Безопасность в полете и ИТ-инфраструктуре
ФГУП «Госкорпорация по ОрВД» играет важную роль в обеспечении безопасности и регулярности полетов, что напрямую влияет на экономическое развитие страны и качество жизни граждан. Многотысячный коллектив специалистов Предприятия обеспечивает управление воздушным движением над территорией России и нейтральными водами, где ответственность за организацию воздушного движения возложена на Российскую Федерацию в соответствии с международными договорами. Предприятие обслуживает около полутора миллионов полетов воздушных судов ежегодно. Оно является важным элементом в обеспечении стабильной и надежной работы воздушного транспорта, способствуя тем самым развитию экономики страны и международного сотрудничества, что актуально в текущих условиях.
В то же время для безопасности и непрерывности бизнес-процессов ФГУП «Госкорпорация по ОрВД» требуется регулярная модернизация оборудования и систем управления воздушным движением, внедрение автоматизированных систем от проверенных вендоров, защита ИТ-инфраструктуры от кибератак, грозящих серьезными последствиями, вплоть до остановки деятельности.
Предприятие объединяет 14 региональных центров с общей зоной ответственности, превышающей 26 млн км². Но чем выше социально-экономическая значимость организации, тем пристальнее к ней присматриваются хакеры. Причем одним из факторов появления цифровой уязвимости может стать географическая разрозненность филиалов и дистанционное взаимодействие с коллегами.
Как эксперты информационной безопасности обеспечивают сетевую безопасность, контроль доступа и управление политиками безопасности – рассмотрим на примере регионального центра ЕС ОрВД (Санкт-Петербург) филиала «Аэронавигация Северо-Запада».
Под угрозой – все
С августа 2023 по август 2024 года эксперты Центра противодействия киберугрозам Innostage SOC CyberART зафиксировали в данном региональном центре 2,2 млн инцидентов с сетевым сканированием, каждый десятый из них оборачивался попыткой создания и эксплуатации уязвимостей. За год пресечено порядка 4,5 тыс. потенциальных DOS-атак и заблокировано свыше 13 тыс. фишинговых сообщений, направленных сотрудникам регионального центра. По статистике, каждая пятая фишинговая атака, дошедшая до пользователей, оказывается действенной: то есть как минимум один адресат не просто открывает письмо, но, доверяя написанному, переходит по вредоносной ссылке, вводит данные учетных записей и т. д. С развитием нейросетей распознать обман становится все труднее: стиль и содержание писем могут на 100 % соответствовать корпоративным стандартам, а адрес отправителя – отличаться всего одним неприметным символом.
В целом в российском ИТ-сегменте количество хакерских атак неуклонно растет. Самыми распространенными последствиями таких действий становятся утечки конфиденциальных данных и нарушения основной деятельности предприятий. В число наиболее привлекательных для преступных сообществ вошли госорганы, финансовая отрасль, промышленность, здравоохранение и транспорт.
Хакеры постоянно усложняют сценарии нападения, стремясь похитить конфиденциальную информацию, вмешиваются в работу инфраструктур отдельных предприятий, регионов и даже государств, вызывают проблемы в работе наиболее критичных отраслей экономики.
Добытые чувствительные данные чаще всего используются для перепродажи или разработки сценариев других атак. К примеру, хакеры могут проводить атаки «через цепочки поставок», проникая через скомпрометированные аккаунты пользователей одной компании-подрядчика в инфраструктуру ее бизнес-партнеров. Обычно конечной жертвой в такой цепи становятся крупные корпорации, которые практически невозможно атаковать напрямую.
Последствия могут быть разными: компрометация данных, кража денег со счетов компании, получение контроля над инфраструктурой для провоцирования сбоев, аварийных ситуаций или прекращения работы предприятия. Так, для нефтегазовых и промышленных предприятий критическим будет взлом автоматизированных систем управления технологическими процессами, для транспортно-логистического сектора – атака на средства управления инфраструктурой и парк машин или воздушных судов, системы управления логистикой, бронированием и продажей билетов.
Цифровая устойчивость
Большая часть хакерского трафика, как правило, останавливается на подходах к ИТ-системам, но если взломщик преодолел меры защиты и проник в ИТ-инфраструктуру компании, киберзащитники первым делом ограничивают его возможности и время присутствия, тем самым снижая потенциальный ущерб от его действий.
При возникновении инцидента в обеспечении информационной безопасности расследуется его сценарий и хронология развития, а также способ взлома системы. Определяется область действия инцидента и потенциально скомпрометированных данных, проводится реверс-анализ вредоносного ПО и, при необходимости, цифровое исследование жестких дисков.
Эксперты по кибербезопасности работают в тесном контакте с компанией-заказчиком, в интересах которой – предоставить исследователям максимально полный доступ и объем данных, связанных с инцидентом. По итогам расследования разрабатываются технические рекомендации по повышению уровня защиты системы от подобных угроз.
Гарантированно снизить цифровые риски в будущем призвана концепция киберустойчивости. Она нацелена на обеспечение баланса интересов бизнеса, государства и общества, требований комплаенс, на защиту окружающей среды и поддержание безопасности.
Концепция цифровой устойчивости реализуется через совместную работу всех подразделений организации, ответственных за бизнес-процессы, технологическое развитие и информационную безопасность.
Для повышения устойчивости объединяют усилия операционные и финансовые директора, риск-менеджеры, руководители ключевых направлений. У каждого из них есть и персональная заинтересованность в конечном результате. Так, руководитель аэронавигационного предприятия должен обеспечить непрерывную и безопасную работу системы управления воздушным движением. А финансовый директор обязан предотвратить любую попытку кражи средств, размещенных на банковских счетах. Задача ИТ-руководителя – гарантировать работоспособность ключевых информационных систем.
Цифровая устойчивость базируется на четырех взаимосвязанных компонентах: надежной системе киберзащиты; качественно спроектированной ИТ-инфраструктуре, обеспечивающей работоспособность систем и сервисов; работе корпоративного центра противодействия киберугрозам, который быстро выявляет инциденты и реагирует на них, а также системе непрерывности бизнеса и восстановления, позволяющей в короткие сроки преодолеть последствия киберинцидентов и минимизировать потери.
Пять важных шагов
Чтобы повысить киберустойчивость конкретной организации, важно учесть особенности ее инфраструктуры, политики и требований к обеспечению непрерывности бизнес-процессов.
Среди вызовов цифровой трансформации нередко встречаются разрозненные подходы к киберзащите, отсутствие четкого плана действий, рост кибератак и хактивизма, дефицит специалистов и другие. Преодолеть их поможет методология киберустойчивости CyberYool, которая включает пять проектных шагов.
Методология CyberYool
.jpg "Методология CyberYool (1).jpg")
Шаг 1. Определить перечень критичных событий, которые могут стать следствием сбоев в ИТ-инфраструктуре или кибератак. Собрать данные об инфраструктуре через аудиты и тестирования на проникновение для полного понимания и выявления слабых мест. Разработать стратегию для противодействия потенциальным угрозам.
Шаг 2. Разработать программу трансформации ИБ- и ИТ-инфраструктур, определив первоочередные и последующие шаги для обеспечения устойчивости систем. Сформировать документацию и артефакты для следующего этапа трансформации, разработать и реализовать ИТ-стратегию и повысить эффективность системы защиты.
Шаг 3. Создать четкое видение отказоустойчивых ИТ-инфраструктуры, ИТ-архитектуры и системы безопасности. Предусмотреть формирование или модернизацию центра противодействия угрозам, проведение киберучений и повышение квалификации сотрудников.
Шаг 4. Внедрить необходимые операционные процессы для обеспечения отказоустойчивости ИТ- и ИБ-инфраструктур. Провести обучение сотрудников для корректного использования новых технологий и процессов.
Шаг 5. Получить объективную оценку цифровой устойчивости любыми доступными инструментами.
Это может быть независимый аудит ИБ, тестирование на проникновение, запуск программы багбаунти или открытых кибериспытаний, где независимые исследователи пытаются реализовать заявленное компанией недопустимое событие. Пятый шаг закольцован в цикл: найти уязвимости, исправить их, вновь начать поиск слабых мест и путей их устранения и т. д.
Проверять и защищать
Тестирование на проникновение или пентест – это сложная техническая задача по выявлению уязвимостей в инфраструктуре, к решению которой привлекаются квалифицированные специалисты.
«Телеком Интеграция» входит в орбиту компаний бренда Innostage, обладает большим опытом в области обеспечения информационной безопасности, создания устойчивой и импортонезависимой ИТ-инфраструктуры, а также разрабатывает собственные средства.
С 2015 года «Телеком Интеграция» участвовала в создании системы управления информационной безопасностью ФГУП «Госкорпорация по ОрВД», регламентировании и автоматизации ключевых ИБ-процессов. Это весомое преимущество, позволяющее глубже понимать узкоотраслевые процессы на Предприятии во взаимосвязи с кибербезопасностью.
