– Сегодня внимание к кибербезопасности сильно возросло. Одна из ключевых «точек уязвимости» – кибербезопасность. Какие элементы ИТ-систем предприятий Вы оцениваете как наиболее чувствительные к кибератакам?
– Тема кибербезопасности сейчас беспокоит организации не только в ТЭК, но и в других отраслях промышленности. По данным ежегодного глобального отчета Allianz Risk Barometer, охватывающего тысячи компаний-респондентов в различных отраслях из разных стран, киберинциденты второй год подряд становятся основными вызовами для организаций. Если говорить применительно к нефтегазовым предприятиям, то остановка непрерывного производства в силу разных причин, в т.ч. из-за киберинцидентов, входит в топ-3 рисков. Количество инцидентов выросло с 21 до 30 %. Это подтверждают и данные по расследованиям, которые мы проводим в компании.
Киберрискам подвержены все системы, которые так или иначе управляют производственной деятельностью. Это системы, остановка или компрометация (то есть получение несанкционированного доступа) которых могут привести к нарушению устойчивости бизнеса и производства. К таким системам можно отнести управление различными технологическими процессами, корпоративные системы, в т.ч. планирование ресурсов предприятия (ERP), управление производственными процессами (MES), управление логистическими цепочками, поставками сырья, отгрузками продукции. Все они являются частью предприятия, поэтому нарушение из-за атак их работоспособности или инфраструктуры компании может привести к полной остановке ее деятельности.
– Что подразумевает под собой понятие результативной кибербезопасности, что оно включает? Как эта система работает?
– Результативная кибербезопасность базируется на стратегии, в которой для начала необходимо определить смысл, который бизнес вкладывает в понятие «результат». Для одних компаний соответствие требованиям нормативно-правовых актов, отраслевых или федеральных регуляторов тоже будет результатом. Или существует другой подход, когда результат может заключаться в том, что компания внедряет лучшие на рынке практики и продукты, использует бенчмарки. Наверное, такие организации будут лучше защищены, чем в первом случае, но гарантируют ли все эти меры невозможность взломать компанию – вопрос спорный.
Наш подход к построению кибербезопасности заключается в том, что необходимо в первую очередь определить, что для компании недопустимо ни при каких условиях. И эти недопустимые события должны быть сформулированы не службой ИБ, не регулятором, не ИТ, даже не производственным персоналом. Они определяются с точки зрения бизнеса, акционеров, топ-менеджмента, руководителей. Например, остановка отгрузки продукции, розлив сырья или взрыв установки на НПЗ, кража денег со счетов компании, утечка интеллектуальной собственности – все это влечет за собой серьезные последствия для бизнеса.
И тут уже появляется вопрос, как выстроить такую защиту? В первую очередь применяются меры по усилению защищенности инфраструктуры, внедряются средства мониторинга и реагирования на события безопасности, в том числе в АСУ ТП. Далее нужны доказательства, что принятые меры эффективны. Для этого проводятся киберучения с привлечением третьей, независимой стороны – сильных исследователей, т.е. «белых хакеров».
Один раз прошли киберучения – хорошо, доказали, что недопустимые события не могут быть реализованы. Но действительной гарантией результата в построении результативной кибербезопасности становится постоянная проверка защищенности на платформе Bug Bounty, где «белые хакеры» в режиме 24/7 могут проверять киберзащищенность компании.
– Почему автоматизированную систему управления технологическим процессом (АСУ ТП) и средства обеспечения ИБ необходимо рассматривать в комплексе? Важно ли проводить тестирование на совместимость и отсутствие влияния на системы АСУ ТП?
– Средства защиты, которые используются предприятиями, могут быть встроенными или наложенными. Если выполняется проект по модернизации какой-либо установки, внедрения АСУ ТП, то чем раньше средства защиты будут спроектированы, апробированы, протестированы и внедрены, тем быстрее этот проект будет завершен. И тем ниже будет его стоимость с точки зрения затрат.
Если же система автоматизации уже внедрена и необходимо ее защитить, это может привести к поиску наложенных средств. Их нужно тестировать, менять какие-то настройки в существующих компонентах АСУ ТП. Все это ведет к необходимости перепроектирования автоматизированной системы, траты ресурсов на тестирование этих наложенных средств, поиску технологических окон для выполнения работ, если это функционирующая система. Такой подход неэффективен.
Подход Positive Technologies заключается в том, чтобы наше решение PT Industrial Cybersecurity Suite (PT ICS), которое предназначено для защиты производственных систем, предлагалось клиентам уже протестированным с популярными производителями АСУ ТП на их типовой инфраструктуре. В этом случае вендор АСУ ТП может дать клиенту гарантии, что эти средства защиты совместимы с его системой и не имеют негативного влияния на нее.
– Зачем нужна экспертиза в продуктах для промышленной кибербезопасности и SCADA-систем? Каковы ее основные преимущества?
– Обычно SCADA-системы спрятаны глубоко за периметром. Если проводить аналогию с физической защитой, то это высокий забор, благодаря которому попасть внутрь предприятия или вынести что-то с него становится проблематично. Такие же подходы применяются и для защиты корпоративных систем межсетевыми экранами. Ими же отделяют технологические системы от корпоративных сетей. Это позволяет защититься от внешних угроз, исходящих из Интернета, то есть от злоумышленников, которые пытаются добраться до АСУ ТП и остановить процесс каталитического крекинга на НПЗ, либо просто зашифровать всю ИТ-инфраструктуру, чтобы предприятие встало и понесло многомиллиардные убытки.
Но существуют угрозы, которые приходят не снаружи, а изнутри. На предприятии работает огромное количество персонала – оперативный и эксплуатирующий персонал, КИПовцы, подрядчики, и все они взаимодействуют с автоматизированными системами, контрольно-измерительным оборудованием, метрологически значимыми системами и т.д. Часто мы видим, что администраторы настраивают себе какие-то непроектные каналы для удаленного управления системами. При этом с точки зрения аудита ИБ все защищено, сети изолированы, но инфраструктура АСУ ТП все равно уязвима. А кроме этого, есть факты фрода, т.е. кражи неучтенных остатков, манипуляций с метрологическими данными, удаления журналов SCADA, чтобы какую-то часть продукции нелегально вывезти и скрыть следы деятельности в системах контроля и учета.
Поэтому важно, с одной стороны, выстраивать систему эшелонированной защиты от внешних угроз. С другой же – вся техническая экспертиза (понимание технологического процесса, используемых в нем систем и их работоспособности, какие события фиксируются в журналах) должна быть доступна для анализа и выявления таких действий как, например, попытки остановить службу или заменить микропрограмму на ПЛК. Эти действия могут быть вполне законными в рамках эксплуатации системы, но они как минимум должны регистрироваться и выявляться, чтобы подразделение безопасности могло обратиться в службу эксплуатации АСУ ТП или метрологов и выяснить причины происходящего.
Без наличия промышленной экспертизы проанализировать это будет сложно. В наши продукты в составе PT ICS мы закладываем экспертизу для самых популярных систем автоматизации иностранных и российских вендоров. На проектах внедрения АСУ ТП она уже доступна «из коробки», это экономит время и ресурсы на реализацию проектов ИБ.
– Что делать в ситуации, если проникновение в корпоративную сеть все-таки произошло, как не допустить распространения угрозы на технологическую сеть?
— Это как раз основа результативной кибербезопасности. Стратегия защиты должна изначально строиться исходя из понимания, что злоумышленник уже может находиться внутри. Наши исследования говорят о том, что, если нет событий безопасности, это не значит, что хакера нет внутри. На теневых форумах продается доступ в инфраструктуру предприятий: одни ломают и остаются незаметными, приходят другие и останавливают производство. Поэтому чтобы противостоять атакам нужно, с одной стороны, максимально удлинить время на атаку, усложнив хакеру его работу на перемещение к цели. А с другой стороны, необходимо максимально сокращать время на реагирование, чтобы любое действие злоумышленника, малейшее передвижение или аномальное поведение в сети мгновенно определялись и доводились до соответствующих служб. Достичь такого можно с помощью внедрения средств мониторинга, которые найдут не только стандартные и известные угрозы, но и по аномальному поведению определят неизвестные угрозы. Здесь нужно брать в расчет много факторов, в т.ч. и анализ внутреннего трафика, и событий прикладного уровня систем автоматизации.
– В последнее время атаки через цепочку поставщиков или доверенных партнеров стали одной из серьезных проблем ИБ. Как можно справиться с этим вызовом?
– Атаки на цепочки поставщиков – одна из современных угроз. Компания может быть хорошо защищена, но при этом она работает с внешними контрагентами, чьи информационные системы интегрированы в нее, но уровень их ИБ может быть более низким. Поэтому взлом инфраструктуры партнера позволяет атаковать целевую систему компании.
В этой ситуации может помочь своеобразный due diligence, который часто используется в международной практике. Это требование со стороны компании на проверку соответствия корпоративным стандартам безопасности. Например, если вы подключаете газовый котел или дачу к электрической сети, то поставщик – газовая или электросетевая компания – выдает вам техусловия. Т.е. вы как заявитель обязаны выполнить различные технические мероприятия. Примерно такой же подход повысил бы киберустойчивость организации. Тут могут быть различные требования к техническим средствам защиты с повышенным контролем действий персонала, мониторингом событий и трафика внутри сети, к регламентам организации рабочего процесса, обязательное обучение сотрудников и другие меры.
– Как компаниям выбрать подходящий продукт для киберзащиты на рынке? Или это всегда несколько решений или все-таки возможна одна своеобразная «волшебная таблетка»?
– Волшебной таблетки от всего не существует. На рынке сегодня есть разные подходы. Например, некоторые компании намеренно делают выбор в пользу нескольких вендоров, что дает независимость от одного поставщика решений. Если это иностранные вендоры, то такой подход вполне оправдан. Мы же как российский производитель средств защиты готовы предлагать комплексное решение, которое закрывает целый ряд задач. Для клиента это выгодно, поскольку у него одна точка обращения за поддержкой, один источник гарантий на все решения, сотрудники предприятия обучаются у одного вендора, а все компоненты интегрированы. Мы готовы поддержать российские компании нефтегазовой отпасли и предложить им как комплексное решение PT ICS для построения СОИБ (систем обеспечения информационной безопасности), так и отдельные продукты, в том числе и по сервисной модели.
– Целесообразно ли компаниям или предприятиям, относящимся к системообразующим отраслям экономики, привлекать к проверкам систем кибербезопасности сторонних специалистов?
– Обеспечение ИБ не является результатом или целью, это непрерывный процесс. Даже если средства защиты уже внедрены, команда безопасности обучена, ей нужен практический опыт и постоянное обучение, прокачивание навыков реагирования в реальных атаках. Именно поэтому и проводятся киберучения, которые представляют собой не просто анализ защищенности или тестирование на проникновение (пентест), а создание ситуации, приближенной к реальной. Для киберучений привлекается независимые исследователи, «белые хакеры», или «red team». Они используют современные инструменты и пытаются проникнуть в ИТ-инфраструктуру, закрепиться и достичь целей, которые организация ставит перед ними. Команда безопасности, или «blue team», должна осуществлять мониторинг, обнаружение и реагирование. Это помогает получить необходимый опыт, который потом может пригодиться в реальной ситуации.
Киберучения на предприятиях ТЭК не новость, но часто они ограничиваются какими-либо целями внутри корпоративных систем. Но в последнее время мы видим интерес компаний в ТЭК к таким задачам, как добраться до ПЛК или сделать скрины SCADA-систем, чтобы доказать, что атаки на АСУ ТП тоже реальны.
– Новшество последних лет – кибербитвы. Зачем они нужны компаниям не из ИТ-сектора и почему «синие» команды из сферы ТЭК должны участвовать в таких состязаниях?
– Кибербитвы – важный и полезный инструмент, к нему проявляют интерес компании ТЭК. Сейчас мы готовим наш майский киберфестиваль Positive Hack Days, на котором ежегодно происходит самая масштабная в России кибербитва Standoff. Мы видим активный спрос на участие команд из предприятий ТЭК, которые хотят повысить свою квалификацию. За четыре дня они познакомятся с таким количеством разнообразных атак, с которыми в реальной жизни сталкиваться не приходилось и, надеемся, не придется. Но даже если что-то подобное случится, команда безопасности будет готова к отражению атак.
Также мы призываем компании проверять свою инфраструктуру на киберполигоне с помощью вынесения ее копии, включая промышленные контроллеры, SCADA, информационные, MES-системы. Исследователи будут использовать различный инструментарий, позволяющий проверять эти системы на работоспособность и находить ранее незамеченные уязвимости, которые впоследствии обычно оперативно устраняются самими компаниями. На наш взгляд, это важно для повышения киберустойчивости всей отрасли, а не только отдельных предприятий.
2VfnxxNz2EL
