Критически уязвимая инфраструктура
На каждой десятой значимой IT-системе в России стоят вредоносные программы
Каждая десятая критически значимая информационная инфраструктура (КИИ) в России скомпрометирована вредоносом, обнаружили в «Ростелеком-Соларе». Речь идет о госорганах, банках, оборонных и транспортных объектах. По оценке аналитиков, совершить атаки на их сети сейчас могут даже не слишком квалифицированные хакеры: проблема в том, что более 90% организаций своевременно не обновляют софт. Другие эксперты подтверждают выводы «Ростелеком-Солара», но говорят, что ситуация начала понемногу улучшаться, в том числе из-за изменений в законодательстве.
“Ъ” ознакомился с исследованием компании «Ростелеком-Солар», посвященным уязвимостям в объектах КИИ. В нем говорится, что каждая десятая критически значимая для России инфраструктура скомпрометирована различными вредоносами. Совершить успешную атаку на большинство таких IT-сетей могут даже хакеры с низкой квалификацией, подчеркивают в компании: значительная часть найденных в КИИ уязвимостей существует более десяти лет, но организации так и не закрыли их.
К объектам КИИ относятся госорганы, банки, предприятия оборонной промышленности, объекты транспорта, здравоохранения и др. Они по ФЗ-187 «О безопасности критической информационной инфраструктуры», вступившему в силу в 2018 году, передают информацию об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданную ФСБ.
Наличие уязвимостей в КИИ объясняется тем, что процесс регулярного обновления программного обеспечения (ПО) не налажен более чем в 90% организаций, отмечают в «Ростелеком-Соларе».
«Как правило, у таких организаций огромный парк рабочих станций, которые никогда не бывают доступны для обновления одновременно, кроме того, для обновления необходимо согласовать время простоя сервисов»,— объясняет директор центра противодействия кибератакам Solar JSOC «Ростелекома» Владимир Дрюков.
Большинство опрошенных “Ъ” компаний, которые относятся к объектам КИИ, не прокомментировали исследование. ВТБ, «Росатом», ЛУКОЙЛ, «Газпром», концерн «Алмаз-Антей», АО «Государственный космический научно-производственный центр имени М. В. Хруничева» не ответили на запрос. В Райффайзенбанке подчеркнули, что ведут непрерывную работу по «улучшению безопасности». «Производятся регулярный аудит и проверки защищенности»,— заверил руководитель отдела информационной безопасности банка Денис Камзеев.
В «Лаборатории Касперского» согласны с выводами исследования. В большинстве объектов КИИ обеспечение кибербезопасности все еще находится на низком уровне, подтвердил ведущий менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity Антон Шипулин. В части защиты информации большое количество объектов КИИ находится в «удручающем положении» и серьезных атак на них нет «по счастливой случайности, но это вопрос времени», добавляет коммерческий директор «Кода безопасности» Федор Дбар.
Большинство промышленных объектов, например, работают с прикладными ПО, которые разрабатывались под старые версии операционных систем, поэтому обновления могут быть несовместимы с другими программами и процессами, объясняет господин Дбар.
Сети КИИ, как правило, закрытые, то есть отделены от публичного интернета, поэтому часто владельцы объектов считают, что изоляции от «внешнего мира» достаточно для защиты от кибератак, отмечает он, но «это лишь снижает риск угрозы, а не устраняет ее».
Обновление софта в промышленных предприятиях идет медленнее, чем в корпоративном сегменте, но предприятия понимают опасность ситуации, поэтому внедряют компенсирующие меры информационной безопасности, уточнил Антон Шипулин. Речь, по его словам, идет, например, о мониторинге сетевой активности и событий безопасности, инвентаризации активов и уязвимостей, сегментации сети и защите периметра.
В целом динамика в области обеспечения безопасности инфраструктур КИИ положительная, оптимистичен гендиректор сети дата-центров Oxygen Павел Кулаков. По его словам, сильным драйвером этого стал ФЗ-187. В соответствии с ним, напоминает технический директор Step Logic Станислав Дарчинов, за несоответствие требованиям регулятора вводится административная ответственность, а если незащищенность КИИ привела к серьезным последствиям, может последовать и уголовная.