Управление производством

Выжидать нельзя действовать

Говоря о безопасности промышленных предприятий, важно дифференцировать корпоративный и производственный сегменты инфраструктуры. Защищать корпоративный контур на предприятиях научились давно и делают это достаточно успешно, тогда как безопасность технологического блока до сих пор остается ахиллесовой пятой крупных промышленных объектов. В первую очередь речь идет о защите систем управления технологическими процессами (АСУ ТП). Особенно в этом смысле ситуация обострилась после принятия 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и связанной с ним законодательной базы, предусматривающей ответственность руководителя предприятия: от административной до уголовной. Активная позиция государства в вопросах защиты критической инфраструктуры, к которой относятся промышленные объекты, эксплуатирующие АСУ ТП, ставит жесткие рамки по реализации конкретных требований закона. К сожалению, нормативная база содержит только требования, которые необходимо исполнить до 1 февраля 2022 года, но не предоставляет методических рекомендаций по их выполнению. Сориентироваться в таких условиях достаточно сложно, иногда возникает желание просто «взять паузу». Насколько оправдана такая тактика в текущей ситуации и если она неверна, то как не ошибиться, инвестируя сегодня в безопасность промышленного объекта?
13 февраля 2020

Цифровизация forever. А кибербезопасность?

Одной из целей киберпреступников в атаках на промышленные и энергетические компании остается шпионаж и нарушение работоспособности объекта. Хакеры стремятся на максимально возможное время закрепиться в инфраструктуре компании и получить контроль не только над IT-системами, над ключевыми компьютерами и серверами, но и над технологической сетью с промышленным оборудованием. Наши проекты по ретроспективному анализу и расследования инцидентов свидетельствуют о том, что многие компании, перешедшие к практике выявления и расследования инцидентов, уже сегодня обнаруживают следы взломов систем, которые произошли месяцами, а то и годами ранее. В этом году была выявлена группировка TaskMasters, которая находилась в инфраструктуре жертвы как минимум восемь(!) лет. Это означает, что преступники уже давно контролируют множество организаций, но сами организации не замечают их присутствия, пребывая в иллюзии собственной безопасности. На практике же оказывается, что в инфраструктуре таких компаний «живёт» даже не одна, а несколько группировок.

Нельзя не вспомнить атаку с использованием вредоносного ПО Triton, нацеленного на оборудование АСУ ТП и выводящего из строя системы противоаварийной защиты предприятия. Кроме того, за последние годы произошло несколько довольно громких промышленных инцидентов: в частности, Boeing заявил об атаке WannaCry, а спустя несколько месяцев тот же вирус стал причиной приостановки заводов Taiwan Semiconductor Manufacturing Company. А производителю алюминия Norsk Hydro пришлось перевести в ручной режим часть рабочих процессов и приостановить несколько заводов из-за кибератаки, которая привела к шифрованию файлов в инфраструктуре заводов и филиалов компании по всему миру. Ущерб был оценен в $41 млн.

Хотя эти атаки были нацелены на IT-инфраструктуру, их последствия негативно отразились и на производстве. Получается, что злоумышленнику не всегда нужно обладать какими-то специальными знаниями о технологическом процессе, чтобы повлиять на него.

По нашим данным, всего за три квартала 2019 года было зафиксировано 92 кибератаки на промышленные компании, что существенно превышает показатель аналогичного периода 2018 года (25 атак).

Несмотря на очевидно растущие угрозы кибербезопасности предприятий, естественным приоритетом бизнеса для инвестиций остаются масштабирование и цифровая трансформация производства. На должное внимание защите от киберугроз во многих случаях не хватает ни времени, ни ресурсов. Но если предприятие пришло к осознанию необходимости строить систему защиты и даже перешло к неким конкретным действиям, ситуацию осложняет отсутствие объективной оценки рисков киберугроз и необходимой экспертизы. Поэтому бюджеты промышленных объектов, планируемые сегодня на обеспечение ИБ, как правило, не соответствуют реальному масштабу задач. По данным проведенного нами исследования, промышленный комплекс в среднем готов тратить на ИБ 50 млн рублей в год, тогда как бюджет на кибербезопасность некоторых госкомпаний порой достигает 800 млн рублей в год. Учитывая, что информационная опасность в системах АСУ ТП почти всегда равна вполне физической опасности техногенной аварии или катастрофы, сложившаяся ситуация потребует в 2020-21 годах дополнительного внимания к себе со стороны руководителей предприятий.

Не сошлись приоритетами

Производственный сегмент отличается от корпоративного тем, что в нем объектом защиты является непрерывный технологический процесс, происходящий в реальном времени. Защита от атак, способных влиять на информацию, обеспечивающую непрерывную, корректную работу процесса, – основная задача. Приоритетные направления у корпоративного и промышленного сегмента диаметрально противоположные: если у первого во главе угла стоит конфиденциальность, то у второго ключевым фактором выступает доступность систем.

Разница приоритетов корпоративного и технологического контура промышленного производства

Разница приоритетов объясняет и разногласия, возникающие на текущем этапе зрелости между службами АСУ ТП и ИБ предприятий. Как было сказано ранее, АСУ ТП крайне чувствительна к любым вмешательствам извне. Неправильный подход к ее безопасности может стать дополнительным фактором ошибок и остановок технологического процесса, например, из-за ложных срабатываний систем защиты (false alarm).

Это объясняет сопротивление служб АСУ ТП внедрению любых активных средств защиты в сегмент автоматизации. С другой стороны, службе ИБ необходима полная, актуальная и достоверная картина состояния этого сектора для полноценного включения сегментов АСУ ТП в контур защиты. В настоящий момент АСУ ТП фактически является «слепой зоной» для ИБ-подразделения предприятия. Традиционный набор средств защиты информации, используемый в промышленных и технологических сегментах, как правило, ограничен защитой периметра и антивирусной защитой. Но эти средства не дают полной картины об инцидентах в сегменте АСУ ТП и не позволяют реагировать, например, на APT-атаки (advanced persistent threat — носящие целенаправленный характер атаки на конкретные компании или предприятия).

Эти непонятные протоколы

Эффективно и полноценно идентифицировать угрозы в промышленном и технологическом сегментах способны только решения, реализующие глубокий анализ пакетов, – именно на уровне прикладных промышленных протоколов, многие из которых являются закрытыми.

Поэтому при выборе решения для защиты промышленного и технологического сегмента важно обращать внимание на наличие у разработчика средства защиты информации штатной экспертной команды, занимающейся непрерывным анализом и расшифровкой закрытых промышленных протоколов с последующей их интеграцией в продукт. Отсутствие такой команды в штате разработчика ведет к быстрому устареванию продукта и снижению качества его защитных функций. Инвестиции в такие решения – риск.

Наши исследователи ведут системную работу по поиску уязвимостей в промышленных протоколах и системах. Все результаты исследований воплощаются в продуктах компании, в том числе в PT Industrial Security Incident Manager — первом российском продукте, разработанном специально для защиты промышленной и технологической инфраструктуры предприятий от киберугроз. Этот комплекс реализует непрерывный мониторинг защищенности сети АСУ ТП, помогает на ранней стадии выявлять кибератаки, неавторизованные или злоумышленные действия персонала и обеспечивает соответствие требованиям законодательства.

На разных языках

Проблема сегодняшнего дня – отсутствие на предприятиях регламентов взаимодействия служб АСУ ТП и ИБ как в штатном режиме эксплуатации промышленных установок, так и при возникновении нештатных ситуаций. Ведь при кибератаках на промышленный сегмент решение должно приниматься быстро и при участии обеих служб. Их неверные, несогласованные действия, связанные с вмешательством в технологический процесс, чреваты серьезными последствиями вплоть до катастроф. Именно поэтому на этапе выстраивания взаимодействия между службами АСУ ТП и ИБ важно, чтобы специализированное средство защиты информации компенсировало — насколько это возможно — отсутствие регламентов и помогало сотруднику ИБ и диспетчеру АСУ ТП оперативно принять верное, согласованное решение. Задача усложняется тем, что специалисты АСУ ТП не владеют знаниями в области ИБ и наоборот — специалисты службы ИБ профаны в АСУ ТП.

Современные решения по непрерывному мониторингу защищенности сети АСУ ТП должны учитывать эти особенности и иметь в своем составе интерфейс, понятный и «безопасникам» — с сетевыми схемами и соответствующей терминологией, и службе эксплуатации — с мнемосхемой технологического процесса.

Такой подход позволяет частично компенсировать отсутствие регламентов и знаний в смежных областях наличием одинаковых, достоверных и понятных обеим службам данных в любой ситуации, что способствует сокращению ошибок в принятии решений, а также быстрой локализации и устранению корневых причин инцидентов.

Интеграция решения в корпоративный SOC: надо бы легче и быстрее

Решения по защите технологического сегмента, наряду со всеми остальными СЗИ предприятия, должны быть интегрированы в SOC (Security Operation Center) — единый центр мониторинга и реагирования на инциденты ИБ. Чтобы понять, насколько быстро возможно реализовать такую интеграцию и визуализировать для оператора SOC данные, необходимые для эффективного взаимодействия с диспетчером АСУ ТП, нужно ответить на три ключевых вопроса:

  • Можно ли интегрировать решение по защите промышленного сегмента с SIEM (Security Information and Event Management)?
  • Какие данные решение способно экспортировать в SIEM?
  • Какова сложность и трудоемкость настройки визуализации в SIEM информативных и полезных для оператора SOC данных, экспортированных из промышленного сегмента?

Наиболее информативны решения, анализирующие и хранящие полную копию данных промышленного сегмента, обеспечивающие автоматическую адаптацию и интерпретацию собранных данных. Такой подход снижает сроки и трудоемкость интеграции, сокращает нагрузку на SIEM, повышает информативность данных для операторов и позволяет визуализировать в SOC любой необходимый набор параметров из сегмента АСУ ТП, вплоть до графиков технологических процессов. Это упрощает координацию оператора SOC с диспетчером АСУ ТП и сокращает время реакции и предотвращения инцидентов.

И что же делать?

Анализ темпа роста киберугроз в промышленном сегменте, связанные с ними риски и неумолимость законодательства не оставляют шансов для выбора выжидательной тактики. С другой стороны, переход к активным действиям затрудняется неопределенностью в способах и средствах решения задачи построения защиты АСУ ТП предприятия и дефицитом компетенций.

Несмотря на то что сегмент кибербезопасности промышленных и технологических систем находится сегодня в стадии динамичного формирования нормативной базы, требований к решениям и продуктам, условия не позволяют более игнорировать создание систем защиты на объектах КИИ. Эффективность же создаваемого решения, планирование и защита инвестиции в кибербезопасность промышленных объектов сейчас, как никогда, в большей степени связаны с опытом и компетенциями привлекаемых к созданию систем специалистов.