«Работает – не трогай»: как обеспечить кибербезопасность устаревшей техники
Многие компании используют старую технику, пока она справляется со своими задачами. Однако это небезопасно: устаревшее ПО на таких устройствах становится уязвимым для кибератак. А если его обновлять, это повлечёт за собой большие расходы и риск приостановки бизнес-процессов. Как можно решить эту проблему, рассказывает Валерий Зубанов, управляющий директор "Лаборатории Касперского" в Казахстане, Центральной Азии и Монголии.
Почему с обновлением могут возникнуть проблемы
Во многих организациях стоит устаревшее рабочее оборудование. Например, в налоговой службе США используются компьютеры 1970-х годов, а также программы на почти мёртвом языке COBOL. Владельцы предприятий часто опасаются, что обновление ПО на устаревшем оборудовании нарушит работу системы и восстановить её потом уже будет невозможно.
Например, сотрудники, которые в ней разбираются, уволились или ушли на пенсию, а инструкции не сохранились. Поставщики оборудования могли обанкротиться и перестать осуществлять техподдержку. А если техника, которая вышла из строя, ещё и связана с другим оборудованием, это может спровоцировать сбои в других системах, и предвидеть это сложно. Кроме того, обновление может обойтись недёшево, и не все компании могут позволить себе такие расходы.
Однако, если устаревшие системы на предприятии не получатся заменить или обновить, можно попробовать снизить вероятность кибератак.
1. Изолировать устаревшее оборудование
Устаревшее оборудование можно выделить в отдельный сегмент сети. Чем выше будет степень изоляции, тем лучше — вплоть до физического отделения сети и коммутационного оборудования. При этом нужно следить за нарушениями регламента. Например, когда сотрудники получают доступ с одного компьютера и к изолированной, и к общей сети через разные сетевые интерфейсы.
2. Использовать шифрование
Для устройств, обменивающихся информацией с другими компьютерами по устаревшим протоколам, можно создать туннели (VPN), основанные на современных алгоритмах шифрования и аутентификации. А обмен данными вне этого туннеля — заблокировать.
3. Обновлять системы до доступных версий
Даже если систему нельзя полностью обновить, её можно постепенно обновлять до последних доступных версий основного ПО. Это эффективнее полной консервации.
4. Дробить процессы на более мелкие
Бизнес-процессы нужно по возможности переводить на новое оборудование. Это существенно облегчит защиту. Те процессы, которые можно выполнять только на устаревшей технике, можно внести в список разрешённых, а все остальные запретить.
5. Использовать виртуальные машины
Это позволяет обновить оборудование, а также внедрить на уровне системы виртуализации и хост-системы компенсирующие меры, например современный контроль доступа и шифрование.
6. Ограничить доступы
Доступ к устаревшей технике лучше давать минимальному числу сотрудников и ограничивать права настолько, насколько это возможно. Если система не позволяет этого сделать, можно попробовать внедрить ограничения на более ранней стадии доступа — например, вход в VPN, виртуальную машину, а также ограничить доступ административными мерами, такими как замки и охрана.
Помимо всего этого, специалистам по информационной безопасности важно вести список устаревшей техники и отслеживать моменты, когда её решают обновить — чтобы сделать это с учётом современных требований безопасности. А если оборудование в компании решают заменить, нужно проверить, чтобы оно также максимально соответствовало требованиям безопасности. Например, чтобы можно было регулярно и легко обновлять ПО, документировать работу с дефектами и уязвимостями.