Кибербезопасное производство

Ни одно предприятие не может считаться на 100% защищенным от киберугроз. Опыт киберполигонов и PEN-тестов показывает, что потенциально существует возможность проникновения на любой объект – это лишь вопрос времени.

Иван Мелехин, директор по развитию НИП «Информзащита», рассказывает, почему важно вовремя обнаружить инцидент и как выйти из него с минимальными потерями.

В условиях новой реальности

В первой половине 2020 года начался всемирный переход в онлайн-среду, и в том числе в рабочую онлайн-среду. Недавно консалтинговая компания Gartner опубликовала 12 технологических трендов 2022 года, и среди них, разумеется, есть переход к гибридному формату. Активизация злоумышленников также совпала с массовым переходом в онлайн и внедрением гибридных рабочих сред. Иван Мелехин отмечает, что у этого процесса есть и позитивная сторона: изменение отношения к облачным инструментам защиты.

Иван Мелехин: «Общее мнение рынка заключается в том, что первым следствием новой реальности стало исчезновение периметра. Если раньше у вас был виртуальный «забор», за которым сидели сотрудники, то сейчас не очень понятно, кто где сидит, любой офис превратился в облако, публичное, частное или гибридное. Это, в свою очередь, подстегнуло интерес к решениям, например, Microsoft Azure, и к продуктам безопасности, которые предоставляются как сервис.

Все крупные ИТ-вендоры уже несколько лет имеют в своей линейке продукты по обеспечению безопасности промышленных систем, сервисные компании их внедряют. И с изменением отношения к облаку многое еще больше упростится. Но даже в этом случае модернизация производственных компаний остается сложным процессом».

Все стороны компромисса

Специалисты по безопасности привыкли слышать, что они со своими ограничениями мешают работать и усложняют процессы. Однако на производстве, имеющем критически важные объекты, они сами сталкиваются с широким спектром требований регуляторов и должны приспосабливать деятельность своей организации к внешним ограничениям.

Иван Мелехин: «Нормативную базу старались писать так, чтобы она не мешала производству, но, безусловно, она накладывает свои ограничения, хочется вам этого или нет. С другой стороны, как мы видим на практике, чтобы производство работало, зачастую организации идут на компромиссы. И как раз начальники цехов и главный инженер прекрасно знают свои слабые места. Где-то провод лишний протянут для того, чтобы все подключить. А в другом месте Wi-Fi-точка стоит, поскольку экскаватор перерубил кабель три месяца назад, и его никак починить не могут. Получается, что вроде бы уже все известно про обеспечение непрерывности и безопасности, и начальник производства гораздо лучше нас с вами знает, что нужно сделать, если условно стрелочка на манометре улетает в красную зону.

Но иногда нужно подсказать, что она в красную зону может улететь не только потому, что котел барахлит, а потому что какой-то хакер, сидя на парковке возле завода, этой стрелкой управляет через тот самый компромиссный Wi-Fi.

Всегда идет поиск баланса: с одной стороны нужно, чтобы все работало, с другой стороны, нужно удовлетворить требования регулятора. А еще есть третья сторона: нужно помнить про те места, которые надо прикрыть».

Реакция на рост активности

В России нет установившейся практики раскрытия информации об инцидентах, поэтому в новости попадает лишь малый процент общего числа событий, как, например, повышение активности группировки Winnti, о которой сообщал центр обнаружения и противодействия киберугрозам компании «Информзащита» или DDOS-атаки на популярные сервисы.

Иван Мелехин: «Подозреваю, что многие считают угрозы не очень реальными, мол, до нас не дойдет. Это не так. Есть явный тренд на то, что количество инцидентов и их сложность с каждым годом увеличивается. По данным нашего центра мониторинга, количество обнаруженных инцидентов увеличилось почти в два раза по сравнению с прошлым годом. Их характер становится все более разнообразным. Кто-то установил на ПК «майнера[i]» и тратит ресурсы компании на создание криптовалюты. Не теряют актуальности инциденты, связанные с программами-шифровальщиками, в том числе на критических объектах. Происходят инциденты, связанные с промышленным шпионажем.

[i] Майнер – это вредоносное ПО, основной целью которого является майнинг (mining), то есть «добыча» криптовалюты с использованием чужих вычислительных ресурсов.

Хакерский инструментарий становится все более сложным, у них сложилась своя система специализации: есть люди, которые разрабатывают инструменты, есть люди, которые их эксплуатируют, есть люди, которые собирают деньги. Обнаружить злоумышленников становится все сложнее и сложнее. Для этого нужны комплексные средства, знания, навыки.

Во-первых, нужно понимать, как вы можете узнать о том, что у вас произошел инцидент. И не в тот момент, когда на всех компьютерах производственного цеха высветилось сообщение с требованием выкупа, а немножко заранее. Во-вторых, к этому нужно быть готовым, как к любой аварии. То есть нужно заранее отрабатывать методы, средства, чтобы каждый знал, что делать. В-третьих, надо иметь под рукой профессионалов, к которым можно обратиться, чтобы они тебе помогли, когда ситуация выходит из-под контроля».

Не кибербезопасностью единой

Вопросы кибербезопасности крайне актуальны для современных предприятий, но как отмечает Иван Мелехин, необходимо уделять внимание и другим аспектам.

Иван Мелехин: «Инциденты кибербезопасности могут привести к чему угодно, начиная от аварии и заканчивая полной остановкой этого производства. По опыту нашего участия в отраслевых мероприятиях буквально за пару дней толковый хакер получает доступ к контроллеру какой-нибудь электроподстанции и может оставить без питания любой подключенный объект.

В зависимости от отрасли, масштабов и вредности производства последствия киберинцидентов отличаются. При расчете рисков оцениваются масштабы последствий не только с точки зрения бизнеса, но и с точки зрения последствий для окружающей среды. Если у вас маленький заводик по переработке хлора и рядом населенный пункт на сто тысяч человек, то вопрос безопасности должен быть на одном из первых мест. Нужно выделить критические объекты информационной инфраструктуры, категоризировать, внести в реестр, провести ряд мероприятий, разработать проект, реализовать системы защиты, организовать мониторинг кибербезопасности.

Про модернизацию

Коснувшись темы модернизации, Иван замечает, что, согласно всем теориям и просто здравому смыслу, вопросы кибербезопасности и бюджета на них должны рассматриваться на самом высоком уровне. А реализовывать модернизацию необходимо в коллаборации с другими подразделениями компании.

Иван Мелехин: «Обеспечение безопасности обходится недешево в соответствии с теми рисками, которых мы хотим избежать. До пандемии считалось, что на нее нужно закладывать не менее 30% всего ИТ-бюджета, но сейчас уже, наверное, нужно больше.

Я думаю, что начальник производства должен больше внимания уделять вопросам безопасности в своей работе хотя бы для того, чтобы владеть ситуацией и не ждать, когда придет какой-нибудь безопасник со стороны, который ничего не понимает в ваших контроллерах. Нужно выделять ресурсы и в коллаборации с другими подразделениями компании решать эти вопросы.

Обычно крупные проекты идут несколько лет. Первый год – это обследование, проектирование, закупочные процедуры, создание документации. Второй год – это уже внедрение опытной площадки, сдача в эксплуатацию. Иногда и три года требуется, особенно если в какой-то момент случились накладки или бюджет зарезали и все разбежались. Иногда производство попросту нельзя остановить, для того чтобы эту модернизацию осуществить. И получается, что планы по модернизации прописаны на несколько лет вперед, но для того чтобы реализовать каждый этап, нужно попасть в технологическое окно».

Будущие вызовы

Предусмотреть следующие шаги киберпреступников сложно, иначе бы с ними не было проблем, но мы все-таки просим Ивана определить три черты ближайшего будущего с точки зрения кибербезопасности на производстве.

Иван Мелехин: «Я думаю, что наконец-то все массово преодолеют страх перед облаками. И даже история, связанная со средствами защиты технологических сетей, тоже вероятнее всего уйдет в облака. Этот тренд точно будет продолжаться.

Сейчас мы наблюдаем начало нового хайпа под названием метаверсы[i]. Как все это будет сочетаться с производством, я себе слабо представляю, но если случится, это будет ад для безопасников, потому что исторически специалисты по безопасности не очень хорошо понимают в производстве и вообще ничего не понимают в метаверсе.

Наверное, в силу дефицита кадров интеллектуальность средств защиты должна возрастать, и наконец-то кто-нибудь когда-нибудь покажет искусственный интеллект, который сможет заменить рядового специалиста по безопасности. Но это нескоро».

[ii] Метаверс – дословно «метавселенная» (нередко говорят «метареальность»). Слово metaverse впервые появилось в киберпанк-романе Нила Стивенсона Snow Run, как обозначение всемирной виртуальной реальности. В настоящее время чаще всего встречаются две трактовки метаверса: 1. Техническая: новая волна развития Интернета, т.е. набор новых реестров, протоколов и т.п. и связанные с ними вопросы регулирования. 2. Консьюмерская: новая волна интерфейсов доступа – виртуальная реальность, дополненная реальность, в техническом аспекте – графика, аватары, среда коммуникации.