Информационная безопасность в логистике и транспортных компаниях

Логистика и транспорт характеризуются территориально распределенной инфраструктурой и высокой зависимостью от цифровых сервисов.
К ключевым объектам защиты относятся:

• автоматизированные системы управления технологическими процессами (АСУ ТП) складов и терминалов;
• распределенные корпоративные сети филиалов;
• VPN-каналы между офисами и транспортными узлами;
• беспроводные сети (Wi-Fi) складов и логистических центров;
• навигационные и телематические системы (включая даже гидрографическое обеспечение для портов);
• системы управления движением, диспетчеризации транспорта (как автомобильного, так и ж/д, морского или авиа);
• системы мониторинга транспорта и грузов;
• базы данных клиентов и контрагентов.

Компрометация этих систем может привести к остановке логистических операций и потере контроля над перевозками, а доступ к ним имеют сотрудники, разбросанные по разным локациям, и работающие со своих мобильных устройств. 
Также для отрасли важно обеспечение суверенитета данных и поэтому хранение “чувствительной информации” на серверах, расположенных в РФ.

Транспортная и логистическая инфраструктура регулярно подвергается кибератакам, включая как массовые, так и целевые сценарии.
Для простоты приведем сразу таблицу с возможными угрозами, последствиями их реализации и примерами, когда это происходило

В целом страдают как специфические системы именно логистической и транспортной инфраструктуры, так и “обычные” ИТшные системы, а также “обвязка” - например, складской WiFi как точка проникновения. Человек также остается слабым звеном (умышленно или нет).
Для транспорта и логистики последствия особенно опасны тем, что могут не просто приводить к срыву поставок и контрактных обязательств или финансовым потерям и ущербу для репутации, но убыткам из-за простоев и восстановительных работ, а также (что более важно для людей) могут обернуться рисками для безопасности перевозок.
При этом даже кратковременный сбой может вызвать цепную реакцию задержек по всей логистической цепочке (например, вспомним атаку на трубопроводы Colonial Pipe в 2021-м году и как следствие возникший продовольственный кризис в связи с отсутствие возможности привезти товар в отдаленные магазины).

Логистические и транспортные компании подпадают под требования законодательства в сфере защиты персональных данных и, в отдельных случаях, безопасности КИИ.

• Защита персональных данных

Федеральный закон № 152-ФЗ «О персональных данных»
Обязателен для всех транспортных систем, где обрабатываются ПДн пассажиров/сотрудников. Необходимо:

• обеспечивать конфиденциальность ПДн;
• внедрять организационные и технические меры защиты;
• предотвращать утечки и несанкционированный доступ.

На практике это требует внедрения DLP, разграничения доступа, шифрования и регулярной оценки защищенности.

• Безопасность критической информационной инфраструктуры

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Применяется к объектам транспортной и логистической инфраструктуры, признанным субъектами КИИ.
Требует:

• категорирования объектов (с учетом специфики и с акцентом на АСУТП, диспетчеризацию и пассажирские системы);
• внедрения мер защиты;
• реагирования на инциденты;
• взаимодействия с регуляторами (в частности с ГосСОПКА).

• Требования ФСТЭК

Приказ ФСТЭК России № 239
Устанавливает требования к созданию систем безопасности значимых объектов КИИ, включая:

• модель угроз,
• сегментацию сетей;
• контроль доступа;
• мониторинг событий;
• управление уязвимостями.

Отраслевые требования
Федеральный закон №261‑ФЗ «О морских портах в Российской Федерации» требует обеспечения безопасности информационных потоков в портах, включая системы управления терминалами, навигационно‑гидрографическое обеспечение и сбор данных о грузах/кораблях.
Федеральный закон № 17‑ФЗ «О железнодорожном транспорте в Российской Федерации»
Обязывает обеспечивать защиту АСУП, систем сигнализации/централизации/блокировки (СЦБ), диспетчерских систем и данных о пассажирах/грузах.
Воздушный кодекс РФ и Приказы Минтранса (например, по АИС оформления воздушных перевозок) Требуют суверенитета над данными (хранение их на серверах в РФ), защиты персональных данных пассажиров, систем бронирования, регистрации, аэропортовых АСУ и бортовых систем (как минимум навигация и связь).
Федеральный закон № 259‑ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта» фиксирует защиту логистических ИС: мониторинг грузов, подбора транспорта, расчёта маршрутов, отслеживания ТС и параметров (топливо, температура).
А если учесть специфику по отраслям, то требования и объекты защиты также будут отличаться:

• для автомобильного транспорта и логистики необходима защита TMS/WMS (управление транспортом/складами), GPS/ГЛОНАСС‑мониторинг, системы электронного документооборота (ЭДО для грузовых накладных)
• для ж/д важны компоненты АСУП, системы управления движением поездов, СЦБ, платформы бронирования (как РЖД‑системы).
• для воздушного транспорта будет акцент на АСУ аэропортов, бронирование, регистрация пассажиров/багажа, навигационные системы
• Морской/речной транспорт заботит безопасность системы портовых терминалов, диспетчеризация судов, гидрографическое обеспечение.

• Импортозамещение средств защиты

Для субъектов КИИ и компаний с государственным участием актуальны требования по использованию сертифицированных и доверенных средств защиты.
Особое внимание уделяется:

• межсетевым экранам (включая промышленные);
• системам обнаружения вторжений;
• средствам криптографической защиты;
• аутентификации и разделению полномочий;
• системам мониторинга и реагирования.

При проектировании архитектуры мы учитываем стратегию импортозамещения и ограничения на использование иностранного ПО.

В логистике и транспорте ключевым является обеспечение защищенного взаимодействия ключевых компонентов инфраструктуры и распределенных объектов.
Основные принципы:

• сегментация сетевой инфраструктуры;
• разграничение доступа;
• специальный контроль (мониторинг и фильтрация) в АСУ;
• защита удаленного доступа и VPN;
• видеонаблюдение и контроль беспроводных сетей на складах и точках присутствия операторов;
• контроль мобильных датчиков и устройств;
• централизованный мониторинг событий безопасности;
• защита навигационных систем;
• резервное копирование в целом и резервирование критически важных сервисов в частности, отказоустойчивость.

Архитектура ИБ должна обеспечивать непрерывность операций при минимальном влиянии на скорость бизнес-процессов.

В проектах для логистических и транспортных компаний применяются следующие классы средств защиты.

• Сетевые средства защиты (NGFW, DPI, DDoS)

Устанавливаются на периметре АСУ ТП аэропортов/портов и стыках TMS логистики для фильтрации трафика по матрице коммуникаций и блокировки DDoS, обеспечивая защиту диспетчеризации от внешних атак и поддерживая непрерывность критичных процессов по Приказу №239.

• Системы управления доступом (IAM, RBAC, MFA)

Внедряются для АРМ диспетчеров ж/д и складских систем WMS с ролевым разделением (оператор/инженер/ИБ) и многофакторной аутентификацией, предотвращая несанкционированный доступ к управлению движением поездов или маршрутами грузов и соответствуя требованиям ЗИС.1–ЗИС.3 №239. Также позволяют надежно верифицировать пользователя при удаленном доступе.

• Мониторинг и обнаружение вторжений (SIEM, IDS/IPS, NTA)

Используется для централизованного сбора и хранения журналов, в том числе АСУ ТП, GPS-трекеров и TMS. Позволяют организовать SOC для корреляции событий и раннего выявления вредоносной активности или аномалий в логистике, интегрируясь с ГосСОПКА для обязательного обмена данными об инцидентах в КИИ.

• Криптографические средства (СКЗИ, VPN, ЭЦП)

Применяются для шифрования каналов телеметрии ТС/поездов, ЭДО грузовых накладных и бронирования билетов, гарантируя тайну связи и целостность данных пассажиров/грузов в соответствии с 152-ФЗ и ЗИС.20 №239. Позволяет организовать безопасную связь между филиалами и складами и сделать возможными удаленные подключения.

• Средства защиты данных и конечных устройств (DLP, EDR, HIDS)

Развертываются на серверах TMS/WMS и мобильных трекерах водителей для предотвращения утечек ПДн и контроля целостности конфигураций АСУ ТП, минимизируя риски заражений вредоносным ПО и соответствуя требованиям ФСТЭК к ИСПДн. Также блокируют умышленные или случайные утечки конфиденциальной информации.

• Системы контроля целостности и безопасного ПО (FIM, безопасная разработка)

Обеспечивают мониторинг целостности прошивки контроллеров РЗА ж/д или АЗС в логистике, блокируя несанкционированные изменения, что критично для предотвращения сбоев в диспетчеризации и выполнения ЗИС.12/ЗИС.36 №239.

• Физическая и инфраструктурная защита (СКУД, видеонаблюдение, MDM, WiFi)

Ограничивают доступ к ЦОД АСУ портов и планшетам логистов, интегрируясь с видеонаблюдением складов для комплексной защиты помещений и мобильных устройств по ЗНИ приказа №239. Безопасность (включая сегментацию) беспроводной сети, настройка и защита контроль точек доступа и мониторинг аномалий в WiFi критично для складских комплексов и транспортных узлов.

• Средства обеспечения непрерывности (резервирование, HA, DoS)

Например, используются для кластеризации систем бронирования РЖД/авиа и организации резервных каналов мониторинга грузов, обеспечивая SLA >99,99% и устойчивость к DoS по требованиям 187-ФЗ и ЗИС.34 №239.

В результате внедрения системы информационной безопасности заказчик получает:

• Соответствие требованиям 187-ФЗ, Приказа №239 и отраслевым перечням Минтранса - гарантирует отсутствие штрафов до 3% выручки, приостановки лицензий и проверок ФСТЭК; подтверждается паспортизацией ЗОКИИ и комплектом ОРД.
• Непрерывность критичных процессов (диспетчеризация, АСУ ТП, бронирование) - SLA >99,99% для АСУП ж/д, аэропортов, портов; минимизация времени простоя с <4 часов восстановления при инцидентах вместо дней/недель.
• Защита персональных данных пассажиров/сотрудников (ИСПДн) - предотвращение утечек миллионов записей с штрафами РКН до 150 млн руб.; соответствие 152-ФЗ и уведомлению регулятора.
• Физическая защита грузов и предотвращение их кражи - Контроль TMS/WMS + GPS-трекеров блокирует подмену маршрутов; предотвращает ущерб в миллионы руб. от кражи электроники/товаров.
• Устойчивость распределенной инфраструктуры (ЦОД, АРМ, мобильные трекеры)  - резервирование, в том числе кластеризацию для TMS, АСУ ТП, складских WMS; защита от каскадных сбоев при атаке на одного подрядчика.
• Минимизация финансовых потерь (>90% снижение ущерба) - предотвращение потерь от DDoS (37+ часов простоя), вирусов-шифровальщиков (сотни млн руб.), кражи грузов; ROI системы ИБ окупается за 1 крупный предотвращенный инцидент.
• Прозрачная модель ИБ с доказуемым соответствием - единая SOC-панель, автоматизированные отчеты для Минтранса/ФСТЭК, интеграция с ГосСОПКА; аудит за 1 день вместо 3+ месяцев.
• Конкурентное преимущество и рост доверия клиентов - соответствие приказу №239, защита репутации; привлечение госзаказов и крупных клиентов, требующих ИБ-сертификацию подрядчиков.

Наш подход включает:

• аудит ИТ- и технологической инфраструктуры;
• анализ рисков и уязвимостей;
• участие в категорировании объектов КИИ (при необходимости);
• проектирование архитектуры защиты;
• внедрение сертифицированных средств защиты;
• подготовку документации;
• сопровождение и развитие системы ИБ.

Если дать чуть больше деталей, то может потребоваться:

• Аудит АСУ ТП, TMS/WMS и систем диспетчеризации
Инвентаризация всех ЗОКИИ (аэропорты, ж/д, порты, логистика) для выявления критичных активов по перечню Минтранса.
• Категорирование объектов КИИ с Минтрансом - Подготовка документов для постановки в реестр КИИ и определения категории (1–3) с обоснованием ущерба.
• Модель угроз для транспортных процессов, анализ специфических рисков: DDoS на бронирование, вирусы для АСУП, кража грузов через взлом TMS.
• Архитектура зон и кондуитов для АСУ ТП и проектирование сегментации по IEC 62443 (SL 3–4) для диспетчеризации, мониторинга ТС и складов.
• Внедрение СЗИ (сертифицированные ФСТЭК/ФСБ под требования приказа  №239 - NGFW, SIEM, СКЗИ для периметра АСУ ТП, GPS-трекеров и ЭДО).
• Полный комплект ОРД по Приказу №239 - а это техзадание, регламенты, инструкции, протоколы испытаний — готовая документация для проверок ФСТЭК
• построение SOC и интеграция с ГосСОПКА с целью реализации централизованного мониторинга с автоматическим обменом данными об инцидентах и SLA восстановления <4 часа.
• можем также взять на сопровождение и ежегодную актуализация
, а именно пересмотр модели угроз, обновление СЗИ, подготовка к проверкам Минтранса/ФСТЭК с гарантией соответствия.

Результат: Компания получает готовую систему ИБ “под ключ” для всех проверок.

Оставьте заявку — мы проведем экспресс-оценку текущего уровня защищенности, проанализируем критичные зоны, оценим риски и предложим архитектуру системы защиты и дорожную карту с оценкой стоимости обеспечивающую устойчивость ваших бизнес-процессов и соответствие требованиям законодательства без штрафов и других финансовых рисков.