ФСТЭК рассказала о мерах по повышению защищённости критической IT-инфраструктуры

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) подготовила рекомендации для операторов объектов критической информационной инфраструктуры (КИИ) по повышению защищённости обслуживаемых систем от кибератак.

Анализ сведений об угрозах безопасности информации, проводимый специалистами ФСТЭК России в условиях сложившейся обстановки, показывает, что зарубежными хакерскими группировками ведется подготовка и осуществляются масштабные компьютерные атаки на информационную инфраструктуру организаций-разработчиков программного обеспечения и оборудования автоматизированных систем управления производственными и технологическими процессами, применяемых на объектах критической информационной инфраструктуры Российской Федерации программного обеспечения.

В опубликованном регулятором документе, сообщается о необходимости принятия таких мер:

• провести инвентаризацию общедоступных информационных ресурсов (веб­сайтов, порталов) путем внешнего сканирования блока публичных IP-адресов, принадлежащих организации с целью определения сетевых служб открытых на периметре информационной инфраструктуры, а также путем сканирования IP-адресов, выделенных для информационных ресурсов организации в арендованном облаке/хостинге, и отключить неиспользуемые службы и веб-сервисы;

• по результатам сканирования провести анализ открытых портов и заблокировать доступ извне к сетевым службам, для которых он не нужен или ограничить доступ по белому списку IP-адресов там, где это возможно исходя из назначения сервиса;

• для взаимодействия по интерфейсу API, если возможно, ограничить доступ по белому списку IP-адресов;

• усилить требования к парольной политике администраторов и пользователей (потребителей) веб-сервисов организаций, исключив при этом использование паролей, заданных по умолчанию, а также отключить неиспользуемые учетные записи;

• обеспечить двухфакторную аутентификацию сотрудников организации, осуществляющих удаленное подключение к информационной инфраструктуре;

• обеспечить реализацию удаленного доступа сотрудников организации к инфраструктуре с применением средств удаленной дистанционной работы (при возможности) через защищенные каналы передачи данных (с применением протоколов HTTPS, SSH и других протоколов) с использованием VPN-сетей;

• при невозможности исключения удаленной технической поддержки для потребителей обеспечить реализацию такой технической поддержки с использованием VPN-сетей и двухфакторной аутентификации;

• исключить из публичного доступа информацию и материалы, содержащие сведения по настройке и эксплуатации программного обеспечения и оборудования, автоматизированных систем управления производственными и технологическими процессами, дистрибутивы и демо-версии программного обеспечения, размещаемых на сайтах организаций;

• обеспечить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (web application firewall (WAF)), установленных в режим противодействия атакам;

• на сетевом оборудовании при наличии технической возможности отказаться от использование незащищенных протоколов управления, таких как telnet/http/snm, и разрешить доступ к оборудованию только из доверенных сетей (сегменты управления, рабочие станции администраторов);

• активировать функции защиты от атак отказа в обслуживании (DDoS-атак) на средствах межсетевого экранирования и других средствах защиты информации.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов КИИ государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.