Хотя киберпреступники представляют угрозу для промышленности, главной опасностью является недостаточный трансфер знаний в области OT-безопасности из-за ухода на пенсию опытных сотрудников. Это приводит к системным сбоям, задержкам внедрения новых технологий и уязвимостям в кибербезопасности.
Хотя киберпреступники и поддерживаемые государством злоумышленники представляют собой огромную и растущую угрозу для промышленного сектора, в настоящее время наибольшая опасность исходит от недостаточного трансфера знаний в области OT-безопасности и организации (Operational Technology). Основная проблема заключается в уходе на пенсию опытных и надежных сотрудников.
Эти специалисты, как правило, преданы своему делу, обладают глубокими знаниями и незаменимы. Они знают, на каком безымянном сервере работает система сбора исторических данных, требуемая надзорными органами. Они помнят, почему определенный VLAN был настроен с кажущимися случайными IP-адресами. Им известно, какие сетевые маршруты можно изменять только во время остановки производства. Таким образом, их институциональные знания охватывают тысячи IP-адресов, недокументированных сетевых маршрутов и скрытых VLAN, отсутствующих в официальной документации.
Их преемники, напротив, ожидают увидеть современные, хорошо документированные сетевые архитектуры. Вместо этого они наследуют сложную сеть устаревших систем, проприетарных протоколов и недокументированных конфигураций, являющихся результатом десятилетий постепенных изменений и экстренных исправлений. Расхождение между ожиданиями и реальностью приводит к пробелу в знаниях, который ставит под угрозу как непрерывность эксплуатации, так и кибербезопасность.
Однако это своего рода «единая точка отказа», которую большинство компаний осознают лишь тогда, когда становится слишком поздно.
Уход опытных OT-специалистов несет в себе три критических риска, выходящих далеко за рамки простых кадровых проблем и обычно недооцениваемых при традиционных оценках рисков:
1. Системные сбои во время модернизации
Непосредственный и наиболее серьезный риск заключается в непреднамеренных последствиях во время модернизации или обновления систем. Старые OT-сети содержат то, что отраслевые эксперты называют «археологическими слоями»: десятилетия инкрементальных модификаций, экстренных исправлений и недокументированных конфигураций, создающих скрытые зависимости.
Наибольшие риски:
- Недокументированные устаревшие системы: На большинстве производственных объектов есть как минимум одна система Windows NT или Windows XP, на которой хранятся незаменимые исторические данные или управляются центральные процессы. Эти системы часто недостаточно документированы. Их удаление в ходе модернизации может привести к потере многолетних производственных данных, необходимых для соблюдения нормативных требований.
- Скрытые сетевые зависимости: Таблицы IP-маршрутизации, конфигурации VLAN и правила брандмауэра часто содержат кажущиеся произвольными настройки, которые на самом деле предотвращают сетевые конфликты или поддерживают связь критически важных систем. Изменение этих конфигураций без институциональных знаний может вызвать эффект домино, затрагивающий несколько производственных линий.
- Требования к проприетарным протоколам: Многие старые промышленные системы обмениваются данными с использованием проприетарных или модифицированных стандартных протоколов. Конкретные параметры конфигурации, обеспечивающие эту связь, редко документируются и существуют только в институциональных знаниях уходящих сотрудников.
Рекомендуем к прочтению: Руководителям по информационной безопасности необходимо более активно заниматься OT-рисками
2. Увеличение срока окупаемости новых устройств и процессов
Потеря специфических знаний значительно увеличивает сроки внедрения новых устройств, улучшения процессов и интеграции систем. Этот эффект со временем усиливается, приводя к потере конкурентных преимуществ и упущенным возможностям оптимизации.
Проблемы при внедрении:
- Сложная сетевая интеграция: Установка новых устройств, которая раньше занимала всего несколько дней, теперь требует недель или месяцев. Причина: новым сотрудникам приходится сначала проводить реверс-инжиниринг существующих сетевых конфигураций для обеспечения совместимости.
- Неэффективное устранение неполадок: При возникновении проблем с интеграцией неопытные сотрудники часто вынуждены применять метод проб и ошибок, вместо того чтобы опираться на исторические знания о подобных проблемах и их решениях.
- Зависимость от поставщиков: Компании все больше зависят от внешних системных интеграторов и производителей оборудования для управления собственными сетями. Это значительно увеличивает затраты и сроки реализации проектов.
3. Непреднамеренные уязвимости в области кибербезопасности
Скрытый риск заключается в благих намерениях по улучшению кибербезопасности, которые на самом деле увеличивают площадь атаки. Новый персонал, обученный современным практикам ИБ, часто внедряет решения, непригодные для OT-сред, или непреднамеренно открывает ранее изолированные системы.
Распространенные модели создания уязвимостей:
- Некорректная сегментация сети: Попытки внедрить современное разделение на сетевые сегменты приводят к случайному соединению ранее изолированных частей сети. Таким образом создаются новые пути атаки, которых не существовало в старой конфигурации.
- Неправильная настройка брандмауэров: Из-за недостаточного знания устаревших протоколов современные реализации брандмауэров могут блокировать легитимный промышленный трафик, одновременно не предотвращая несанкционированный доступ.
Эти три основных риска взаимно усиливаются, когда они возникают одновременно. Это происходит все чаще, поскольку компании пытаются модернизировать устаревшую инфраструктуру и одновременно справляться с кадровыми изменениями. (jm)
Рекомендуем к прочтению: ИИ создает новые риски безопасности для OT-сетей
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Thorsten Eckert