8 шагов к информационной безопасности для РЖД

В сети могут быть критичные для бизнеса системы, например управление перевозками, продажа билетов, поддержание работоспособности систем. Такие проникновения могут привести к авариям, остановке продажи билетов и работы партнеров, уничтожению данных и блокировке перевозок в принципе. Причем с учетом возможности получить доступ к оборудованию по всей стране масштаб проблемы будет гигантский.

Чаще всего такие инциденты появляются из-за неверно настроенного сетевого оборудования, правил на сетевой защите и отсутствия сегментации физических и виртуальных сетей.

Обозначу 8 шагов, которые обычно делают в компаниях для минимизации количества таких инцидентов.
1. Публикация на главной странице контактов службы, отвечающей за инциденты.
2. Создание круглосуточной базы реагирования на сообщения об инцидентах по e-mail, телефону и сообщениям в сети интернет, в том числе от собственных сотрудников.
3. Запуск проекта по постоянному контролю доступности внутренней сети из интернета, например, для этого используют собственные сканеры безопасности или готовые публичные сервисы.
4. Установка систем, обнаруживающих злоумышленников по поведению, поскольку собственные сотрудники знают, что делают в сети, а «гости» тыркаются по сети, как слепые котята, и это легко обнаружить.
5. Обучение собственных сотрудников, чтобы они хотя бы меняли пароли по умолчанию и делали их сложными.
6. Добавление системы управления паролями и проверка паролей на сложность активными мерами.
7. Добавление внутренней сегментации в сети с помощью межсетевых экранов, где в правилах доступа четко описано, кто и куда может входить, что в мире называют подходом Zero Trust.
8. Внимательное отношение к правилам для исходящего трафика в интернете, разрешающим для каждого устройства, сотрудника и конкретных приложений выход в интернет и запрещающим все остальное, что также относится к подходу Zero Trust.

Автор: Денис Батранков, независимый эксперт по информационной безопасности