.PNG)
Производство и КИИ: кибербезопасность и SOC-мониторинг
Атака на АСУ ТП останавливает конвейер — и запускает уголовное дело.
Среднее время простоя производства после кибератаки — 21 день. Средний ущерб — 150 млн рублей. SOC-мониторинг с поддержкой промышленных протоколов ICS/SCADA, подключением к ГосСОПКА и выполнением требований 187-ФЗ и Приказа ФСТЭК №239.
Актуальные угрозы: Производство и КИИ
Специфические векторы атак, о которых должен знать ваш SOC
Атаки на АСУ ТП и SCADA
Промышленные протоколы Modbus, DNP3, OPC-UA, S7 Siemens находятся вне поля видимости стандартного корпоративного SOC. Целевые атаки на PLC (программируемые логические контроллеры) и HMI-интерфейсы не только блокируют производственные процессы, но и способны вызвать физические повреждения оборудования. Атаки типа Triton/TRISIS на промышленные системы безопасности зафиксированы на российских предприятиях нефтегазового сектора.
Шифровальщики в производственном сегменте
Целевые ransomware-атаки на производственный сегмент отличаются от атак на офисную инфраструктуру: злоумышленники специально блокируют PLC, HMI и серверы SCADA. Восстановление занимает недели, а не часы — промышленные системы нельзя просто откатить из бэкапа. Простой конвейера или доменной печи обходится от 1 до 50 млн рублей в сутки в зависимости от отрасли.
Инсайдеры и удалённый доступ подрядчиков
Неконтролируемый удалённый доступ к технологическому сегменту через VPN-подключения сервисных инженеров и подрядчиков — один из ключевых векторов проникновения в АСУ ТП. Учётные записи с широкими правами, не закрытые после завершения сервисного контракта, использовались в нескольких резонансных атаках на российские промышленные предприятия.
Атаки через цепочку поставок ПО
Компрометация через поставщиков ПО для управления производством — один из наиболее сложных для обнаружения векторов. Обновления SCADA-систем и MES-платформ, поступающие с троянизированного сервера вендора, устанавливаются с доверенной цифровой подписью. Стандартный антивирус и периметровые средства защиты такую атаку не остановят.
Регуляторные требования
187-ФЗ «О безопасности КИИ»
Закон обязывает субъектов КИИ провести категорирование объектов, разработать систему защиты согласно присвоенной категории и обеспечить непрерывный мониторинг безопасности. Для значимых объектов (1–3-я категория) обязательно подключение к ГосСОПКА и уведомление НКЦКИ об инцидентах в сроки от 3 до 24 часов в зависимости от категории объекта. Нарушение — административная и уголовная ответственность по ст. 274.1 УК РФ.
Приказ ФСТЭК России №239
Устанавливает требования по обеспечению безопасности значимых объектов КИИ: 12 групп мер (идентификация, защита периметра, мониторинг, реагирование на инциденты и другие). Состав и количество мер определяется категорией объекта — для 1-й категории требования наиболее жёсткие. Документ разработан как практическое руководство по построению системы защиты КИИ.
УК РФ ст. 274.1
Уголовная ответственность за неправомерное воздействие на КИИ — лишение свободы на срок до 10 лет. Ответственность наступает не только за атаки, но и за халатность при защите объектов КИИ, если она повлекла инцидент с тяжкими последствиями. Это означает персональную ответственность CISO и руководителя организации.
Приказ ФСТЭК России №31 (АСУ ТП)
Требования к защите автоматизированных систем управления технологическими процессами на критически важных объектах. Определяет классы защищённости АСУ ТП и обязательные меры в зависимости от класса. Особое внимание уделяется сегрегации сетей, контролю доступа к технологическому сегменту и реагированию на инциденты.
SOC КРЕДО-С — лицензиат ФСТЭК с 2007 года и ФСБ с 2009 года. Полный комплект документации для регуляторных проверок предоставляется в рамках договора.
Наши услуги — Производство и КИИ
Комплекс мер защиты с учётом специфики отрасли
Мониторинг событий ИБ (SOC)
Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.
Расследование инцидентов
Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.
Анализ защищённости
Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.
Защита критической информационной инфраструктуры
За нарушение требований 187-ФЗ по значимым объектам КИИ грозит уголовная ответственность по ст. 274.1 УК РФ. CREDOS:KII проводит категорирование, выстраивает защиту и подключает к ГосСОПКА.
Кейс из практики
Химический завод
1 200 АРМ, 3 цеха с SCADA, объект КИИ 2-й категории
Категорировать объект КИИ, выстроить мониторинг АСУ ТП и корпоративного сегмента, подключиться к ГосСОПКА в течение 3 месяцев до плановой проверки ФСТЭК. Исходно: отсутствие SIEM, не разделённые сети ОТ и ИТ, устаревшие версии ПО на промышленных контроллерах.
Аудит инфраструктуры ОТ/ИТ, разработка плана категорирования и подача в ФСТЭК, сегментирование сетей, установка промышленных коннекторов к SCADA Siemens, подключение к SOC КРЕДО-С с настройкой 68 корреляционных правил для промышленных протоколов, интеграция с НКЦКИ через ГосСОПКА.
Объект категорирован как 2-я категория значимости. При плановой проверке ФСТЭК — 0 предписаний по ИБ. Мониторинг запущен за 4 недели. В первые 60 дней обнаружены и заблокированы 2 попытки несанкционированного доступа через VPN подрядчика.
Полезные статьи
КИИ — что это такое в информационной безопасности
Разбираем понятие критической информационной инфраструктуры (КИИ): кто является субъектом КИИ, как проходит категорирование, что такое ЗОКИИ и ГосСОПКА. Требования 187-ФЗ и практические рекомендации.
ЗОКИИ — что это: защита объектов критической информационной инфраструктуры
Разбираем ЗОКИИ и 187-ФЗ: кто попадает под закон, категории значимости КИИ, пошаговый план выполнения требований. Ответственность за нарушение. Как подключиться к ГосСОПКА через внешний SOC.
ГосСОПКА — подключение субъектов КИИ по 187-ФЗ
Подключение к ГосСОПКА: кто обязан, пошаговый план из 6 шагов, способы передачи событий в НКЦКИ. Архитектура системы: НКЦКИ, КЦОА, ведомственные центры. Подключение через лицензиата ФСБ.
Мониторинг событий ИБ: как работает и зачем нужен
Мониторинг событий информационной безопасности — непрерывный анализ логов через SIEM для раннего обнаружения атак. Как работает, что мониторить и как выбрать SOC.
Расследование инцидентов ИБ: как проводится и что даёт
Расследование инцидентов информационной безопасности — форензика и анализ цифровых следов атаки. Хронология, масштаб компрометации, доказательная база для регуляторов.
Вопросы и ответы
Что такое КИИ и кто обязан защищать объекты критической инфраструктуры?
КИИ (критическая информационная инфраструктура) — это информационные системы и телекоммуникационные сети организаций в 13 сферах: здравоохранение, наука, транспорт, связь, энергетика, банки и финансы, ТЭК, атомная промышленность, ОПК, ракетно-космическая, горнодобывающая, металлургическая и химическая. Субъекты КИИ — организации, владеющие объектами в этих сферах. Они обязаны по 187-ФЗ провести категорирование всех объектов и обеспечить их защиту в соответствии с присвоенной категорией (1–3-я, или «не значимый»). Первым шагом является отправка перечня объектов КИИ на согласование во ФСТЭК.
Что будет, если не подключиться к ГосСОПКА или нарушить 187-ФЗ?
Для значимых объектов КИИ (1–3-я категория) подключение к ГосСОПКА обязательно. Отсутствие подключения — административное нарушение. При наступлении киберинцидента без надлежащего уведомления НКЦКИ возможно уголовное преследование должностных лиц по ст. 274.1 УК РФ — до 6 лет лишения свободы за нарушение правил эксплуатации. Если инцидент повлёк тяжкие последствия (остановка производства, ущерб жизни) — до 10 лет. Кроме уголовной ответственности, ФСТЭК вправе выдать предписание об устранении нарушений и провести внеплановую проверку.
Как SOC помогает выполнить требования 187-ФЗ и Приказа ФСТЭК №239?
SOC КРЕДО-С закрывает группы мер МОН (мониторинг) и ИНЦ (инциденты) из Приказа ФСТЭК №239: непрерывный сбор и анализ событий безопасности, обнаружение вторжений, документирование инцидентов, взаимодействие с НКЦКИ. Мы имеем лицензию ФСБ на деятельность в области защиты КИИ и опыт подключения к ГосСОПКА более 15 объектов. Для каждого объекта разрабатывается индивидуальная модель угроз и набор корреляционных правил.
Поддерживаете ли мониторинг промышленных протоколов SCADA и АСУ ТП?
Да. SOC КРЕДО-С поддерживает промышленные протоколы Modbus TCP/RTU, DNP3, OPC-UA, OPC-DA, S7 (Siemens), IEC 61850, IEC 60870-5-104 и другие. Для мониторинга промышленного сегмента используем специализированные коннекторы и пассивные сенсоры, не влияющие на работу технологических процессов. Аналитики SOC прошли специализированную подготовку по угрозам ICS/SCADA (SANS ICS515).
Сколько времени занимает подключение производственного предприятия к SOC?
Подключение корпоративного сегмента — 2–3 недели. Интеграция с SCADA и промышленным сегментом — дополнительно 1–2 недели. Полный запуск мониторинга ОТ/ИТ — 4–5 недель. В процессе подключения выполняется: инвентаризация активов, установка агентов на серверы, настройка пассивных сенсоров в промышленном сегменте, разработка корреляционных правил под специфику вашего производства, тестирование на отражение атак. Полный запуск — без остановки производства.
Рассчитайте стоимость SOC — Производство и КИИ
Калькулятор учитывает специфику вашей отрасли, регуляторные требования и размер инфраструктуры