30 апреля 2020
Обзор рекомендаций по безопасной удаленной работе для предприятий критической инфраструктуры и не только
В связи с пандемией СOVID-19 многие организации были вынуждены перейти на удаленную работу. Столь масштабное изменение породило многочисленные обсуждения проблемы безопасности удаленной работы среди профессионального ИБ-сообщества, в том числе в сфере промышленной кибербезопасности.
Затрагивает ли проблема безопасности удаленной работы предприятия критической инфраструктуры? Насколько новый режим работы влияет на изменение ландшафта угроз? Должны ли организации принять какие-то дополнительные меры защиты?
Чтобы ответить на эти вопросы, мы решили обратиться к мнению регуляторов в сфере информационной безопасности, которые не обошли стороной вопросы безопасности при удаленном режиме работы.
Как проблема безопасности удаленной работы затрагивает предприятия критической инфраструктуры?
Несмотря на пандемию COVID-19 большинство сотрудников, вовлеченных в технологические процессы предприятий критической инфраструктуры, по-прежнему работают в обычном (не удаленном) режиме. Это необходимо для обеспечения непрерывности функционирования предприятий. Однако административный персонал, напрямую не связанный с поддержанием технологических процессов, во многих случаях все же переведен на удаленную работу.
Удаленный режим работы офисных сотрудников, а также повышение общего уровня тревожности персонала в условиях пандемии могут приводить к снижению бдительности работников предприятий в отношении угроз информационной безопасности. Например, вероятность того, что сотрудник, получив фишинговое письмо, использующие «горячую» тему COVID-19, откроет вложение или кликнет по ссылке, повышается. Соответственно, растет и вероятность заражения его компьютера. Напомним, что многие инциденты информационной безопасности в промышленных сетях, которые привели к нарушению технологического процесса, начинались с заражения компьютеров в корпоративном сегменте сети предприятия. Уже сейчас мы видим примеры атак на промышленный сектор с использованием фишинговых писем, связанных с COVID-19.
Отдельно стоит сказать о рисках, связанных с удаленным администрированием систем промышленной автоматизации.
Средства удаленного администрирования применялись в системах промышленной автоматизации и до пандемии. По данным Kaspersky Security Network в первом полугодии 2018 года они использовались на 32% компьютеров АСУ. В 2019 году, по данным системы Shodan, число доступных через интернет систем промышленной автоматизации выросло.
Вероятно, что в условиях пандемии такие средства будут использоваться чаще. В одной из наших статей мы уже писали о том, что средства удаленного администрирования потенциально опасны для индустриальных сетей и их использование требует повышенного внимания к обеспечению информационной безопасности. Это подтверждают и результаты наших исследований различных реализаций системы удаленного доступа Virtual Network Computing (VNC), широко распространённой на объектах промышленной автоматизации.
В сложившейся ситуации предприятиям, особенно критической инфраструктуры, необходимо принять меры для минимизации возможных рисков. Поэтому регуляторы в сфере информационной безопасности, в том числе кибербезопасности критической инфраструктуры, подготовили рекомендации по безопасной удаленной работе.
Очевидно, что средства удаленного администрирования продолжат использовать на предприятиях критической инфраструктуры и в дальнейшем, поэтому рекомендации по безопасной удаленной работе будут актуальны и после окончания пандемии.
Какие есть рекомендации?
Основные рекомендации по организации безопасного удаленного доступа к системам промышленной автоматизации
Основные рекомендации по организации безопасного удаленного доступа к системам промышленной автоматизации можно найти в следующих документах
- Рекомендации ICS-CERT по конфигурированию и управлению удаленным доступом к системам промышленной автоматизации ICS-CERT — Configuring and Managing Remote Access for Industrial Control Systems
- Стандарт безопасности промышленных систем управления NIST SP 800-82 Rev.2 «Guide to Industrial Control Systems (ICS) Security»
- Рекомендации ENISA «Communication network dependencies for ICS/SCADA Systems»
Рекомендации, опубликованные в связи с пандемией
- В России рекомендации по обеспечению безопасности объектов КИИ при удаленной работе в связи с COVID-19 опубликовала ФСТЭК России.
В своем информационном сообщении регулятор говорит о недопустимости использования удаленного доступа для управления промышленным оборудованием автоматизированных систем управления, которые при категорировании были отнесены к значимым объектам критической информационной инфраструктуры. В других случаях удаленный доступ может быть использован с учетом предложенных рекомендаций.
Предложенные регулятором рекомендации включают в себя технические и организационные меры, коррелирующие с положениями 31-го приказа. Главным образом они направлены на контроль доступа к объектам (двухфакторная аутентификация, разграничение прав доступа и т.п.) и комплексную защиту задействованных каналов связи и конечных узлов сети (использование антивирусных решений, VPN, мониторинг безопасности).
В своем документе ФСТЭК России также ссылается на рекомендации другого российского регулятора — Национального координационного центра по компьютерным инцидентам.
- Национальный координационный центр по компьютерным инцидентам выпустил уведомление об угрозах безопасности информации, связанных с пандемией коронавируса.
Рекомендации НКЦКИ во многом схожи с рекомендациями ФСТЭК России и содержат ряд дополнительных технических мер, включая сегментирование сети и контроль за подключением внешних носителей (подробнее см. таблицу ниже), а также отдельные меры по противодействию угрозам, связанным с мошенничеством.
И ФСТЭК России, и НЦКЦИ говорят о необходимости проведения инструктажа персонала по вопросам безопасной удаленной работы, в том числе информирования о фишинговых атаках, связанных с тематикой COVID-19. - Институт SANS в документе «Security Awareness Deployment Guide – Securely Working at Home» собрал список своих материалов, которые могут быть полезны для проведение обучения сотрудников по безопасной работе из дома. Все материалы сгруппированы в три основных блока, которые посвящены:
- Социальной инженерии;
- Аутентификации и управлению паролями;
- Обновлению систем.
Дополнительно приводятся материалы по использованию VPN и Wi-Fi, обнаружению и реагированию на инциденты. - Национальный институт стандартов и технологий США (NIST) выпустил бюллетень, содержащий рекомендации по безопасному удаленному доступу и удаленной работе. Этот документ опирается на положения документа NIST Special Publication (SP) 800-46 Revision 2, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security, который был опубликован в 2016 году и является актуальным на сегодняшний день.
- Американское агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало документ, в котором рассмотрело вопросы обеспечения кибербезопасности организаций в рамках глобального процесса управления рисками, связанными с COVID-19. Среди прочего, CISA рекомендует актуализировать планы обеспечения непрерывности бизнеса и протестировать возможности решений удаленного доступа, в том числе с точки зрения повышения их производительности.
- Агентство Европейского союза по кибербезопасности (ENISA) опубликовало советы по кибербезопасности при удаленной работе. В дополнение к мерам, которые были изложены в рассмотренных выше документах, ENISA напоминает о необходимости регулярного выполнения резервного копирования.
Сравнение рекомендаций по безопасной удаленной работе в условиях COVID-19, содержащихся в перечисленных выше документах, приведено в таблице ниже.
Сравнение рекомендаций по безопасной удаленной работе в условиях COVID-19
| Рекомендации | ФСТЭК | НКЦКИ | SANS | NIST | ENISA | CISA |
|---|---|---|---|---|---|---|
| Проведение инструктажа с персоналом о правилах безопасной удаленной работы | + | + | + | — | — | + |
| Определение перечня устройств, которые будут предоставлены работникам для удаленной работы. Запрет на использование личных устройств | + | — | — | + | — | — |
| Определение перечня ресурсов, к которым будет предоставляться удаленный доступ | + | — | — | + | — | — |
| Назначение минимально необходимых прав пользователям при удаленной работе | + | + | — | + | + | — |
| Идентификация удаленных устройств, предоставление доступа на основе «белых списков» | + | — | — | + | — | — |
| Исключение доступа посторонних лиц к удаленным рабочим местам | + | + | + | — | — | — |
| Выделение в отдельный домен устройств, используемых для удаленной работы сотрудников | + | — | — | + | — | — |
| Двухфакторная/многофакторная аутентификация работников | + | + | + | + | — | + |
| Организация защищенного удаленного доступа с использованием криптографии (VPN) | + | — | + | + | — | + |
| Применение средств антивирусной защиты информации c актуальными базами данных, их регулярное обновление | + | + | — | + | + | + |
| Запрет на установку ПО, за исключением необходимого, реализуемый средствами ОС или СрЗИ от НСД | + | — | — | — | — | — |
| Мониторинг безопасности систем, в том числе регистрация и анализ действий работников | + | + | — | — | — | + |
| Блокирование сеанса удаленного доступа при неактивности пользователя | + | + | — | — | — | — |
| Обеспечение возможности оперативного реагирования на инциденты | + | + | — | — | + | + |
| Сегментирование сети | — | + | — | + | — | |
| Обновление всех сервисов и оборудования, которые используются для удаленного доступа (VPN, устройства сетевой инфраструктуры) | — | + | + | + | + | — |
| Контроль за подключением внешних устройств к устройствам, предназначенным для удаленного доступа | — | + | — | — | — | — |
| Ограничение скорости VPN соединений для приоритизации пользователей, которым потребуется более высокая пропускная способность | — | + | — | — | — | — |
| Запрет доступа в сеть с помощью сторонних сервисов, которые подключаются через промежуточные серверы и самостоятельно проводят авторизацию и аутентификацию | — | + | — | — | — | — |
| Использование терминального удаленного доступа в сеть к виртуальному рабочему месту со всеми установленными средствами защиты информации | — | + | — | — | — | — |
| Защита электронной почты двухфакторной авторизацией, проведение анализа электронной почты антивирусными средствами | — | + | — | — | — | — |
| Использование WPA2-шифрования при подключении к сети Интернет с применением Wi-Fi | — | + | + | — | + | — |
| Управление паролями, использование сложных паролей | — | + | + | — | — | — |
| Шифрование информации на клиентских устройствах | — | — | — | + | — | — |
| Обеспечение возможности управления серверами удаленного доступа только с доверенных хостов авторизованными администраторами | — | — | — | + | — | — |
| Регулярное резервное копирование | — | — | — | — | + | — |
| Тестирование средств удаленного доступа с точки зрения производительности | — | — | — | — | — | + |
| Актуализация планов обеспечения непрерывности бизнеса | — | — | — | — | — | + |
Заключение
На основе анализа различных рекомендаций по обеспечению безопасности при удаленной работе можно сделать вывод о том, что частичный перевод сотрудников промышленных предприятий (как и любых других организаций) на удаленную работу не требует реализации каких-либо особенных мер защиты, принципиально отличающихся от того, что и так должно быть реализовано на предприятии. Однако временное изменение режима работы сотрудников требует проведения дополнительной проверки достаточности и эффективности принятых мер защиты
Особое внимание должно быть уделено защите каналов связи (включая обнаружение и предотвращение атак), контролю доступа и защите конечных устройств пользователей, которые будут использоваться для удаленной работы. При невозможности предоставить персоналу устройства с настроенными средствами защиты (средства антивирусной защиты, межсетевого экранирования и проч.) все необходимые средства должны быть предоставлены пользователям для самостоятельного развертывания на их личных компьютерах.
Также необходимо работать с персоналом: информировать о возможных угрозах и проводить дополнительные инструктажи по правилам удаленной работы.
Таким образом, комплекс принятых технических мер в совокупности с административными мерами и мерами по подготовке сотрудников позволят обеспечить необходимый уровень кибербезопасности предприятий для противодействия существующим угрозам, в том числе – при более активном использовании удалённого доступа.
