Число кибератак на российский бизнес в 2022 году выросло в два раза. Причем каждая десятая атака приходилась на промышленные предприятия. Серьезно пострадали и производственные объекты — хакеры пытались приостановить работу критически важной инфраструктуры. Об уязвимостях в промышленности и производстве — в материале Айрата Мухаметшина, заместителя руководителя отдела кибербезопасности АСУ ТП, Innostage.
Долгие годы в российском промышленном и производственном секторах бытовало мнение, что автоматизированные системы управления технологическими процессами (АСУ ТП), изолированные от основной корпоративной сети, невозможно атаковать.
Обеспечение их безопасности пускали на самотек. Даже сейчас ко многим системам управления можно найти доступ через интернет. Пару лет назад эксперты InfoWatch ARMA через поисковые системы Shodan, Censys и Google обнаружили 4 245 компонентов АСУ ТП, уязвимых для удаленных атак. Из них более 700 имели критические уязвимости.
В последние годы хакеры стали чаще выбирать своей целью промышленные и производственные компании и начали разрабатывать более совершенное вредоносное ПО, в том числе для атак на АСУ ТП. Особенно накалилась ситуация с марта 2022 года: так, по данным Positive Technologies, во втором квартале 2022 года доля киберпреступлений, нацеленных на промышленные организации, составила 13% среди общего числа атакованных компаний — на 5% больше, чем в предыдущем.
Свыше половины из них оказали негативное влияние на работу предприятий.
Кому нужна защита АСУ ТП
От хакерских атак страдают отрасли, где нарушения в работе оборудования могут привести к серьезным экономическим потерям — их проще шантажировать. Например, в результате киберударов по энергетическим компаниям и предприятиям ТЭК возможны перебои в электроснабжении населения.
Так, в 2021 году из-за атаки на нефтепровод Colonial 11 000 АЗС остались без топлива, а в Америке заговорили об энергетической катастрофе. Администрации трубопровода пришлось заплатить злоумышленникам выкуп в $5 млн. А всего год спустя из-за хакеров была отключена часть систем крупнейшего поставщика электроэнергии Ганы — ECG (Electricity Company of Ghana). Жители страны остались без электроэнергии на пять дней.
Сейчас в таких системах нуждаются почти все отрасли бизнеса. В России киберпреступники уже не ограничиваются исключительно топливными компаниями — так, в марте 2022 года работа колбасного завода «Тавр» была временно парализована из-за установки вредоносного ПО, атаковавшего рабочие станции, серверы и информационные системы предприятия. Тогда же из-за вируса-шифровальщика ряд предприятий «Мираторга» не могли оформлять производственные и транспортные документы в течение нескольких суток. Многие из российских производств озаботились защитой всего ИТ-ландшафта, включая АСУ.
Защита АСУ ТП — признак зрелости бизнеса
Принятию решений о защите АСУ ТП также способствует несколько факторов
Фактор номер один — «зрелость» компаний с точки зрения информационной безопасности. Вспоминается поговорка: «Люди делятся на два типа: на тех, кто еще не делает резервные копии, и на тех, кто уже делает».
Многие предприятия уже испытали на себе последствия киберинцидентов, или же учатся на чужих ошибках — это цифровые лидеры, которые ведут за собой остальной рынок.
Фактор номер два — совершенствование и развитие нормативно-правовой базы.
В России требования к защите АСУ ТП закреплены законодательно — в №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и главе 28 УК РФ, ст. 274.1. С каждым годом законодательство, подзаконнные акты и издаваемые на их основе документы, становятся все более детализированными, необходимость исполнения — строже и явнее. Для многих компаний это основная причина обеспечивать безопасность АСУ ТП.
Фактор номер три — растущие риски. Число киберинцидентов и ущерб от них растут, а чем выше риски — тем насущнее вопрос безопасности корпоративных систем. Если раньше демонстрации последствий кибератак на стендах носили «вау-эффект», сейчас всем важно получить ответ на практический вопрос: что с этим делать.
Особенности и подводные камни защиты АСУ ТП
Тем не менее, организовать защиту АСУ не так просто, как кажется на первый взгляд. Во-первых, на российских заводах далеко не всегда установлены инновации и передовое оборудование. Это же касается АСУ ТП — часто это технологии и вычислительные мощности, работающие еще на Windows XP. Устаревшие ОС не обновляются производителем, и с ними далеко не всегда совместимы современные ИБ-решения, что дает определенный простор киберпреступникам и осложняет защиту.
Также организация защиты АСУ ТП может быть затруднена из-за особенности сетевой инфраструктуры предприятия. На действующих объектах могут быть не предусмотрены резервирование узлов или настройка правил доступа между сегментами и VLAN, отсутствовать свободные порты для подключения межсетевых экранов и криптографических шлюзов. Помимо этого, настройка сетевой инфраструктуры может занять значительное время.
Во-вторых, внедрение инструментов безопасности и их интеграцию с АСУ ТП лучше проводить только в периоды технологических перерывов в работе производства — его приостановка даже на короткое время может привести к серьезным экономическим потерям. Если же в процессе возникают какие-то ошибки и сбои — нужно ждать следующей технологической остановы для корректировки и продолжения процесса. Все это еще больше затягивает процесс.
У нас есть опыт проведения работ по внедрению и настройке средств межсетевого экранирования в условиях действующей установки, но это всегда требует разработки детальнейшего плана работ и тщательного многоступенчатого согласования с различными службами завода.
В-третьих, далеко не каждый инструмент ИБ подходит для защиты АСУ ТП. Автоматизированная система построена на базе технологий конкретного производителя — и у него обычно есть набор рекомендаций по обеспечению ее безопасности, а иногда и перечень конкретных продуктов. Если внедрить другие инструменты защиты, производитель может отказаться гарантировать стабильную работу системы и даже снять АСУ ТП с технической поддержки. Поэтому крайне важно использовать именно те средства безопасности, которые прошли тестирование на совместимость с конкретной АСУ ТП и имеют тому подтверждение — сертификат.
Наконец, неизбежно возникает вопрос межпроектной интеграции: все компоненты информационной инфраструктуры, включая каналообразующее и коммутационное оборудование, серверы управления для систем автоматизации, средства защиты информации, должны работать как единое целое.
А технические решения по их реализации должны быть согласованы между собой. С такой задачей справится далеко не каждая внутренняя служба ИБ.
Импортозамещение средств защиты АСУ ТП
Еще одна проблема, которая сегодня остро встала перед предприятиями, — миграция на отечественные инструменты безопасности. Замещение идет как естественным путем, когда компоненты системы защиты меняются на российские в рамках уже запланированных бюджетов и программ, так и ускоренным.
Во втором случае критичные компоненты замещаются в первую очередь — это характерно для крупных холдингов, включая компании с госучастием, где риски зависимости от иностранных поставщиков выше.
Но и киберпреступники не дремлют. Они понимают, что замена привычных западных решений на российские аналоги — это отличная возможность для атак. Так, многие забывают, что лицензии на иностранные инструменты не продлеваются в автоматическом режиме.
Они используют бесплатные версии, которые пропускают больше инцидентов. Кроме того, ИТ-инфраструктура сильно уязвима в процессе миграции, когда старое решение уже перестает работать, а новое только разворачивают.
***
Если раньше предприятия пускали вопрос защиты производственных систем на самотек, сейчас, когда ущерб от кибератак увеличился, они стараются обеспечить безопасность АСУ ТП.
Подстегивает интерес к таким инструментам и быстро развивающееся законодательство в этой сфере. Но процесс все еще связан с рядом трудностей, которые далеко не всегда можно преодолеть силами внутренней службы.
Нужен грамотный ИБ-партнер, который сможет выстроить оптимальную защиту АСУ ТП с учетом текущей ИТ и сетевой инфраструктуры предприятия, требований к безопасности и импортозамещению ИБ со стороны как компании-клиента, так и производителя ПО.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.