Когда я впервые получил доступ к производственной линии, часть системы управления все еще работала на необновленной машине с Windows XP, спрятанной под лабораторным столом — прямо рядом с самым современным производственным комплексом GMP, который ежедневно приносил миллионы долларов дохода. Все знали, что эта система представляет собой риск, но никто не решался […] — csoonline.com
Когда я впервые получил доступ к производственной линии, часть системы управления все еще работала на необновленной машине с Windows XP, спрятанной под лабораторным столом — прямо рядом с самым современным производственным комплексом GMP, который ежедневно приносил миллионы долларов дохода. Все знали, что эта система представляет собой риск, но никто не решался к ней прикасаться, пока она «еще работала». Такое сочетание технического долга, операционного давления и регуляторных рисков превращает устаревшие операционные технологии (ОТ) сегодня в настоящую мину замедленного действия — особенно в энергетике и фармацевтике.
У нас современные атакующие, но устаревшие системы
Практически в каждой оценке безопасности ОТ, которую я проводил, я обнаруживаю одну и ту же картину: В сфере ИТ команды говорят о нулевом доверии (zero trust), XDR и поддержке ИИ в SOC. В сфере ОТ они борются с устаревшими протоколами, неподдерживаемыми операционными системами и «воздушными зазорами» (air gaps), которые давно прорваны удаленным доступом и интеграциями. Хотя нормативные акты и директивы по критической инфраструктуре теперь явно включают ОТ, техническая реальность на многих объектах по-прежнему застряла в 2000-х годах.
Многие объекты до сих пор используют устаревшие операционные системы, такие как Windows XP или Windows 7, часто без текущей поддержки и, следовательно, без регулярных обновлений безопасности.
Протоколы ОТ, такие как Modbus или старые версии Profinet, никогда не разрабатывались с учетом аутентификации или шифрования, однако сегодня они используются в сетевых инфраструктурах.
Конвергенция ИТ и ОТ — через MES, системы сбора данных (historian systems), удаленное обслуживание и облачные соединения — создает для злоумышленников беспрепятственные пути из офисной сети в диспетчерскую.
Это не теория: Реальные инциденты, такие как Stuxnet, Triton и атака программ-вымогателей на Colonial Pipeline, наглядно продемонстрировали, как уязвимости ИТ могут просочиться в критически важные процессы ОТ. Эти случаи стали ориентирами в сообществе специалистов по безопасности ОТ — не потому, что они экзотические исключения, а потому, что они обнажают механизмы, существующие сегодня во многих средах ОТ.
Почему все знают, что горит, но никто не тянет пожарную тревогу
Когда я разговариваю с руководителями ОТ, начальниками производства или инженерами цехов, я редко слышу: «Мы не знали, что у нас проблема». Гораздо чаще я слышу: «Мы знаем, что это критично — но мы не можем просто это остановить». Этот разрыв между осведомленностью и действием и есть реальный риск.
По моему опыту, существуют три основных блокирующих фактора:
- Простой простоя — абсолютное табу. В круглосуточной производственной среде любая плановая остановка означает реальную потерю дохода. В то же время растут требования к доступности и надежности поставок — особенно в энергетике и фармацевтике, где перебои могут иметь общественные последствия. В этой ситуации безопасность становится чем-то, что нужно рассмотреть «при следующем крупном обновлении» — обновлении, которое часто откладывается на годы.
- Культурные и языковые барьеры между ИТ и ОТ. Команды ОТ обучаются безопасности с точки зрения технологической и производственной безопасности, а не кибербезопасности. Их приоритеты — стабильность, детерминированность и физическая безопасность; абстрактные обсуждения уязвимостей нулевого дня (zero-day exploits) часто кажутся далекими от повседневной жизни на объекте. И наоборот, многие ИТ-команды недооценивают, насколько тонко настроены производственные процессы и как быстро неправильно выполненное сканирование или агрессивная проверка уязвимостей могут нарушить работу предприятия.
- Размывание бюджета и ответственности. Во многих организациях неясно, кто несет стратегическую ответственность за безопасность ОТ: CISO, COO, руководство объекта или инженеры? Развивающееся законодательство ужесточает это, прямо возлагая ответственность на руководство и вводя потенциальную ответственность за неадекватное управление киберрисками. Тем не менее, инвестиционные решения часто по-прежнему определяются логикой капитальных затрат (CapEx) и метриками OEE — меры безопасности, предотвращающие сбои, проявляются лишь косвенно.
В итоге возникает парадоксальная ситуация: организации с самыми критичными процессами часто наименее склонны менять свою ОТ-среду — и, следовательно, имеют наибольшую подверженность современным моделям атак.
Когда устаревшие ОТ сталкиваются с современными атакующими
Последние несколько лет показали, как злоумышленники профессионализировались и ориентировались на индустриализированные, масштабируемые бизнес-модели — Ransomware-as-a-Service является наиболее наглядным примером. В то же время исследования показывают, что значительная доля промышленных компаний зафиксировала киберинциденты в своих устаревших ОТ-системах за последние 12 месяцев. Из моей практики выявился паттерн, который я вижу постоянно.
Как правило, современная атака на организацию с большим количеством ОТ-активов разворачивается в несколько этапов:
Первоначальный доступ через ИТ, а не ОТ
Злоумышленники сначала компрометируют офисную сеть, часто через фишинг, необновленные веб-приложения или слабый VPN-доступ. Случай с Colonial Pipeline — хрестоматийный пример: скомпрометированной учетной записи VPN без многофакторной аутентификации оказалось достаточно, чтобы запустить каскад событий, который привел к превентивному отключению ключевой сети снабжения.
Боковое перемещение через плохо сегментированные сети
Оказавшись в корпоративной сети, злоумышленники ищут пути к ОТ — часто через плохо документированные интерфейсы, системы сбора данных (historian systems), удаленный доступ через рабочий стол (remote desktop access) или переходные зоны без четкой сегментации. Отсутствие архитектуры зон и каналов (zone and conduit architecture) согласно IEC 62443, плоские сети и недостаточно защищенные промежуточные хосты (jump hosts) делают этот шаг намного проще.
Эксплуатация устаревших систем и отсутствие мониторинга
В самой среде ОТ злоумышленники сталкиваются со смесью устаревших операционных систем, проприетарных протоколов и низкого уровня мониторинга. Многие системы не интегрированы в централизованную SIEM, и нет выделенного SOC для ОТ с готовыми сценариями действий (playbooks) для промышленных инцидентов. Это упрощает шифрование критически важных систем или манипулирование логикой управления до того, как кто-либо заметит аномалии в данных процесса.
Влияние на бизнес далеко за пределами объекта
Непосредственные последствия инцидента в ОТ варьируются от остановок производства и проблем с качеством до рисков для сотрудников и окружающей среды. Для объектов критической инфраструктуры добавляются регуляторные последствия, репутационный ущерб и потенциальное вмешательство надзорных органов в рамках соответствующих нормативных актов.
Особенно в энергетических и фармацевтических компаниях эти сценарии больше не рассматриваются как «черные лебеди», а учитываются в анализе непрерывности бизнеса и рисков. Тем не менее, структурная слабость сохраняется: пока устаревшие ОТ остаются нетронутыми в ядре, даже изощренные программы ИТ-безопасности будут лишь частично эффективны.
Энергетика и фармацевтика: когда сбои ОТ становятся системными проблемами
В энергетических проектах я неоднократно вижу, как технические риски переплетаются с геополитическими и регуляторными рамками. Электросети, трубопроводы и генерирующие станции являются не просто важными объектами в рамках регулирования критической инфраструктуры, но во многих странах — частью критической инфраструктуры с отраслевыми законами о безопасности.
В сфере энергоснабжения скомпрометированная диспетчерская или манипулируемая система защиты может напрямую привести к нестабильности сети, которая будет каскадно распространяться наружу.
В фармацевтическом производстве инциденты в ОТ угрожают не только остановкой производства, но и нарушениями качества и соответствия требованиям, например, когда данные о партиях, условия окружающей среды или рецептуры становятся ненадежными.
Особенно в фармацевтике я часто сталкиваюсь с модернизированными фронтендами и ландшафтами MES поверх ядра старых систем управления, чей статус валидации используется как щит против любых изменений. Страх потерять GMP-валидации приводит к тому, что устаревшие системы остаются нетронутыми по регуляторным причинам — хотя те же регуляторы теперь рассматривают кибербезопасность как неотъемлемую часть безопасности продукции и процессов.
Для обоих секторов безопасность ОТ больше не является нишевой темой, а напрямую связана с непрерывностью бизнеса, соблюдением нормативных требований и — в случае энергетики — с безопасностью поставок.
Как я помогаю клиентам обезвредить мину замедленного действия ОТ
За годы работы я разработал подход с различными организациями, который разрешает противоречие между «Мы не можем позволить себе простой» и «Мы не можем позволить себе этот статус-кво». Ключ в том, чтобы рассматривать устаревшие ОТ не как монолитную проблему, а как портфель рисков, который можно приоритизировать и решать поэтапно.
На практике для меня оказался эффективным многоступенчатый процесс:
Безжалостная инвентаризация — но с учетом рисков
На первом этапе я работаю с командами ОТ и ИТ для создания прозрачности: какие активы действительно критичны, какие системы устарели, где находятся ключевые интерфейсы ИТ-ОТ? Инструменты для обнаружения активов ОТ и пассивного сетевого анализа помогают выявить даже «забытые» компоненты без нарушения производства. Важно, что мы с самого начала привлекаем перспективу риска: не каждый старый контроллер автоматически является самой большой проблемой — критичность процесса, подверженность угрозам и потенциальное воздействие определяют приоритеты.
Сначала сегментация — не дожидаясь крупного обновления
Вместо того чтобы ждать десятилетие, чтобы заменить каждый устаревший компонент, я сотрудничаю со многими клиентами, чтобы сначала структурировать сетевую архитектуру в соответствии с принципами IEC 62443. Это означает определение зон и каналов, установку межсетевых экранов (firewalls) и промышленных DMZ, консолидацию и ужесточение удаленного доступа. Даже если устаревшие системы продолжают работать внутри этих зон, четкая сегментация значительно сужает возможности для бокового перемещения.
Мониторинг, понимающий ОТ
Классические инструменты ИТ-безопасности достигают своих пределов в средах ОТ, если они не знают протоколов, характеристик процессов и режимов работы. Именно поэтому я выступаю за интеграцию специализированных решений для мониторинга ОТ в существующий SOC или выделенный ОТ SOC — с вариантами использования, сфокусированными на промышленных аномалиях, таких как неожиданные изменения в программах ПЛК (PLC), необычные пути связи или нетипичные значения процессов. Только с такой видимостью организации могут перейти от реактивного тушения пожаров к проактивному обнаружению и сдерживанию.
Регулирование как рычаг, а не препятствие
Отраслевые мандаты и стандарты, такие как ISO 27001 или IEC 62443, в моем понимании, являются не обременительным соблюдением требований, а подкрепленным политически и юридически обоснованием для безопасности. В проектах я перевожу юридические требования в дорожную карту с конкретными мерами контроля: от управления рисками и реагирования на инциденты до безопасности цепочки поставок и планирования непрерывности бизнеса. Это помогает руководству легитимизировать инвестиции и сделать приоритеты прозрачными — включая сообщение о том, что бездействие в условиях меняющегося законодательства больше не является вариантом.
Поэтапная модернизация с компенсирующими мерами
Не каждый устаревший компонент может быть заменен в краткосрочной перспективе. В таких случаях я работаю с компенсирующими мерами контроля: ужесточение защиты окружающей сетевой инфраструктуры, промежуточные хосты со строгим контролем доступа, шлюзы протоколов, списки разрешенных приложений (whitelisting) и меры физической безопасности. Параллельно мы определяем реалистичный путь обновления, согласованный с запланированными простоями, проектами модернизации и бюджетными циклами — гарантируя, что следующее поколение систем ОТ будет настроено более безопасно с самого начала.
Почему сейчас самое время обезвредить мину замедленного действия ОТ
По моему мнению, момент, в котором мы находимся сегодня, уникален: с одной стороны, растет давление со стороны регулирующих органов, страховых рынков и реальных инцидентов — с другой стороны, существует больше технических и организационных инструментов, чем когда-либо, для систематического снижения рисков ОТ.
Страховщики оценивают промышленные киберриски более детально и привязывают условия к доказанным мерам устойчивости.
Регуляторы требуют не только мер контроля безопасности, но и демонстративного управления рисками и четкой подотчетности на уровне руководства.
Исследования и практика в области безопасности накопили богатый опыт со времен Stuxnet, что позволяет гораздо лучше понимать векторы атак на критическую инфраструктуру.
Для вас как для лица, принимающего решения в энергетике или фармацевтике, это означает: мина замедленного действия ОТ под вашим объектом — это не судьба, а инженерная задача. Вопрос не в том, представляет ли устаревшая ОТ риск — вопрос в том, готовы ли вы сделать это высшим приоритетом и предпринять необходимые шаги до того, как следующий инцидент вынудит вас к действию.
Если вы внутренне обсуждаете, как согласовать безопасность ОТ, соответствие требованиям и существующие производственные реалии, именно с этой точки напряжения я начинаю работу с клиентами — часто с целенаправленной оценки, специфичной для объекта, и дорожной карты, объединяющей технические, организационные аспекты и требования регуляторов.
Если бы ваша ОТ-среда была взломана завтра, смогли бы вы объяснить совету директоров, почему риск был известен — но принят?
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sabine Frömling