рынке: 2014 г. Подробная информация: https://www.staffcop.ru Фирма, предоставившая информацию: АТОМ БЕЗОПАСНОСТЬ, ООО См. стр. 37

www.itsec.ru

ние, что позволяет его интегрировать с различными подсистемами (автоматизируя работу за счет скриптов) Ориентировочная цена: рассчитывается в зависимости от состава защищаемой инфраструктуры Время появления на российском рынке: 2018 г. Фирма, предоставившая информацию: ОКБ САПР См. стр. 33

Микрокомпьютер m-TrusT

ПАК "Аккорд-KVM"

Производитель: ОКБ САПР Сертификат: завершение сертификации во ФСТЭК России до конца 2018 г. Назначение: l построение доверенной среды в виртуальной инфраструктуре l доверенная загрузка виртуальной инфраструктуры Особенности: предназначен для инфраструктуры виртуализации на базе гипервизора KVM Возможности: при установке в гостевые ОС СПО "Аккорд" для виртуальных машин (для Windows или Linux) закрывает 8 из 10 требований по защите виртуальных инфраструктур приказов № 17/21 (ЗСВ.1,2,3,4,5,6,7,10) Характеристики: l комплексное решение, ПАК "АккордKVM" включает в себя необходимые элементы для реализации большинства требований по защите информации l отказоустойчивое решение, агенты "Аккорд-KVM" в составе ПАК работают независимо (т.е. децентрализованно), что повышает уровень функционирования всей системы в целом, т.к. отсутствует "единая точка отказа" системы l адаптируемое решение, "Аккорд-KVM" предоставляет "консольное" управле-

Производитель: ОКБ САПР Сертификат: изделие не подлежит сертификации Назначение: защищенное сетевое взаимодействие средств вычислительной техники различных форм-факторов Особенности: l микрокомпьютер состоит из активной части – мезонина – и интерфейсной платы, своего рода док-станции, коммутирующей мезонин с тем СВТ, на котором он должен работать l док-станции имеют различный набор интерфейсов (коммутационных портов) для разных видов рабочих мест, в том числе довольно специфических (подвижной состав, банкомат, инфокиоск) Возможности: l наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации l встроенные средства защиты информации имеют сертификаты соответствия ФСБ России и ФСТЭК России Характеристики: l типовые характеристики микрокомпьютеров: – габаритные размеры 65x80 мм – процессор: Quad-core ARM Cortex-A17, up to 1,8 ГГц – ОЗУ: 2 Гбайт DDR3 – ПЗУ: 16 Гбайт NAND-flash – microUSB – microHDMI l пример 1 интерфейсной платы: – габаритные размеры 90x105 мм – соединитель типа розетка 87758-2016 MOLEX – разъем USB Type A – разъем Ethernet – разъем питания от источника (DC) 5 В

• 53


NEW_PROD 11/2/18 6:22 PM Page 54

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

l пример 2 интерфейсной платы: – габаритные размеры 90x110 мм – соединитель типа розетка 87758-2016 MOLEX – USB-хаб – разъем USB Type A – 2 разъема Ethernet – разъем RS-232, подключенный через преобразователь USB-RS-232 – разъем RS-485, подключенный через преобразователь USB-RS-485 – разъем для microSD-карты – разъем питания от источника (DC) 5 В l в случае, если из имеющихся в наличии интерфейсных плат ни одна не подходит, плата проектируется под конкретную систему Ориентировочная цена: определяется параметрами док-станции и необходимыми функциями Время появления на российском рынке: 2018 г. Фирма, предоставившая информацию: ОКБ САПР См. стр. 33

щего из мезонина и интерфейсной платы, не только теряет преимущества, но и становится просто неудобным. В этом случае предлагается использовать исполнение в стойку – m-TrusT-стационар Возможности: аналогичны m-TrusT Характеристики: аналогичны m-TrusT Ориентировочная цена: 145 тыс. руб. Время появления на российском рынке: 2018 г. Фирма, предоставившая информацию: ОКБ САПР См. стр. 33

Серверный модуль DeviceLock EtherSensor в программном комплексе DeviceLock DLP

Сервер m-TrusT-стационар

Производитель: ОКБ САПР Сертификат: изделие не подлежит сертификации Назначение: защищенное сетевое взаимодействие средств вычислительной техники различных форм-факторов Особенности: в ряде случаев в сетевое взаимодействие включены не только специфические рабочие места, но и некоторая центральная часть системы, представляющая собой технически совокупность серверов в серверной. В таком случае использование m-TrusT, состоя-

Производитель: АО "Смарт Лайн Инк" Назначение: l мониторинг сетевого трафика на больших потоках данных (гигабиты в секунду без потери пакетов) l протоколирование сетевых событий и передаваемых по сети сообщений и файлов на уровне корпоративного периметра с сохранением результатов перехвата и анализа в базе данных в DeviceLock DLP Особенности: l DeviceLock EtherSensor – автономный продукт в составе программного комплекса DeviceLock DLP Suite – позволяет организациям обеспечить всеобъемлющий мониторинг сетевого трафика, работая при этом на серийном

12-14 54 •

2019

серверном оборудовании или в виртуальной среде на ОС Windows с низкими системными требованиями для анализа больших потоков данных l сервер EtherSensor позволяет протоколировать сетевые события и передаваемые по сети сообщения и файлы, не задействуя при этом агенты DeviceLock, в целях контроля использования внутрикорпоративной и внешней электронной почты (включая входящую почту), Web-почты, социальных сетей, широкого ряда мессенджеров, сервисов поиска работы, форумов и блогов. Также перехватываются и протоколируются передача файлов по протоколам HTTP, FTP и в облачные хранилища. Перехваченные данные сохраняются в базе данных в DeviceLock DLP для последующего хранения и анализа, включая возможности полнотекстового поиска с помощью DeviceLock Search Server Возможности: l совместное использование агентов DeviceLock DLP, обеспечивающих полнофункциональный DLP-контроль рабочих станций, и сервера перехвата и анализа сетевого трафика DeviceLock EtherSensor, позволяет построить уникальную гибридную DLP-систему в организации любого масштаба. Благодаря сочетанию двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика службы информационной безопасности получают возможность обеспечить DLP-контроль корпоративной информации в различных сценариях, создавая гибкие DLP-политики с различными уровнями контроля и реакции на события, повысить надежность DLPсистемы при решении задачи предотвращения и выявления утечек информации. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при


NEW_PROD 11/2/18 6:22 PM Page 55

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных l гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности – мониторинга сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижения нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor Время появления на российском рынке: сентябрь 2018 г. Подробная информация: https://www.devicelock.com/ru/products/ network-hybrid-dlp.html Фирма, предоставившая информацию: СМАРТ ЛАЙН ИНК, АО См. стр. 40, 41

NCA-5220

Производитель: Lanner Electronics Inc. Назначение: 1U сетевая серверная платформа для обеспечения сетевой безопасности, облачных вычислений и ЦОД Особенности: NCA-5220 представляет собой 1U сетевую серверную платформу с процессорами Intel® Xeon® E-2100 / 8th Intel® Core™, Pentium® или Celeron® и чипсетом Intel® C246 (кодовое название Coffee Lake), имеющую высокую плотность и разнообразие сочетаний сетевых LAN-портов, широкие возможности по расширению при помощи сетевых NIC-модулей, поддержку различных типов накопителей и опциональную возможность мониторинга состояния системы

Возможности: предоставляет продвинутые вычислительные мощности для решения разнообразных сетевых задач Характеристики: семейство процессоров Intel® Xeon® E-2100 / 8th Intel® Core™, Pentium® или Celeron® и чипсетом Intel® C246 (кодовое название Coffee Lake), 12Gbe RJ45, 3 пары Bypass, 2 x RJ45 MGT, 2 слота для NIC-модулей, LCM, резервированный БП Ориентировочная цена: по запросу Время появления на российском рынке: IV квартал 2018 г. Подробная информация: http://www.lannerinc.com/products/networkappliances/x86-rackmount-network-appliances/nca-5220 Фирма, предоставившая информацию: ELKO См. стр. 7

www.itsec.ru

чипсетах C246/H310, 8x или 6x GbE RJ45 с расширением до 26x Gbe с помощью 2 х NIC-модулей Возможности: обеспечение сетевой безопасности Характеристики: l процессоры 8th Intel® Core™ family l Intel® Xeon® Xeon® E-2100 family l до 26 GbE LANs l 2 пары LAN bypass, 2 слота для NICмодулей Ориентировочная цена: по запросу Время появления на российском рынке: IV квартал 2018 г. Подробная информация: http://www.axiomtek.com/Default.aspx?Men uId=Products&FunctionId=ProductView&Ite mId=24404&upcat=233 Фирма, предоставившая информацию: ELKO См. стр. 7

NCA-4020 PT Platform 187

Производитель: Lanner Electronics Inc. Назначение: 1U сетевая серверная платформа нового поколения для vCPE/uCPE и SD-WAN решений Особенности: NCA-4020 представляет собой 1U сетевую серверную платформу с процессорами Intel® Xeon® D-2100 (кодовое название Skylake-DE), до 16 вычислительных ядер, 10 x GbE RJ45 (8 портов PoE+), 4x 10G SFP, DPDK и поддержкой Intel® QAT Возможности: утвержденное в программе Intel® Selection Solution для использования в качестве uCPE Характеристики: семейство процессоров Xeon D-21**NT, до 16 ядер, до 10 GbE RJ45 с 8 портами POE+ и 4 SFP+ и BMC Время появления на российском рынке: IV квартал 2018 г. Подробная информация: http://www.lannerinc.com/products/networkappliances/x86-rackmount-network-appliances/nca-4020 Фирма, предоставившая информацию: ELKO См. стр. 7

NA590-R8GI-C246/ NA590-R6GI-H310

Производитель: Axiomtek Назначение: 1U сетевая серверная платформа для обеспечения сетевой безопасности, облачных вычислений и ЦОД Особенности: сетевая платформа с процессорами Intel® Xeon® Xeon® E-2100 Coffee Lake / 8th Intel® Core™ family на

Производитель: Positive Technologies Назначение: реализация основных требований ФЗ-187 и функций центров ГосСОПКА Особенности: l помогает защитить объекты КИИ и построить центр ГосСОПКА в соответствии с требованиями ФСТЭК и ФСБ России l подходит для небольших инфраструктур – до 250 сетевых узлов Возможности: проводит инвентаризацию и автоматически обновляет сведения об инфраструктуре, выявляет уязвимости, вредоносное ПО и инциденты, контролирует сетевой трафик и позволяет взаимодействовать с НКЦКИ в двустороннем формате Характеристики: l единая аппаратная платформа на одном сервере l пропускная способность до 100 Мбит/с l проверка объектов на наличие вредоносного ПО – до 3000 FPH (files per hour) l гарантия на оборудование 5 лет Ориентировочная цена: от 8,7 млн руб. Время появления на российском рынке: апрель 2018 г. Подробная информация: https://www.ptsecurity.com/ru-ru/ products/platform-187/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 20, 21

• 55


NEW_PROD 11/2/18 6:22 PM Page 56

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

PT Network Attack Discovery

Производитель: Positive Technologies Назначение: выявление следов компрометации в сетевом трафике и расследование атак Особенности: l выявляет сетевые атаки: автоматически детектирует атаки с помощью сигнатурного анализа, репутационных списков и технологии выявления автоматически сгенерированных доменов l помогает детально расследовать атаки: подробно анализирует трафик, позволяет реконструировать сессии, хранит сырой трафик без ограничений по времени и помогает выявлять атаки, не обнаруженные ранее Возможности: l выявление сетевых атак на периметре и внутри инфраструктуры l ретроспективный анализ для выявления атак, не обнаруженных ранее

l реконструкция сессий для анализа

любой подозрительной сессии l соответствие требованиям законодательства по защите КИИ, персональных данных, информации в ГИС, в АСУ ТП и в информационных системах общего пользования Время появления на российском рынке: июнь 2018 г. Подробная информация: https://www.ptsecurity.com/ru-ru/ products/network-attack-discovery/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 20, 21

PT MultiScanner

Производитель: Positive Technologies Назначение: многоуровневая система защиты от вредоносного ПО

Особенности: l PT MultiScanner использует набор AVдвижков и репутационные списки для эффективного выявления известного вредоносного ПО; благодаря ретроспективному анализу продукт автоматически обнаруживает не выявленные ранее угрозы l "Песочница" обеспечивает защиту от неизвестных и новейших угроз. В ней нет наблюдающего агента, благодаря чему вредоносный объект не распознает среду запуска как эмулированную. При анализе объекта продукт отслеживает не только созданные им процессы, но и все остальные процессы системы, а также анализирует скачиваемые и генерируемые файлы Возможности: обеспечение защиты от вредоносного ПО, включая неизвестные, новейшие и скрытые угрозы, во всех актуальных каналах распространения данных: в почтовом, сетевом и Webтрафике, в файловых хранилищах, на Web-порталах Время появления на российском рынке: декабрь 2017 г. Подробная информация: https://www.ptsecurity.com/ru-ru/ products/multiscanner/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 20, 21

НЬЮС МЕЙКЕРЫ АТОМ БЕЗОПАСНОСТЬ, ООО (StaffCop) 630090, Новосибирск, просп. Коптюга, 4, офис 158 Тел.: +7 (499) 653-7152 Факс: +7 (499) 653-7152 E-mail: sales@staffcop.ru https://www.staffcop.ru/ См. стр. 37 ДИАЛОГНАУКА, АО 117105, Москва, ул. Нагатинская, 1 Тел.: +7 (495) 980-6776 Факс: +7 (495) 980-6775 E-mail: info@dialognauka.ru, marketing@dialognauka.ru www.dialognauka.ru См. cтр. 5 См. стр. 22–24 См. ст. "SOAR: автоматизация реагирования" на стр. 34, 35 ЛАБОРАТОРИЯ КАСПЕРСКОГО 125212, Москва, Ленинградское ш., 39А, стр. 3, БЦ "Олимпия Парк" Тел.: +7 (495) 797-8700 Факс: +7 (495) 797-8709 www.kaspersky.ru См. 4-ю обл. 56 •

ОКБ САПР 115114, Москва, 2-й Кожевнический пер., 12 Тел.: (495) 994-7262 Факс: (495) 234-0310 E-mail: okbsapr@okbsapr.ru http://www.okbsapr.ru/ См. ст. "Необходимо и достаточно, или контроль целостности виртуальных машин с помощью Аккорд-KVM" на стр. 33 СМАРТ ЛАЙН ИНК, АО

СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 49 ELKO 143441, Москва, 69 км МКАД, бизнес-парк "Гринвуд", стр. 7 Тел.: +7 (495) 234-9939, +7 (495) 287-8456 E-mail: info@elko.ru www.elko.ru См. ст. "Защищенный планшет для структур общественной безопасности" на стр. 7

107140, Москва, 1-й Красносельский пер., 3, пом. 1, ком. 17 Тел.: +7 (495) 647-9937 Факс: +7 (495) 647-9938 E-mail: ru.sales@devicelock.com devicelock.com/ru www.smartline.ru См. ст. "DeviceLock DLP как современная гибридная DLP-система" на стр. 40, 41

POSITIVE TECHNOLOGIES 107061, Москва, Преображенская пл., 8 Тел.: +7 (495) 744-0144 Факс: +7 (495) 744-0187 E-mail: pt@ptsecurity.com https://www.ptsecurity.com/ru-ru/ См. ст. "АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение" на стр. 20, 21


TB_Forum 10/31/18 3:27 PM Page cov3

12â&#x20AC;&#x201C;14 2019


kaspersky 10/31/18 3:27 PM Page cov4

InfScr52018  
InfScr52018  
Advertisement