Кабмин обязал объекты критической инфраструктуры отражать атаки «нулевого дня»

Кабинет Министров Украины принял постановление, которым, среди прочего, обязал на объектах критической инфраструктуры устанавливать средства сетевой защиты, которые как минимум защищают от атак «нулевого дня», то есть от уязвимостей ПО, которые ещё не известны пользователям и разработчикам программного обеспечения и против которых не существует механизмов защиты.

На этот факт обратил внимание эксперт по кибербезопасности Владимир Стыран, передает InternetUA.

На прошлой неделе во исполнение требований закона  «Об основах обеспечения кибербезопасности Украины» Кабинет Министров  принял постановление «Об утверждении Общих требований к киберзащите объектов критической инфраструктуры». Согласно документу, общие требования определяют организационно-методологические, технические и технологические условия киберзащиты объектов критической инфраструктуры, являются обязательными к выполнению предприятиями, учреждениями и организациями, которые в соответствии с законодательством отнесены к объектам критической инфраструктуры. Сам документ разрабатывался в Администрации Государственной службы специальной связи и защиты информации.

ИБ-эксперт,организатор конференции по практической кибербезопасности NoNameCon Владимир Стыран проанализировал документ и обнаружил в нем множество проблем.

– Чтиво похоже на пробу пера студента-третьекурсника, которому поручили написать его первую политику информационной безопасности. Хотя нет, скорее трех студентов, ведь текст местами совершенно несовместим. Состоит из более или менее предсказуемых тезисов, скопированных из различных источников нормативки, и переформулированных в лучших традициях украинского законодательства (то есть, можно язык сломать). Но у него при этом каким-то образом попали не то, что непрофессиональные, а откровенно идиотские требования и очевидные даже невооруженному глазу коррупционные риски, – комментирует Владимир Стыран в своей публикации на Medium. – Этот документ невозможно выполнить, не остановив и не разрушив процессы в организации. Поэтому, если вам повезло, и вас внесли в перечень объектов критической инфраструктуры, готовьтесь. В ближайшее время у вас или исчезнет работа как таковая, или вам придется выполнять ее с грубыми нарушениями «общих требований» и под постоянной угрозой наказания.

Защита от атак «нулевого дня»

Особенно запоминается пункт 26 Перечня базовых требований по обеспечению киберзащиты объектов критической инфраструктуры, в котором указано, что «в случае невозможности физического разделения внешней сети и объекта критической информационной инфраструктуры объекта критической инфраструктуры на границе (периметре) между внешними сетями, другими информационно-телекоммуникационными системами, обслуживающими объект критической инфраструктуры, и объектом критической информационной инфраструктуры объекта критической инфраструктуры должны быть установлены средства сетевой защиты, выполняющих минимум следующие функции защиты: защита от атак "нулевого дня" (уязвимости программного обеспечения, которые еще неизвестны пользователям или разработчикам программного обеспечения и против которых еще не разработаны механизмы защиты), выявление злонамеренного кода и вредоносных программ».

Уязвимость нулевого дня, согласно определению — это неустраненная уязвимость, а также вредоносные программы, против которых еще не разработаны защитные механизмы. Этот термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска исправлений производителем ПО (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от нее). Одной из самых известных вредоносных программ, использующих 0day уязвимость, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее неизвестную уязвимость ОС семейства Windows, связанную с алгоритмом обработки ярлыков.

– "Как минимум, защитите все от zero-day".  Это нонсенс по определению. Разве что, как метко заметили некоторые из коллег, это «заточка» под отдельные «решения безопасности», которые нагло хвастаются такими фичами в своих рекламных презентациях, – отмечает Владимир Стыран.

Критически некритическая инфраструктура

Если приведенный выше пример может свидетельствовать о желании Кабмина и ГСССЗИ защитится от неизвестных миру атак с помощью постановления, то другие нормы, прописанные в документе уже заставляют задуматься.

В частности, в пункте 2 Общих требований в определении критических бизнес/операционных процессов объекта критической инфраструктуры указано, что это процессы, реализация угроз на которые приведет, среди прочего, к причинению имущественного вреда.

– Как я неоднократно подчеркивал, критическая инфраструктура это то, без чего мы умрем, и то, что может нас убить. Это высшая форма зависимости общества и государства. Поэтому говорить, что критическими мы считаем процессы, реализация угроз на которые может причинить нам имущественный вред, – это осуществить инфляцию слова «критический» во всех определениях вокруг понятия критической инфраструктуры. Таким образом, все становится критическим, а, следовательно, критическим не остается ничего. И это не ошибка, дальше в "требованиях" этот дух сохраняется до конца документа, – комментирует Владимир Стыран.

Кроме того, в документе почему-то упоминается и оценка рисков: «Техническое задание формируется по результатам оценки рисков, которые указываются в отчете по результатам оценки рисков на объекте критической информационной инфраструктуры объекта критической инфраструктуры. Методической основой для оценки рисков на объекте критической информационной инфраструктуры объекта критической инфраструктуры является стандарт ISO / IEC 27005».

– В чем смысл слова «критический», если у объекта, который оно характеризует, остается пространство для дальнейшей оценки? Это вновь возвращает нас к мысли, что объекты критической инфраструктуры не так уж критичны. Скорее всего, в список запихнули все, что стоит защищать. Вместо того, чтобы провести оценку рисков и сформировать список, в котором только критические объекты, эту оценку рисков требуют от их владельцев пост фактум, – комментирует эксперт.

Наказания – никакого

Также в утвержденных Кабмином  Общих требованиях прописана обязанность владельца и / или руководителя объекта критической инфраструктуры организовать безотлагательное информирование правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA, а также Ситуационный центр обеспечения кибербезопасности СБУ о киберинцидентах и кибератаках, касающихся объекта критической информационной инфраструктуры объекта критической инфраструктуры. Тем не менее, наказания за сокрытие инцидентов не устанавливается.

В документе также прописано наличие на ОКИ подразделения или должностного лица, отвечающего за политику информационной безопасности, принятую на объекте критической инфраструктуры, и контроль за ее соблюдением. Однако, на что также указывали в телеком- сообществе, никакой, собственно, ответственности этого должностного лица и наказания, в случае инцидента, произошедшего по его вине, документ не предусматривает.

Более того, при назначении ответственного за кибербезопасность специальное образование, согласно «Перечню базовых требований»,  не является обязательным. В документе указано, что людям предпочтение должно отдаваться лицам, имеющим специальное образование и опыт работы в сфере технической защиты информации или информационной безопасности.

Кроме вышеперечисленного, эксперт называет весьма странным обязательное проведение тестов на проникновение на объектах критической инфраструктуры не реже одного раза в год:

– Идея это откровенно идиотская, в сетях такого рода пикнуть боятся, не то что пентесты делать. Способы и методы оценки защищенности таких сетей – это отдельная дисциплина. Но это надо было сделать домашнюю работу и изучить вопрос. Авторы "требований" этого делать не стали, – комментирует Стыран.

Сразу два провайдера с КСЗИ

Также в принятом Камином документе имеется требования подключать ОКИ к интернету только у провайдеров, построивших Комплексную систему защиты информации.  Дело в том, что в пункте 37 Перечня базовых требований указано, что «к глобальным сетям передачи данных, в частности Интернету, объекты критической информационной инфраструктуры объекта критической инфраструктуры должны подключаться через тех операторов, провайдеров телекоммуникаций, у которых имеются защищенные узлы доступа к глобальным сетям передачи данных с созданными комплексными системами защиты информации с подтвержденным соответствием». Далее в этом же Перечне говорится, что «для обеспечения отказоустойчивости объекта критической информационной инфраструктуры объекта критической инфраструктуры» связь с Интернетом должна обеспечиваться с использованием двух и более каналов передачи данных, предоставляемых различными операторами сети передачи данных.

– То есть, два провайдера с КСЗИ. Масштаб растет! – иронизирует Владимир Стыран.

Напомним, ведущий разработчик компании ИТ-Лаборатория Александр Галущенко выступил одним из инициаторов проведения флешмоба #двадцатьседьмое, приуроченного ко второй годовщине атаки вируса NotPetya: на протяжении месяца группа украинских ИБ-экспертов исследовала сети операторов, провайдеров телекоммуникаций, которые построили по требованию Государственной службы специальной связи и защиты информации так называемую комплексную систему защиты информации (КСЗИ) и имеют Аттестат соответствия системы защиты защищенных узлов доступа. «Построение КСЗИ» на данный момент является обязательным условием для провайдера, предоставляющего услуги доступа к сети Интернет государственным органам и учреждениям и стоит от 300 тысяч гривен. Однако, как утверждают авторы исследования, КСЗИ – «иллюзия защищенности, очковтирательство и рассадник коррупции», а результаты исследования показывают несостоятельность государственных усилий и органов, которые призваны защищать, но фактически только ухудшают ситуацию. На данный момент экспертом и другими участниками акции были обнародованы данные о результатах поверхностного исследования.

Что в итоге

«Ужасно, ничтожно и обидно. Пример обнаглевшей некомпетентности в государственных учреждениях», – именно так охарактеризовал документ организатор конференции по практической кибербезопасности NoNameCon.

– У авторов требований была одна задача: взять мануал по защите критической инфраструктуры от американского института NIST (Cyber Security Framework)  (который, кстати, уже год доступен бесплатно в переводе на украинский, благодаря местному представительству компании Cisco) и развернуть его с использованием нормативки, которая авторам доступна: ISO 27000, NIST, Cobit или даже CIS. Но "в Украины свой путь", – резюмирует Владимир Стыран в комментарии нашему журналисту.

Эксперт объясняет: такие документы должны перед утверждением выноситься на суд общественности. В данной же ситуации общественности остается только читать принятое постановление и делать выводы.