Цифровая промышленная безопасность: отражение кибератак

Цифровизация предприятий увеличивает их эффективность и производительность, с одной стороны, но с другой — повышает риски кибератак и вероятность реализации недопустимых событий. В связи с этим на протяжении последних лет объекты промышленности входят в число лидеров по количеству киберинцидентов. Чем опасно проникновение злоумышленников в цифровой периметр производства, как этого избежать и кто поможет предприятиям решить эти проблемы в ситуации дефицита специалистов по информационной безопасности? Выясняем вместе с разработчиками ИТ-решений.

Защита на всех уровнях

В первую очередь необходимо разобраться, в чём заключается специфика ИТ-продуктов для информационной безопасности (ИБ) промышленных предприятий по сравнению с теми, которые разработчики предлагают пользователям в других отраслях.

Как отмечает директор по развитию продаж решений компании АО «Аксофт» (Axoft) Андрей Юрченко, для таких объектов ключевым фактором является гарантированная бесперебойность и непрерывность работы автоматизированных систем управления технологическим процессом (АСУТП).

Любые наложенные средства информационной безопасности рассматриваются через призму сохранения указанных процессов. Поэтому вмешательства и изменения, как правило, недопустимы как с точки зрения бизнеса, так и для обеспечения безопасности людей.

Директор департамента предоставления ИТ- и ИБ-услуг ООО «Вымпел-профит» (Simplity) Евгений Нургалиев также считает, что основной спецификой обеспечения кибербезопасности предприятий является наличие большого технологического сегмента, который управляет производством, промышленными установками, станками и т. п.

«Главный риск заключается в том, что сбой или авария на данных установках может привести не только к финансовым потерям, но и потенциально к большому ущербу для экологии и населения. Соответственно, если в обычной компании, например в банке, в случае киберинцидента ущербом будет утечка денежных средств, то на промышленном предприятии, помимо финансовых потерь, может привести к человеческим жертвам и нанести экологический вред.

Ситуацию усугубляет ещё и тот факт, что в большинстве случаев технологические сети насыщены устаревшим программным обеспечением, обладающим огромным количеством известных уязвимостей. При этом своевременное обновление ПО техсегмента в силу нюансов производственных процессов практически невозможно, что многократно увеличивает риски успешной реализации кибератаки.

Таким образом, основная задача на промышленном предприятии — защитить технологическую сеть, то есть АСУТП, от потенциальных киберугроз», — подтверждает Евгений Нургалиев.

Руководитель службы информационной и коммерческой безопасности Департамента экономики финансов и администрирования ООО «Электрорешения» (EKF) Александр Злой напоминает, что целый ряд систем автоматизации, которые предприятия используют сегодня, был разработан много лет назад.

Многие из них содержат уязвимости и не имеют встроенных механизмов защиты, отвечающих современным требованиям. А популярные системы защиты для офиса не всегда подходят для производства. При этом важным аспектом реализации проекта по киберзащите технологического процесса является исключение риска влияния системы на непрерывность производства.

«Когда речь идёт о промышленных предприятиях, то, как правило, кроме собственно защиты ИТ-инфраструктуры, говорят о безопасности технологических процессов. Современные промышленные предприятия практически полностью компьютеризированы и напрямую зависят от работоспособности всевозможных АСУТП. Для их защиты есть свои подходы
и зачастую собственные программные продукты», — продолжает тему руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Предприятия используют два вида сетей: корпоративные и промышленные. И защищать их нужно разными инструментами, потому что протоколы передачи данных в этих сетях разные, как и конечные устройства, поясняет специалист по информационной безопасности, руководитель по развитию направления ИБ в компании «Максофт» Антон Морозов.

«В первом случае это компьютеры и ноутбуки, во втором — датчики, станки и другое оборудование. Вторжение в корпоративную сеть может повлечь за собой потерю данных, их шифрование, парализацию офисной части предприятия. Последствия проникновения в промышленную сеть отражаются непосредственно на производстве — от нарушения технологического процесса до полной остановки.

Как правило, вмешательство в производство — недопустимое событие для предприятия, а иногда для целой отрасли и даже для государства. И не всегда это только финансовые или репутационные потери. Представим, что злоумышленники остановили или нарушили работу ТЭЦ или атомной станции. Последствия могут быть катастрофическими, включая человеческие жертвы. Как правило, такие организации относятся к объектам критической информационной инфраструктуры. Средства защиты промышленных сетей созданы с учётом этой специфики», — уточняет Антон Морозов.

Тайное становится явным не сразу

Риски, которые несут кибератаки промышленных объектов, действительно высоки. Это подтверждают примеры таких вторжений, которых с каждым годом становится всё больше. Евгений Нургалиев напомнил, как в 2021 году хакерская группировка DarkSide произвела атаку и парализовала работу крупной американской трубопроводной системы Colonial Pipeline.

Пока компания переводила выкуп злоумышленникам и восстанавливала работу в полном объёме, от Вашингтона до Алабамы успел возникнуть заметный дефицит топлива, было объявлено чрезвычайное положение.

«В случае успешной атаки на промышленное предприятие последствия могут быть самыми катастрофическими. Речь идёт не то только об остановке технологических процессов производства, но и о серьёзных авариях с человеческими жертвами. Как правило, этого, конечно, не происходит, потому что системы АСУТП выделены в отдельный контур и не имеют внешнего доступа, однако случается разное.

Многие помнят, например, атаку на заводы компании Garmin, после которой практически все их устройства по всему миру потеряли доступ к картам и сервисам, а производство новой продукции было приостановлено. Но многие атаки остаются неизвестными широкой публике, если их последствия удаётся оперативно устранить», — отмечает Сергей Полунин.

«Если взломанная зубная щётка может лишить вас информации о том, во сколько ваш ребенок почистил зубы перед сном, то взлом промышленного предприятия — это, как правило, остановка производственного цикла и убытки для бизнеса. В зависимости от целей злоумышленники могут оставаться долгое время в периметре компании, не афишируя себя, проводить разведку, изучать инфраструктуру и сервисы, сливать данные. В отсутствие систем мониторинга и реагирования такие действия обнаружить очень сложно», — подтверждает Александр Злой.

Так, согласно исследованиям вендора Positive Technologies, злоумышленник может незаметно находиться в сети до 200 дней. Как это происходит?

«Преступник получает доступ к компьютеру рядового сотрудника и ждёт удобного случая, чтобы получить больше информации. Возможно, владельцу учётной записи будет отправлено фишинговое письмо или на его компьютере введёт свой пароль администратор, и так злоумышленник сможет расширить свои права.

Однако сотрудники предприятий не сразу замечают и более активные действия хакеров. Известный случай, когда преступники получили доступ к системе управления климатом в холодильнике агрохолдинга «Селятино», в котором хранилось мясо, — огромном ангаре, где поддерживалась температура -24 °С.

Хакеры повышали её постепенно, и персонал продолжал работу, не ощущая изменений. А потом температуру довели до +30 °С, и 400 тонн замороженной продукции оказались под угрозой порчи. К счастью, сотрудники заметили вторжение вовремя», — поясняет Антон Морозов.

«Злоумышленник потенциально в состоянии остановить работу химических производств, комплексов энергоснабжения и водоснабжения, прекратить очистку сточных вод, что нанесёт вред не только экономике, но и здоровью населения. Бесспорно, персонал может не знать об утечке данных, ведь для её обнаружения нужно иметь средства мониторинга инцидентов кибербезопасности, такие как антивирусные средства, IDS, EDR, DLP, SIEM и т. д.

Они должны быть правильно настроены, чтобы выявлять и коррелировать те события, которые необходимы для своевременного обнаружения киберинцидента. В частности, она должны обнаруживать сканирование элементов ИТ-инфраструктуры со стороны заражённого компьютера, множественные запросы на авторизацию с неправильным паролем, нестандартные запросы к системе управления базами данных и т. п.

Также необходимо обеспечить мониторинг и своевременное реагирование на выявленный инцидент специалистов по кибербезопасности в режиме 24/7», — подчёркивает Евгений Нургалиев.

Люди или системы?

Аналитики отмечают беспрецедентный дефицит кадров в промышленности. А какова ситуация на рынке кибербезопасности? И что важнее для защиты предприятия — квалифицированные специалисты или продукты для кибербезопасности?

В подтверждение реальности кадровой проблемы Антон Морозов привёл данные агентства HeadHunter: российскому рынку нужно около 30 тыс. специалистов по информационной безопасности, порядка 54% компаний на рынке сегодня испытывают нехватку такого рода сотрудников. По наблюдению Андрея Юрченко, проблема не в том, что таких кадров нет вовсе, а в том, что нужны именно хорошие специалисты, причём они одинаково востребованы и вендорами, и заказчиками, и интеграторами, и дистрибьюторами.

«Поскольку решения практически не работают без квалифицированных специалистов, а специалистам нужны инструменты, то разграничивать их по уровню важности не имеет смысла. В целом инвестиция в продукты сейчас более актуальна, поскольку, помимо кадрового голода, есть ещё и риск утечки взращиваемых специалистов в другие компании. А настроенная должным образом система может, условно, какое-то время работать автономно», — считает директор по развитию продаж решений компании Axoft.

Александр Злой также наблюдает и кадровую проблему в «кибербезе», и взаимную конкуренцию, причём борьба идёт как за хороших специалистов, так и за интересные должности. При этом он отмечает, что учебные заведения готовят всё больше кадров, идёт развитие программ среднего специального образования по информационной безопасности. Ту же тенденцию отмечает директор департамента предоставления ИТ- и ИБ-услуг Simplity.

По словам Евгения Нургалиева, в последнее время вузы начали открывать направления обучения в области кибербезопасности, и, по идее, эти меры должны выровнять ситуацию на рынке труда через 6‒7 лет. Однако открытие новых специальностей и набор студентов вскрыли другую проблему — нехватку квалифицированных преподавателей. Отток за рубеж сильных ИТ- и ИБ-специалистов, безусловно, негативно сказался на всей отрасли обеспечения практической кибербезопасности.

«Если говорить о том, что важнее для защиты предприятия — квалифицированные специалисты или продукты для кибербезопасности, то в данном случае ответ один — важнее кадры. Это связано с тем, что хороший специалист может вытащить максимальную эффективность из тех средств защиты информации, что у него есть под рукой, а наличие дорогого продукта без грамотной эксплуатации не даёт практически никакой защиты от киберугроз», — аргументирует Евгений Нургалиев.

«На рынке труда информационной безопасности сложилась интересная ситуация. С одной стороны, налицо недостаток кадров, и все работодатели в один голос говорят о кадровом голоде, а с другой — университеты ежегодно выпускают на рынок сотни специалистов. Суть в том, что предприятиям нужны опытные сотрудники, а, где набирать этот опыт, многие молодые инженеры просто не понимают. И я бы не стал противопоставлять продукты и людей.

Опытный специалист по ИБ найдёт способ обеспечить базовый уровень безопасности имеющимися средствами. Одновременно с этим сложные продукты для обеспечения ИБ, как правило, не имеют никакого смысла без грамотной настройки. Поэтому однозначный ответ — специалисты важнее продуктов», — убеждён Сергей Полунин.

Генеральный директор ООО «Рукс Солюшенс» (IT-компания RooX) Алексей Хмельницкий напоминает, что цифровая трансформация в промышленности двигается по пути, по которому ранее уже прошёл банковский сектор, а до него телеком-компании. По его мнению, предприятиям важно перенимать этот опыт и держать баланс между вендорами и внутренней компетенцией.

«Вендоры и готовые ИТ-продукты успешно решат базовые неспецифичные потребности компании,
а внутренняя команда квалифицированных менеджеров и специалистов может быть более эффективной в разработке бизнес-продуктов. При этом задача менеджмента — задать правила и стандарты, в том числе в безопасности», — убеждён Алексей Хмельницкий.

Антон Морозов считает, что кадровую проблему можно частично решить
с помощью сложных высокотехнологичных средств защиты. Многолетний опыт и экспертиза вендора вкладываются в продукт, который возьмёт на себя часть ручного труда. Задача сотрудников — научиться пользоваться этими продуктами, потому что покупка любого, даже самого современного решения, ляжет мёртвым грузом без настройки и умения проводить аналитику.

«Высококвалифицированные кадры не менее важны, чем сложные продукты. Однако ИБ-решение поможет снизить нагрузку на ИT-отдел, чтобы вместо армии айтишников в компании было два-три человека, которые владеют соответствующей экспертизой.

Процесс должен быть выстроен грамотно со всех сторон: качественный продукт от вендора, квалифицированное внедрение от интегратора, понимание специфики работы продукта уже в компании. Если в компании нет специалистов, их можно взять на аутсорс у того же вендора или системного интегратора», — рассуждает руководитель по развитию направления ИБ в компании «Максофт».

Текст: Мария Кармакова