.PNG)
Транспорт и логистика: кибербезопасность и SOC-мониторинг
Атака на диспетчерскую систему аэропорта — объект КИИ 1-й категории с уголовной ответственностью.
Простой транспортного узла обходится от 1 до 10 млн рублей в час прямых потерь. SOC-мониторинг для аэропортов, морских портов, железнодорожной инфраструктуры и логистических операторов. Опыт с крупнейшими транспортными объектами КИИ России.
Актуальные угрозы: Транспорт и логистика
Специфические векторы атак, о которых должен знать ваш SOC
Атаки на диспетчерские и управляющие системы
Целевые APT-атаки на системы управления воздушным движением (АС УВД), морские системы управления движением судов (СУДС), железнодорожные диспетчерские системы. Эти системы являются объектами КИИ 1-й категории — нарушение их работы создаёт прямую угрозу жизни и здоровью людей. Кибератака на авиационные системы управления квалифицируется как теракт.
DDoS на системы продажи билетов и бронирования
Блокировка онлайн-сервисов продажи билетов в высокий сезон (праздники, летние перевозки) или в период ажиотажного спроса. Прямые потери выручки исчисляются миллионами рублей в час. Для региональных перевозчиков, у которых нет резервных каналов, такая атака полностью останавливает продажи.
Шифровальщики в логистических системах
Атаки ransomware на WMS (системы управления складом) и TMS (системы управления транспортом) полностью парализуют цепочку поставок. Без доступа к данным о маршрутах и грузах логистический оператор не может выполнять обязательства перед клиентами. Каждый час простоя крупного логистического оператора означает штрафные санкции по всем договорам.
Компрометация цепочки поставок программного обеспечения
Атаки через ПО поставщиков систем управления транспортом и навигации — растущий вектор для транспортной КИИ. Вредоносное обновление, поступающее от скомпрометированного вендора, может установиться на сотни диспетчерских терминалов одновременно. Стандартные средства защиты периметра такую атаку не обнаруживают.
Регуляторные требования
187-ФЗ для транспортного комплекса
Аэропорты, морские порты, объекты железнодорожной инфраструктуры, метро — субъекты КИИ с обязательным категорированием объектов. Для значимых объектов (1–3-я категория) требуется разработка системы защиты по Приказу ФСТЭК №239 и подключение к ГосСОПКА. Нарушение — уголовная ответственность по ст. 274.1 УК РФ до 10 лет лишения свободы.
Приказ ФСТЭК России №239 (объекты КИИ)
Технические и организационные требования к защите значимых объектов КИИ. Для транспортной отрасли особенно актуальны меры группы ЗТС (защита технологических систем), АНЗ (анализ угроз) и МОН (мониторинг). Набор обязательных мер определяется категорией объекта — для аэропортов 1-й категории требования наиболее полные.
Отраслевые НПА Росавиации и Минтранса
Росавиация, Росжелдор, Росморречфлот устанавливают дополнительные отраслевые требования к ИБ транспортных систем. Для авиационной отрасли критична защита систем управления воздушным движением и навигационного оборудования. Требования согласуются с международными стандартами ИКАО (Annex 17) по авиационной безопасности.
Приказы ФСТЭК №17 и №21 для ИС и ИСПДн транспортных операторов
Транспортные предприятия обрабатывают персональные данные пассажиров (программы лояльности, системы онлайн-бронирования), а также имеют собственные ГИС и ИСПДн. Эти системы требуют аттестации по Приказу №17 или защиты по Приказу №21 в зависимости от типа системы.
SOC КРЕДО-С — лицензиат ФСТЭК с 2007 года и ФСБ с 2009 года. Полный комплект документации для регуляторных проверок предоставляется в рамках договора.
Наши услуги — Транспорт и логистика
Комплекс мер защиты с учётом специфики отрасли
Мониторинг событий ИБ (SOC)
Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.
Расследование инцидентов
Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.
Анализ защищённости
Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.
Защита критической информационной инфраструктуры
За нарушение требований 187-ФЗ по значимым объектам КИИ грозит уголовная ответственность по ст. 274.1 УК РФ. CREDOS:KII проводит категорирование, выстраивает защиту и подключает к ГосСОПКА.
Кейс из практики
Международный аэропорт
Объект КИИ 1-й категории, 12 информационных систем, 800 АРМ
Провести категорирование объекта КИИ, аттестовать все информационные системы, выстроить мониторинг ОТ и ИТ сегментов, подключиться к ГосСОПКА до плановой проверки Росавиации и ФСТЭК. Исходно: ни одна из систем не аттестована, мониторинг ИБ отсутствует.
Технический аудит 12 информационных систем аэропорта, разработка модели угроз и нарушителя, категорирование объектов КИИ и согласование перечня во ФСТЭК, аттестация систем, параллельное подключение к SOC КРЕДО-С с настройкой мониторинга авиационных и административных систем, подключение к ГосСОПКА.
Категорирование завершено, объект признан КИИ 1-й категории. Все информационные системы аттестованы. При проверке ФСТЭК и Росавиации — 0 предписаний по ИБ. Аэропорт подключён к ГосСОПКА. Мониторинг 24/7 запущен в течение 6 недель от начала работ.
Полезные статьи
КИИ — что это такое в информационной безопасности
Разбираем понятие критической информационной инфраструктуры (КИИ): кто является субъектом КИИ, как проходит категорирование, что такое ЗОКИИ и ГосСОПКА. Требования 187-ФЗ и практические рекомендации.
Реагирование на инциденты информационной безопасности: регламент, этапы, практика
Полный гайд по реагированию на инциденты ИБ: 4 этапа по NIST, типы инцидентов и приоритеты, шаблон регламента, требования 187-ФЗ для КИИ. Как SOC-мониторинг сокращает время реагирования с дней до минут.
Мониторинг событий ИБ: как работает и зачем нужен
Мониторинг событий информационной безопасности — непрерывный анализ логов через SIEM для раннего обнаружения атак. Как работает, что мониторить и как выбрать SOC.
Расследование инцидентов ИБ: как проводится и что даёт
Расследование инцидентов информационной безопасности — форензика и анализ цифровых следов атаки. Хронология, масштаб компрометации, доказательная база для регуляторов.
Аутсорсинг ИБ: что входит в сервис и сколько стоит
Аутсорсинг информационной безопасности — MSSP или внешний SOC вместо штатного отдела ИБ. Разбираем модели, что входит в сервис, сравнение с инхаусом и стоимость.
Вопросы и ответы
Есть ли у КРЕДО-С опыт работы с аэропортами и авиационными предприятиями?
Да. КРЕДО-С имеет опыт работы с крупнейшими международными и региональными аэропортами России: категорирование объектов КИИ по 187-ФЗ, аттестация информационных систем по Приказу ФСТЭК №17, подключение к ГосСОПКА, SOC-мониторинг авиационных систем управления. Проекты выполняются под NDA. Наши специалисты прошли специализированную подготовку по безопасности авиационной инфраструктуры и имеют необходимые допуски.
Поддерживаете ли мониторинг специализированных транспортных и диспетчерских систем?
Да. Работаем с АС УВД (автоматизированными системами управления воздушным движением), СУДС (системами управления движением судов), диспетчерскими системами железнодорожного транспорта, АСУТП транспортного комплекса. Поддерживаем специализированные протоколы и интеграцию с АСУ транспортных операторов. Мониторинг строится по принципу пассивного наблюдения — без вмешательства в работу критических систем.
Как проходит категорирование объектов КИИ в транспортной отрасли?
Категорирование объектов КИИ транспортного предприятия включает: инвентаризацию всех информационных систем и сетей, определение перечня объектов КИИ (какие системы относятся к транспортной инфраструктуре), расчёт показателей критичности по 11 критериям (для каждой сферы свои), присвоение категории значимости (1–3-я или «не значимый»), направление перечня и категорий на согласование во ФСТЭК. Срок процедуры — от 2 месяцев. КРЕДО-С ведёт весь процесс под ключ.
Что нужно сделать логистической компании для защиты WMS и TMS систем?
Для защиты систем управления складом и транспортом минимально необходимо: сегментировать сеть (WMS/TMS в отдельный VLAN с контролируемыми правилами доступа), настроить резервное копирование с изолированным хранилищем бэкапов, подключить EDR на серверы WMS/TMS, наладить сбор событий ИБ в SIEM для мониторинга аномалий. Дополнительно — регулярные проверки на уязвимости и контроль доступа привилегированных пользователей.
Как быстро можно восстановить работу транспортной компании после кибератаки?
Скорость восстановления зависит от наличия актуальных резервных копий и заранее отработанного плана реагирования. При наличии изолированных бэкапов и чёткого DR-плана восстановление занимает от нескольких часов до 2–3 дней. Без бэкапов — восстановление из зашифрованного состояния занимает недели. КРЕДО-С разрабатывает планы реагирования на кибератаки (IR Playbook) с учётом специфики транспортных систем и обеспечивает их отработку в рамках киберучений.
Рассчитайте стоимость SOC — Транспорт и логистика
Калькулятор учитывает специфику вашей отрасли, регуляторные требования и размер инфраструктуры