Перейти к основному содержанию
Узнайте больше о дистанционной работе и обучении во время вспышки COVID-19
Перейти к основному контенту
Новости

АЗБУКА БЕЗОПАСНОСТИ

Кибербезопасное производство

Почему защита производственных процессов остается сложной задачей

Иван Мелехин, директор по развитию НИП «Информзащита»
Иван Мелехин,
директор по развитию
НИП «Информзащита»

Инсайты по теме:

  • В среднем от 2 лет занимает внедрение систем обеспечения кибербезопасности на производстве.
  • Свыше 30% от ИТ-бюджета должны составлять затраты на обеспечение кибербезопасности.
  • Почти в 2 раза увеличилось количество инцидентов ИБ по сравнению с прошлым годом.

Ни одно предприятие не может считаться на 100% защищенным от киберугроз. Опыт киберполигонов и PEN-тестов показывает, что потенциально существует возможность проникновения на любой объект – это лишь вопрос времени.

Иван Мелехин, директор по развитию НИП «Информзащита», рассказывает, почему важно вовремя обнаружить инцидент и как выйти из него с минимальными потерями.

В условиях новой реальности


В первой половине 2020 года начался всемирный переход в онлайн-среду, и в том числе в рабочую онлайн-среду. Недавно консалтинговая компания Gartner опубликовала 12 технологических трендов 2022 года, и среди них, разумеется, есть переход к гибридному формату. Активизация злоумышленников также совпала с массовым переходом в онлайн и внедрением гибридных рабочих сред. Иван Мелехин отмечает, что у этого процесса есть и позитивная сторона: изменение отношения к облачным инструментам защиты.

Иван Мелехин: «Общее мнение рынка заключается в том, что первым следствием новой реальности стало исчезновение периметра. Если раньше у вас был виртуальный «забор», за которым сидели сотрудники, то сейчас не очень понятно, кто где сидит, любой офис превратился в облако, публичное, частное или гибридное. Это, в свою очередь, подстегнуло интерес к решениям, например, Microsoft Azure, и к продуктам безопасности, которые предоставляются как сервис.

Все крупные ИТ-вендоры уже несколько лет имеют в своей линейке продукты по обеспечению безопасности промышленных систем, сервисные компании их внедряют. И с изменением отношения к облаку многое еще больше упростится. Но даже в этом случае модернизация производственных компаний остается сложным процессом».

Все стороны компромисса


Специалисты по безопасности привыкли слышать, что они со своими ограничениями мешают работать и усложняют процессы. Однако на производстве, имеющем критически важные объекты, они сами сталкиваются с широким спектром требований регуляторов и должны приспосабливать деятельность своей организации к внешним ограничениям.

Иван Мелехин: «Нормативную базу старались писать так, чтобы она не мешала производству, но, безусловно, она накладывает свои ограничения, хочется вам этого или нет. С другой стороны, как мы видим на практике, чтобы производство работало, зачастую организации идут на компромиссы. И как раз начальники цехов и главный инженер прекрасно знают свои слабые места. Где-то провод лишний протянут для того, чтобы все подключить. А в другом месте Wi-Fi-точка стоит, поскольку экскаватор перерубил кабель три месяца назад, и его никак починить не могут. Получается, что вроде бы уже все известно про обеспечение непрерывности и безопасности, и начальник производства гораздо лучше нас с вами знает, что нужно сделать, если условно стрелочка на манометре улетает в красную зону.

Но иногда нужно подсказать, что она в красную зону может улететь не только потому, что котел барахлит, а потому что какой-то хакер, сидя на парковке возле завода, этой стрелкой управляет через тот самый компромиссный Wi-Fi.

Всегда идет поиск баланса: с одной стороны нужно, чтобы все работало, с другой стороны, нужно удовлетворить требования регулятора. А еще есть третья сторона: нужно помнить про те места, которые надо прикрыть».

Реакция на рост активности


В России нет установившейся практики раскрытия информации об инцидентах, поэтому в новости попадает лишь малый процент общего числа событий, как, например, повышение активности группировки Winnti, о которой сообщал центр обнаружения и противодействия киберугрозам компании «Информзащита» или DDOS-атаки на популярные сервисы.

Иван Мелехин: «Подозреваю, что многие считают угрозы не очень реальными, мол, до нас не дойдет. Это не так. Есть явный тренд на то, что количество инцидентов и их сложность с каждым годом увеличивается. По данным нашего центра мониторинга, количество обнаруженных инцидентов увеличилось почти в два раза по сравнению с прошлым годом. Их характер становится все более разнообразным. Кто-то установил на ПК «майнера[i]» и тратит ресурсы компании на создание криптовалюты. Не теряют актуальности инциденты, связанные с программами-шифровальщиками, в том числе на критических объектах. Происходят инциденты, связанные с промышленным шпионажем.


[i] Майнер – это вредоносное ПО, основной целью которого является майнинг (mining), то есть «добыча» криптовалюты с использованием чужих вычислительных ресурсов.

Хакерский инструментарий становится все более сложным, у них сложилась своя система специализации: есть люди, которые разрабатывают инструменты, есть люди, которые их эксплуатируют, есть люди, которые собирают деньги. Обнаружить злоумышленников становится все сложнее и сложнее. Для этого нужны комплексные средства, знания, навыки.

Во-первых, нужно понимать, как вы можете узнать о том, что у вас произошел инцидент. И не в тот момент, когда на всех компьютерах производственного цеха высветилось сообщение с требованием выкупа, а немножко заранее. Во-вторых, к этому нужно быть готовым, как к любой аварии. То есть нужно заранее отрабатывать методы, средства, чтобы каждый знал, что делать. В-третьих, надо иметь под рукой профессионалов, к которым можно обратиться, чтобы они тебе помогли, когда ситуация выходит из-под контроля».

Не кибербезопасностью единой


Вопросы кибербезопасности крайне актуальны для современных предприятий, но как отмечает Иван Мелехин, необходимо уделять внимание и другим аспектам.

Иван Мелехин: «Инциденты кибербезопасности могут привести к чему угодно, начиная от аварии и заканчивая полной остановкой этого производства. По опыту нашего участия в отраслевых мероприятиях буквально за пару дней толковый хакер получает доступ к контроллеру какой-нибудь электроподстанции и может оставить без питания любой подключенный объект.

В зависимости от отрасли, масштабов и вредности производства последствия киберинцидентов отличаются. При расчете рисков оцениваются масштабы последствий не только с точки зрения бизнеса, но и с точки зрения последствий для окружающей среды. Если у вас маленький заводик по переработке хлора и рядом населенный пункт на сто тысяч человек, то вопрос безопасности должен быть на одном из первых мест. Нужно выделить критические объекты информационной инфраструктуры, категоризировать, внести в реестр, провести ряд мероприятий, разработать проект, реализовать системы защиты, организовать мониторинг кибербезопасности.

Про модернизацию


Коснувшись темы модернизации, Иван замечает, что, согласно всем теориям и просто здравому смыслу, вопросы кибербезопасности и бюджета на них должны рассматриваться на самом высоком уровне. А реализовывать модернизацию необходимо в коллаборации с другими подразделениями компании.

Иван Мелехин: «Обеспечение безопасности обходится недешево в соответствии с теми рисками, которых мы хотим избежать. До пандемии считалось, что на нее нужно закладывать не менее 30% всего ИТ-бюджета, но сейчас уже, наверное, нужно больше.

Я думаю, что начальник производства должен больше внимания уделять вопросам безопасности в своей работе хотя бы для того, чтобы владеть ситуацией и не ждать, когда придет какой-нибудь безопасник со стороны, который ничего не понимает в ваших контроллерах. Нужно выделять ресурсы и в коллаборации с другими подразделениями компании решать эти вопросы.

Обычно крупные проекты идут несколько лет. Первый год – это обследование, проектирование, закупочные процедуры, создание документации. Второй год – это уже внедрение опытной площадки, сдача в эксплуатацию. Иногда и три года требуется, особенно если в какой-то момент случились накладки или бюджет зарезали и все разбежались. Иногда производство попросту нельзя остановить, для того чтобы эту модернизацию осуществить. И получается, что планы по модернизации прописаны на несколько лет вперед, но для того чтобы реализовать каждый этап, нужно попасть в технологическое окно».

Будущие вызовы


Предусмотреть следующие шаги киберпреступников сложно, иначе бы с ними не было проблем, но мы все-таки просим Ивана определить три черты ближайшего будущего с точки зрения кибербезопасности на производстве.

Иван Мелехин: «Я думаю, что наконец-то все массово преодолеют страх перед облаками. И даже история, связанная со средствами защиты технологических сетей, тоже вероятнее всего уйдет в облака. Этот тренд точно будет продолжаться.

Сейчас мы наблюдаем начало нового хайпа под названием метаверсы[i]. Как все это будет сочетаться с производством, я себе слабо представляю, но если случится, это будет ад для безопасников, потому что исторически специалисты по безопасности не очень хорошо понимают в производстве и вообще ничего не понимают в метаверсе.

Наверное, в силу дефицита кадров интеллектуальность средств защиты должна возрастать, и наконец-то кто-нибудь когда-нибудь покажет искусственный интеллект, который сможет заменить рядового специалиста по безопасности. Но это нескоро».


[ii] Метаверс – дословно «метавселенная» (нередко говорят «метареальность»). Слово metaverse впервые появилось в киберпанк-романе Нила Стивенсона Snow Run, как обозначение всемирной виртуальной реальности. В настоящее время чаще всего встречаются две трактовки метаверса: 1. Техническая: новая волна развития Интернета, т.е. набор новых реестров, протоколов и т.п. и связанные с ними вопросы регулирования. 2. Консьюмерская: новая волна интерфейсов доступа – виртуальная реальность, дополненная реальность, в техническом аспекте – графика, аватары, среда коммуникации.