Инцидент кибербезопасности на нефтегазовом объекте может стать причиной не только сбоя бизнес-процессов. Крупный инцидент способен вызвать экономические последствия как внутри отрасли, так и за ее пределами. А в исключительных случаях – повлечь за собой аварию с ущербом окружающей среде.
Насколько высока опасность для российских предприятий? По данным Kaspersky ICS CERT, на протяжении последних полутора лет показатель компьютеров АСУ нефтегазовой отрасли, встретившихся с киберугрозами, составлял каждый квартал от 16 до 18 % – это угрозы, которые были остановлены продуктами «Лаборатории Касперского» и не стали причиной инцидента.
Объективное наблюдение показывает, что различные типы киберугроз так или иначе добираются до систем автоматизации в отрасли – как минимум до значимой их части. Да, угрозы, которые мы посчитали, предотвращены. Обращения к вредоносному сайту заблокированы, запуск вредоносного ПО запрещен. Стоит ли нам беспокоиться по этому поводу? Эксперты считают, что стоит. Ведь очевидно, что никакая защита не безупречна – рано или поздно она может дать осечку. Или атака окажется слишком технически сложной, или (что случается не в пример чаще) защита попросту будет выключена или некорректно настроена. Кроме того, пока мало какой объект в отрасли может похвастаться защитой 100 % всех своих систем – значительное их количество по разным причинам остается незащищенным в надежде на изоляцию и предотвращение атаки где-то на более ранних рубежах. Поскольку есть незащищенные системы, есть и незаблокированные угрозы. А значит, возможны и пропущенные атаки.
Эксперты знают, что защита надежна только тогда, когда она эшелонирована. На сегодняшний день это значит, что защищено все – и IT-, и OT-системы, и все каналы связи между ними, и сами системы при этом – имунны к атакам, и возможные последствия атак как можно более полно митигированы средствами противоаварийной защиты (ПАЗ), причем желательно вообще не имеющими при этом программной логики. Известны инциденты, в которых целью атаки были как раз средства ПАЗ, например, Triconex. И, конечно, весь персонал должен быть обучен, а все процессы на предприятиях – выстроены надлежащим образом, с учетом потребностей информационной безопасности.
Очевидно, что пока это далеко не так. И совсем не скоро будет так. То есть риск успешной атаки и тяжелого киберинцидента сохраняется. И работа по защите предприятий отрасли еще предстоит большая. Что же мешает организациям отрасли строить такую эффективную защиту? Попробуем выделить ряд характерных отраслевых особенностей, которые усложняют эту задачу.
· Распределенная инфраструктура с производственными, офисными и ритейл-объектами, разбросанными по большой территории с логистикой по всей стране и за ее пределами. Это затрудняет обеспечение безопасности периметра, унификацию систем защиты, организацию централизованного мониторинга угроз и реагирования на инциденты. Не менее остро стоит проблема обеспечения квалифицированными кадрами всех территориальных структур организации, включая дочерние предприятия.
· Удаленное обслуживание обширной инфраструктуры сотрудниками и подрядчиками. Невозможно гарантировать, что кто-то из них не будет скомпрометирован. Все привилегии подключения и действия таких пользователей сложно проконтролировать. А значит, есть риск утечки информации и компрометации систем.
· Использование большого парка оборудования и ПО от различных вендоров. На буровых, объектах транспортной инфраструктуры и перерабатывающих предприятиях, как правило, применяется промышленное оборудование и ИТ-решения с длительным циклом использования и с незакрытыми известными уязвимостями, а также ПО, содержащее неизвестные простые уязвимости, для обнаружения и использования которых не требуется высокая квалификация и трудоемкие исследования.
· Зависимость от продуктов иностранных вендоров, покинувших российский рынок, причем поставщики нередко оставляют бывших клиентов без данных аутентификации, документации и инструментария, необходимых для регулярного обслуживания систем. Поддерживать безопасность таких систем сложно. Альтернативные решения, в свою очередь, часто оказываются недостаточно зрелыми как с точки зрения основной функциональности, так и свойств информационной безопасности.
В то же время накопленные за период эксплуатации изменения и множество частных нерешенных проблем, имеющихся на большинстве объектов отрасли, могут иметь кумулятивный эффект, повышая риск тяжелых последствий кибератак:
· Допустимые параметры работы оборудования на объектах добычи и транспортировки могут сильно отличаться от проектных – ввиду износа основного оборудования, его замены на альтернативное, нештатных его модификаций, изменения характеристик нефтегазоносного слоя и прочих условий добычи. Похожего рода изменения происходят и на объектах энергетики, питающих основное оборудование и инфраструктуру. В таких условиях целиком полагаться на системы противоаварийной защиты уже нельзя – критические сочетания значений параметров работы оборудования могут находиться в пределах проектно-допустимых. Хорошо подготовленная кибератака или неудачная череда негативных событий, спровоцированная случайным киберинцидентом, могут привести к аварийной ситуации.
Подобная ситуация может складываться и на объектах других типов. Многие из них при этом работают на пределах рентабельности и не готовы в ближайшее время инвестировать в масштабные модернизации с целью повышения отказоустойчивости и функциональной безопасности.
Дооснащение предприятий средствами кибербезопасности – гораздо дешевле замены основного оборудования и средств противоаварийной защиты. Инвестиции в киберзащиту в этом смысле оказываются гораздо более эффективными, чем серьезная модернизация производственных активов.
Ландшафт угроз для предприятий отрасли в России имеет свою специфику. В первую очередь, для организаций в России не так высок риск атак вымогателей, как в некоторых других странах. Это видно и по статистике предотвращенных заражений, и по публичной информации об инцидентах, да и по непубличной тоже (к сожалению, не можем здесь ее привести). А ведь атаки вымогателей – киберугроза номер 1 для промышленных предприятий во многих странах!
С точки зрения масштаба и тяжести последствий, таких как потеря контрактов, остановка производства или отгрузки продукции и возможный киберфизический урон, для предприятий сектора в России наиболее опасными мы считаем следующие типы нарушителей:
· Хактивисты – хакеры, поддерживающие своими действиями какое-либо протестное движение с заявленной политической, экологической, социальной повесткой или действующие под любыми другими лозунгами. Они выбирают мишенью нефтегазовую отрасль, так как инциденты на предприятиях отрасли имеют хорошие шансы на широкое освещение в прессе и способны вызвать большой резонанс. Могут выполнять как политический заказ, так и работать по заказу нечестных конкурентов. Хактивисты, выбирающие мишенью объекты промышленной инфраструктуры, становятся все более «зубастыми», а их атаки – все более опасными: раз за разом они демонстрируют способность добираться до слабо защищенных систем АСУ, их атаки все чаще достигают цели и приводят к остановкам работы промышленных объектов.
· APT – высококвалифицированные злоумышленники, действующие в интересах того или иного государства. Надолго закрепляются в инфраструктуре атакованной организации, используют присутствие для кражи конфиденциальной информации и продвижения в системы других организаций, включая государственные. Наибольший урон приносят их действия в поддержку нечестной конкуренции на международной арене. В результате утечки информации можно потерять как выгодный контракт, так и целый рынок.
В условиях дестабилизации международных отношений APT способны к организации и проведению разрушительных атак, чему есть примеры, пока редкие.
· Инсайдеры – на предприятии нефтегазовой отрасли трудятся тысячи людей, включая сотрудников и доверенных подрядчиков. Исключать возможность самостоятельных злонамеренных действий кого-то из них или сознательного вовлечения в операции двух предыдущих типов злоумышленников в текущих условиях никак нельзя.
Что касается векторов целевых атак, то к наиболее популярным нужно отнести целевой фишинг и атаки на доступные из интернета системы и сервисы. Наиболее опасными с точки зрения сложности обнаружения, безусловно, остаются атаки через производителей используемых на предприятии продуктов и доверенных поставщиков услуг (Supply Chain и Trusted Partner). Сейчас они особенно актуальны для российских организаций из-за сложившейся внешнеполитической обстановки. Ситуация дополнительно усложняется разным уровнем зрелости в сфере информационной безопасности разработчиков продуктов, приходящих на смену ушедшим с рынка.
Сегодня нефтегазовая промышленность в России, так же как и предприятия других промышленных секторов, сталкиваются с самыми разнообразными угрозами: от простого нецелевого фишинга и случайных заражений до многоходовых целевых атак через производителей используемых на предприятии продуктов и их компонентов, поставщиков услуг или партнеров.
Опыт экспертов Kaspersky ICS CERT расследования инцидентов на промышленных предприятиях, в том числе и нефтегазовой отрасли, показывает, что первопричина успешных кибератак, затрагивающих также и системы технологической сети, почти всегда одна: обеспечение киберзащиты имеет низкий приоритет среди задач, решаемых руководством. Это ведет к недофинансированию ИБ и недостаточному вниманию к этой задаче у сотрудников.
Прямыми следствиями такой расстановки приоритетов на предприятиях являются:
1. Низкий уровень кибергигиены сотрудников и подрядчиков.
2. Недостаточный уровень квалификации и нехватка специалистов, отвечающих за обеспечение ИБ.
3. Несогласованность целей, интересов и действий службы ИБ и прочих подразделений, в том числе ответственных за настройку и эксплуатацию технологических систем.
4. Отсутствие четко описанной политики ИБ, распространяющейся как на IT-системы и сервисы, так и на системы технологической сети или неработающие механизмы автоматизации и контроля ее выполнения.
Эти недостатки становятся причиной тривиальных проблем с безопасностью, которые повсеместно встречаются в организациях, ставших жертвой успешной кибератаки, и облегчают успешную реализацию атак злоумышленникам. К таким проблемам относятся:
Неумение сотрудников отличать фишинговые письма, подложные фишинговые страницы и подложные документы.
Устаревшие прошивки пограничных сетевых устройств, уязвимости в доступных из интернета сервисах, необновленные операционные системы и прикладное программное обеспечение на внутренних IT- и OT- системах.
Плохо контролируемый доступ к интернету, неудовлетворительный контроль использования корпоративной электронной почты, переносных носителей информации.
Неконтролируемые подключения подрядчиков и удаленно работающих сотрудников.
Плохая парольная политика – простые, редко меняющиеся пароли, одинаковые для разных учетных записей, используемые для доступа к различным системам, иногда даже на разных предприятиях. Неиспользование двухфакторной авторизации.
Недостаточное разделение прав пользователей информационных систем. Необоснованно частое использование привилегированных аккаунтов. Недостаточное разделение прав администраторов (назначение множества привилегий доступа к различным системам для одного аккаунта).
Отсутствие или неправильная настройка антивирусного программного обеспечения.
Плохой мониторинг работы защитных решений: при расследовании инцидентов эксперты «Лаборатории Касперского» часто отмечают, что в консоли защитных решений, используемых организацией, не заглядывали неделями и месяцами либо игнорировали обнаруженные события информационной безопасности.
Использование решений и услуг для автоматизации производства и бизнес-процессов от производителей и поставщиков с низким уровнем ИБ-зрелости и «простыми» уязвимостями, для которых нет исправления.
Недостаточная сегментация сети, отсутствие демилитаризированной зоны (DMZ) и необходимых средств фильтрации сетевого трафика.
Чтобы проиллюстрировать описанное выше, предлагаем ознакомиться с подборкой инцидентов в нефтегазовой отрасли за 2023–2024 гг. Из инцидентов, случившихся на зарубежных предприятиях, выбраны примеры с актуальными угрозами для российских организаций.
Большинство из упомянутых инцидентов общеизвестны. Два инцидента приведены из практики расследования инцидентов Kaspersky ICS CERT без упоминания названий пострадавших организаций.
Хактивисты используют для атак, как правило, уже известные и доступные в дарквебе методы и инструменты – как с отрытым исходным кодом, так и коммерческие. В ряде случаев способны обнаруживать и эксплуатировать не только известные уязвимости распространенных продуктов на системах атакованной организации, но и находить относительно несложные уязвимости нулевого дня (неизвестные разработчику уязвимого продукта и пока не имеющие исправления) в продуктах разработчиков с невысоким уровнем зрелости в сфере ИБ.
DDoS-атака на BAZAN Group, 2023.
Последствия: недоступность сайта компании, возможная утечка данных.
Тип атаки: «отказ в обслуживании» (DDoS).
Нефтеперерабатывающая компания BAZAN Group пострадала от DDoS-атаки, в результате которой сайт группы в большинстве стран оказался недоступен. Ответственность взяла на себя группа хактивистов CyberAv3ngers. Они также опубликовали скриншоты корпоративной системы SCADA. Хактивисты дали понять, что проникли в системы завода через сетевой экран Check Point.
Атака на систему управления нефтедобывающим оборудованием (Россия), 2023.
Последствия: хакеры получили доступ к управлению оборудованием на нефтяных скважинах; риски приостановки/ нарушения технологических процессов.
Тип атаки: компрометация удаленного аккаунта с помощью SQL-инъекции.
Известная хакерская группировка опубликовала в своем Telegram-канале сообщение об успешной атаке на производителя систем управления нефтяными скважинами. Сопоставив события со скриншотов злоумышленников и информацию в лог-файлах атакованных серверов, эксперты «Лаборатории Касперского» поняли, что злоумышленникам удалось получить доступ к веб-интерфейсу сервиса удаленного управления оборудованием и изменить уставки оборудования, что привело к срабатыванию систем противоаварийной защиты.
В ходе исследования атакованных систем удалось обнаружить следы несанкционированной модификации информации в базе данных сервиса, что говорило об использовании злоумышленниками уязвимости класса SQL-injection (некорректной проверки значений передаваемых параметров, позволяющей в данном случае через веб-интерфейс пользователя передать с параметром SQL-запрос, который выполнит СУБД). Экспертам удалось установить, что благодаря уязвимости злоумышленники сначала получили необходимые данные, а затем обошли аутентификацию, войдя в систему с правами администратора.
Атаки на АСУ ТП заправочных станций Ирана, 2023.
Последствия: 70 % заправочных станций Ирана временно прекратили работу.
Тип атаки: взлом АСУ ТП.
Атака хактивистов ограничила возможности подачи топлива, что спровоцировало огромные очереди на заправках и пробки по всей стране. Ответственность взяла на себя группа хактивистов Gonjeshke Darande («Хищный воробей»).
Инсайдерская угроза. Атака через цепочку поставщиков
Атака на газопоршневую электростанцию, реализованная с помощью легитимно полученного удаленного доступа к SCADA (Россия), 2023.
Последствия: перезапуск серверов и приостановка работы предприятия.
Тип атаки: действия инсайдера на стороне доверенного поставщика.
Это пример атаки, где инсайдер на стороне подрядчика, ставший хактивистом, попытался причинить ущерб своему клиенту.
Межсетевой экран нового поколения (NGFW) детектировал на газопоршневой электростанции большой поток трафика, исходящего из сети АСУ ТП. Сотрудники предприятия обнаружили на серверах SCADA предприятия вредоносное ПО, представляющее собой bash-скрипты, которые использовались для DDoS-атак на правительственные сайты. Как выяснилось, сервера заразил украинский подрядчик, вводивший системы в эксплуатацию еще в 2019 году и сохранивший привилегированный доступ к информационной сети электростанции через Anydesk – бесплатное средство для удаленного администрирования.
Необходимо было вылечить инфицированный сервер, но перезагрузка его была чревата неприятными для предприятия последствиями. У сотрудников предприятия не было пароля для привилегированной учетной записи. Они решили запросить пароль у подрядчика, и через несколько минут его сотрудник подключился удаленно к SCADA и попробовал изменить уставки оборудования. Опасаясь возможных негативных последствий, сотрудники были вынуждены все-таки отключить сервер.
Оптимальная система защиты нефтегазового предприятия: каким должно быть решение?
Современное решение должно надежно защищать как корпоративную сеть, так и технологический сегмент предприятия. Оно должно митигировать наиболее значимые для предприятия риски кибербезопасности и надежно функционировать с учетом всех специфических для организации сложностей. В России оно также должно максимально помогать автоматизировать выполнение требований регулятора по киберзащите объекта и при этом соответствовать требованиям, предъявляемым к средствам защиты – ведь многие системы предприятия отрасли могут быть отнесены к критической информационной инфраструктуре (КИИ).
Своевременное обнаружение сложных многоходовых целевых кибератак и эффективное противодействие им невозможно без централизованного мониторинга всей инфраструктуры – множества объектов, включающих как IT-, так и OT-системы.
Решение должно поддерживать устаревшее оборудование и ПО, исключая при этом возможность негативного влияния на системы технологической сети: не потреблять много вычислительных ресурсов, не использовать потенциально опасных для стабильности системы технологий и быть успешно протестировано на совместимость с АСУ.
В 2022 году «Лаборатория Касперского» представила Kaspersky OT CyberSecurity – целый арсенал продуктов и сервисов, достаточный для построения эффективной защиты промышленных предприятий. Решение отлично зарекомендовало себя в России и за рубежом в различных секторах. Оно успешно применяется на предприятиях нефтегазовой отрасли, в металлургии, энергетике (включая атомную), на горно-обогатительных, химических предприятиях, на объектах транспорта и логистики. В основе Kaspersky OT CyberSecurity – промышленная XDR-платформа Kaspersky Industrial CyberSecurity: ключевые компоненты в виде решения для защиты конечных узлов KICS for Nodes и ПО для анализа трафика промышленной сети KICS for Networks усилены технологией EDR. Последняя обеспечивает расширенное обнаружение инцидентов на рабочих станциях и серверах, централизованное и оперативное реагирование на угрозы, а также повышает эффективность расследований.
Другой важный компонент – SIEM-система Kaspersky Unified Monitoring and Analysis Platform. Именно она делает возможным отражение киберугроз на пересечении IT- и OT-сред. Для этого система в режиме реального времени собирает и анализирует информацию о состоянии как промышленной, так и корпоративной инфраструктуры, – как от продуктов «Лаборатории Касперского», так и сторонних поставщиков, – и предупреждает о возможных киберинцидентах.
Kaspersky OT CyberSecurity содержит полный спектр специализированных решений «Лаборатории Касперского» для киберзащиты всех элементов промышленных инфраструктур и дополнительные инструменты, повышающие безопасность и эффективность технологических процессов:
• решение для обнаружения аномалий в работе технологического оборудования Kaspersky MLAD;
• систему защиты воздушного пространства от беспилотных летательных аппаратов Kaspersky Antidrone;
• платформу для построения защищенных промышленных сетей Kaspersky SD-WAN;
• решения на базе кибериммунной операционной системы KasperskyOS: киберимунная инфраструктура тонких клиентов Kaspersky Thin Client и киберимунные шлюзы Kaspersky IoT Secure Gateway;
• широкий спектр услуг, включая услуги Threat Intelligence (аналитика угроз), MDR (управляемая защита от кибератак) и большое разнообразие специализированных тренингов как для экспертов по ИБ, так и для остальных сотрудников – все они позволяют в разной форме получить доступ к уникальной экспертизе «Лаборатории Касперского» чтобы качественно улучшить защиту предприятия от сложных угроз.
Евгений Гончаров, руководитель Kaspersky ICS CERT
«Для предприятий нефтегазового сектора атака на автоматизированные системы управления может привести к тяжелым последствиям: остановить производство, повлиять на глобальную логистику и цепочку поставок и даже нанести вред здоровью людей и окружающей среде. Мы видим, что злоумышленники совершенствуют существующие тактики и техники проведения атак на промышленные предприятия. Человек, к сожалению, остается самым слабым звеном в киберзащите организации: как показывает опыт недавних инцидентов, сотрудники, сознательно или несознательно, нарушают требования по кибербезопасности – и в результате, например, попадаются на фишинг, что становится началом компрометации всего предприятия.
Необходимо одновременно внедрять эшелонированную киберзащиту, применять современные продукты и технологии по защите промышленных систем и продолжать обучать сотрудников, повышая их уровень киберграмотности. Мы готовы предложить оптимальное сочетание многолетней экспертизы на стыке промышленной и корпоративной кибербезопасности, умения создавать передовые технологии, отмеченные не только наградами, но и выбором клиентов по всему миру, а также огромного опыта передачи знаний и обучения квалифицированных кадров во всех уголках земли. Kaspersky OT CyberSecurity делает все это доступным российским промышленным предприятиям».