Продолжаем серию статей на тему отраслевой специфики и ответственности в области информационной безопасности (ИБ). В первом материале разобрали отрасль здравоохранения. Эта часть будет посвящена промышленности.
Специфика ИБ в отрасли промышленности
Специфика промышленности — работа с автоматическими системами управления (АСУ). Это многокомпонентные программные комплексы, которые состоят из автоматизированных рабочих мест, серверов приложений и баз данных, а также контроллеров. АСУ есть на всех промышленных предприятиях, а работа с ними сильно отличается от работы с информационными системами (ИС). Вот некоторые различия:
- АСУ работают в режиме реального времени;
- АСУ оперируют физическими процессами, ИС — данными;
- АСУ часто не имеют резервов памяти для реализации функций ИБ;
- АСУ используют только специализированные ОС;
- АСУ используют особые протоколы коммуникаций;
- поддержка АСУ осуществляется только их производителями и поставщиками;
- перезагрузка как метод решения проблемы для АСУ неприемлема;
- компоненты АСУ бывают расположены в физически труднодоступных местах.
Также АСУ подвержены рискам утраты целостности информации — перехвату трафика из-за используемых в промышленности контроллеров и SCADA-систем. Внешние злоумышленники могут воспользоваться этим, чтобы остановить производство или вызвать аварию. Есть и другие источники риска для АСУ:
- Сотрудники, нарушающие правила ИБ. Например, использующие флешки без их предварительной проверки антивирусами.
- Ошибки подрядчиков и/или системных интеграторов, осуществляющих установку или техобслуживание программных продуктов в АСУ.
- Устаревшие АСУ. Их жизненный цикл —
15-30 лет, и на многих промышленных объектах еще действуют SCADA-системы, настроенные для работы с устаревшими ОС. Это создает множество ИБ-рисков. - Сторонние системы управления производственными и бизнес-процессами (ERP, CRM, PM, BPMS, BPM т. д.). Они работают вместе с АСУ, используют ее данные в реальном времени и также требуют защиты.
Автоматические системы управления, так же как и информационные системы, хранят конфиденциальную информацию: технологическую, производственную, иную. Ее тоже надо защищать как от внешних злоумышленников, так и от внутренних. Далее подробнее рассмотрим портрет внутреннего нарушителя.
Типовые правонарушения ИБ в промышленности
Самые частые нарушители в отрасли промышленности — ИТ-специалисты и руководители административных подразделений. Они нарушают правила ИБ, вмешиваются в работу систем предприятия, заменяют в них данные или используют их ресурсы не по назначению. Все это попадает под неправомерное воздействие на критическую информационную инфраструктуру (КИИ), субъектами которой являются промышленные предприятия.
Также сотрудники предприятий «сливают» засекреченные сведения. Это квалифицируется как незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Рассмотрим кейсы и составы преступлений.
Неправомерное воздействие на КИИ
Согласно закону, неправомерное воздействие на КИИ — широкое понятие, под которое попадают три состава преступления:
- Создание, распространение и/или использование ПО или компьютерной информации, предназначенной для уничтожения, блокирования, модификации или копирования информации, содержащейся в КИИ, или для нейтрализации ее средств защиты.
- Неправомерный доступ к информации, содержащейся в КИИ, если он повлек причинение вреда. В том числе с использованием ПО или иной компьютерной информации, предназначенной для неправомерного воздействия на КИИ.
- Нарушение ИБ-правил при эксплуатации средств хранения, обработки или передачи охраняемой информации, содержащейся в КИИ.
Простыми словами — нельзя создавать и/или использовать программы или информацию для уничтожения, блокирования, модификации или копирования информации, содержащейся в КИИ, а также нарушать прописанные в локальных актах правила работы с данными и их носителями.
Ответственность за неправомерное воздействие на КИИ РФ — одноименная статья 274.1 УК РФ. Наказание варьируется в зависимости от тяжести и состава преступления. Но если в целом, то за нарушение можно получить штраф до 1 млн. руб. либо ограничение свободы на срок до 2 лет или лишение свободы на срок до 10 лет. Приведу в пример несколько кейсов:
- ИТ-специалист производственного предприятия установил на компьютеры сотрудников майнеры криптовалют. Доступ к компьютерам он получил при помощи учетных данных, взятых из ИС предприятия. За нарушение ИТ-специалист был осужден на два года условно.
- ИТ-специалист аэрокосмического завода регулярно опаздывал на работу. Чтобы не лишиться премии, он несколько раз вносил изменения в систему электронных проходных. Он был оштрафован на 200 тыс. руб.;
- ИТ-специалист оборонного завода подключил одно из рабочих мест в закрытом сегменте сети к Интернету и скачал несертифицированное ПО. Во время выходов в Интернет фиксировались попытки подключения к ИС завода из-за рубежа. За это специалист был приговорен к 1,5 годам лишения свободы условно.
«Особняком» от всех нарушений стоят действия «мстящих» сотрудников. Они лучше всего проверяют продуманность системы ИБ. Удаляются ли старые учетные записи, «забирают» ли сотрудники информацию на новое место работы, отправляются ли файлы бывшим коллегам и т. д. Приведу пример такого инцидента.
Бывший ИТ-специалист оборонного завода удалил резервные копии ПО, служебную документацию, а также материалы расследований. После его увольнения на завод была совершена кибератака. Ее последствия не удалось ликвидировать из-за действий «мстительного» ИТ-специалиста. Он был осужден на полтора года условно и заплатил 300 тыс. руб. в качестве штрафа.
Чтобы не допускать этих и иных нарушений, связанных с неправомерным воздействием на КИИ, организациям следует:
- Изолировать инфраструктуру и строго следить за сохранением изоляции, выявляя все нерегламентированные подключения.
- Проводить регулярный и автоматизированный аудит инфраструктуры на предмет безопасности и хранимых данных.
- Незамедлительно выполнять рекомендации систем выявления уязвимостей по их устранению.
- Контролировать и логировать любые действия сотрудников, в том числе администраторов.
Незаконное получение и разглашение сведений, составляющих коммерческую, банковскую или иную тайну
Сбор и распространение сведений, составляющих коммерческую, банковскую или иную тайну — одно из самых распространенных нарушений в принципе. Промышленность не является исключением. Здесь распространено как инсайдерство, так и корпоративный шпионаж. Отличие в форме работы. Инсайдеры — чаще всего сотрудники, которые за денежное вознаграждение сливают данные своего работодателя. Корпоративные шпионы — сотрудники, которые специально устраиваются на работу, чтобы красть данные. Ответственность за такие нарушения прописана в статье 183 УК РФ и зависит от состава преступления:
- Сбор сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, обмана, шантажа, принуждения, подкупа или угроз или иным незаконным способом. Наказание в этом случае — штраф 500 тыс. руб. либо исправительные или принудительные работы на срок до двух лет, либо лишение свободы на тот же срок.
- Незаконное разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе. Наказание — штраф до 1 млн. руб., либо исправительные работы на срок до двух лет, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.
Рассмотрим кейсы таких «сливов»:
- Топ-менеджер и совладелец крахмалопаточного завода одновременно устроился на аналогичную должность на предприятие той же отрасли в другом регионе. Он перенес базу данных контрагентов первого предприятия на серверы второго завода. Собственникам удалось получить компенсацию 500 тыс. руб. за неправомерное использование исключительных прав на базу данных, а нарушитель был осужден на 2 года условно.
- Работник производственного предприятия продал закрытую информацию о поставщиках, выпускаемых изделиях и о программном обеспечении завода за вознаграждение. Также он подрабатывал продажей имущества компании. Нарушитель был приговорен к полутора годам условного срока.
Чтобы не допустить утечек информации в промышленной организации, нужно:
- Провести аудит инфраструктуры и файловых хранилищ. Узнать, где хранятся данные и какие.
- Определить, какие данные являются конфиденциальными и в каких хранилищах они могут появиться в будущем.
- Создать регламенты безопасности, провести контентное разграничение прав доступа.
- Контролировать действия сотрудников на рабочем месте, используя специализированные средства защиты информации. Также рекомендуется выделить группы риска.
- Настроить блокировку в средствах защиты, чтобы снизить риски утечек при пересылке данных.
Заключение
Правонарушения в отрасли промышленности показывают, что самые частые нарушители — это ИТ-специалисты. Ситуация с ними напоминает дилемму «контроля контролеров». Если контроля и логирования действий привилегированных пользователей нет, то среди них возникает вседозволенность. Специалисты используют информационные системы и ресурсы предприятия как хотят. Чаще всего для личной выгоды. Также отрасль промышленности не обошли стороной и утечки. Это логично, так как промышленные предприятия собирают много уникальной конфиденциальной информации, включая чертежи, исходный код и т. д.
Подводя итог, промышленные предприятия, принадлежащие к КИИ, часто атакуются хакерами извне. Об этом, например, говорит статистика коллег. Из-за этого и некоторых иных уникальных факторов «фокус» ИБ теряется. Предпочтение отдается защите от внешних атак. При этом, как показывает судебная практика, внутренние злоумышленники приводят к ущербу не менее часто: сливают данные, удаляют важные папки и информацию при увольнении, делают предприятие уязвимым из-за несоблюдения правил ИБ. Справиться со всем этим можно при помощи DLP-системы и выделения групп риска среди персонала. Такой подход позволит мониторить действия пользователей, а также расследовать и предотвращать инциденты.