ТЭК — стратегически важный сектор экономики, безопасность которого является национальным приоритетом. Но возможно ли обеспечить защиту КИИ в короткий срок с помощью российских решений? На примере нефтегазовой отрасли разбирались с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ Axoft, с обратной стороной цифровизации, а также выяснили, чем может навредить «забытая флешка» и почему миграция на отечественное ПО происходит так медленно. А Станислав Навсегда, руководитель отдела сетевой безопасности и аудита Axoft, показал, как может выглядеть атака злоумышленников и продемонстрировал работу ИБ-систем.
Цифровизируй, но защищай
Нефтегазовая отрасль, как и промышленный сектор в целом, продолжает оставаться крупной мишенью для киберпреступников. Об этом говорят свежие отчеты Positive Technologies – количество атак выросло на 53% на предприятия за второй квартал 2022 года. По статистике Kaspersky ICS CERT, доля атакованных компьютеров АСУ ТП за первое полугодие практически не изменилось по сравнению с прошлым годом. Однако отмечается что в нефтегазовом сегменте количество заблокированного вредоносного ПО увеличилось на 5.9 пунктов. Хотя тренд в отрасли имел позитивную динамику с 2020 года и развивался по нисходящей экспоненте.
Еще 10 лет назад вероятность серьезного инцидента на крупном объекте из-за кибератак была низкой, так как компании только начинали использовать возможности автоматизации и чаще всего изолировали сегменты промышленной сети от корпоративной. Но сейчас ТЭК находится на неплохом уровне цифровой зрелости, которую оценили в 2.5 балла из 5 возможных аналитики SAP, Deloitte и iR&D Club в 2021 году, и процесс внедрения передовых ИТ-решений в технологические процессы продолжается.
Рынок нефтедобычи – достаточно высококонкурентный, поэтому здесь технологии Индустрии 4.0 начали применять одними из первых. Цифровые двойники месторождений, IoT, цифровое бурение, аналитика массивов Big Data, предиктивные модели – все это позволяет снизить издержки на разведку, добычу, переработку и повысить эффективность. Но, с другой стороны, создает практически невозможные условия для изоляции корпоративных и промышленных сетей, что делает объекты уязвимыми. Последствия атак могут носить масштабный и техногенный характер: от задержек поставок, снижения добычи до влияния на жизни, здоровье людей и окружающую среду.
Человеческий фактор – «страшилки» или реальность
С точки зрения зрелости крупных компаний нефтегазовой отрасли – они все в достаточной мере уже давно имеют высокий уровень киберзащиты, выстроенные ИБ-процессы, управления рисками непрерывностью бизнеса. Но даже такую «броню» может сломать одна «забытая флешка».
Здесь может быть два вектора развития атаки:
1. Безответственный сотрудник
Мы часто сталкиваемся с возражениями, что промышленный сегмент изолирован, есть «воздушный зазор», люди тщательно досматриваются. Но реальная ситуация такова: сотрудники все равно проносят 4G-модемы, флешки с фильмами. Включают в АРМ оператора АСУ ТП с Windows XP, на котором нет защиты, так как ИБ-инструменты влияют на быстродействие и работу операционной системы. В итоге получают атаку целевую или случайную.
2. «Вирус со стороны»
Атака изолированного сегмента промышленной сети происходит и через подрядчика, который, к примеру, приносит внешний носитель с обновлениями ПО. Уровень ИБ-зрелости самого поставщика может быть низким, его не составит труда взломать, затем он принесет зараженную флешку и использует на АРМ операторе с Windows XP.
Один из нашумевших случаев атаки через цепочку поставок случился с разработчиком SolarWinds в 2020 году. Злоумышленники получили доступ к системе сборки и добавили «закладку» в один из DLL-файлов, который затем был распространен среди клиентов через платформу автоматического обновления. «Закладка» подключалась к серверу управления и контроля, так хакеры получали доступ к зараженному компьютеру.
Или другой пример «человеческого фактора» — вирус Stuxnet, который нанес серьезный урон иранской ядерной программе в 2010. Используя уязвимости операционной системы, Stuxnet поразил более 1000 центрифуг на заводе и сорвал сроки запуска АЭС. Хотя заказчика так и не нашли, но исполнителем стал нерадивый сотрудник, который вставил инфицированный флэш-накопитель в рабочую станцию. Ущерб был колоссален.
Кибератака «в полях»
Разберем на примере, как происходит атака и какими инструментами ее можно блокировать.
Злоумышленник получает доступ к ноутбуку работника сервисной компании и устанавливает вредоносное ПО. При попадании на территорию промышленной площадки оно активируется. Если у оборудования есть доступ в интернет для служебных целей, то программа может обеспечить доступ злоумышленнику в реальном времени. Далее запускается сканирование сети.
«В качестве распространенного примера злонамеренной киберактивности на узлах используется Nmap – сканирование сети на обнаружение открытых портов и действий по горизонтальному распространению. Его могут применять как для запуска вируса, так и сбора информации об инфраструктуре для планирования дальнейшей атаки. Эшелонированная защита, продвинутые ИБ-решения, а также постоянное информирование сотрудников компании по кибервопросам существенно снизят риск того, что атака на предприятие завершится успешно для злоумышленника», — поясняет Алексей Падчин, технический специалист Axoft.
«У нас довольно большой опыт развертывания ИБ-систем и реализации проектов миграции на отечественное ПО в различных сегментах. Мы регулярно проводим тестирование решений в условиях, приближенных к реальным. На данный момент в «Демосфере» можно увидеть работу Kaspersky Industrial CyberSecurity for Networks и решение для анализа трафика сетей АСУ ТП ISIM от Positive Technologies, также в демозоне развернуты виртуальные ПЛК и ПК атакующего. Стоит отметить, что эффективность сетевой безопасности зависит не только от инструментов, которые помогут выстроить защиту и обеспечить целостность периметра на предприятиях, но и от компетенций команды. Поэтому наши инженеры не только знают все технические особенности продуктов различных поставщиков, но и постоянно совершенствуются, прокачивают скиллы в DevOps, Linux, практике сетевой безопасности и сетевых взаимодействий, изучают инструменты для взлома. И конечно, проводим большую аналитическую работу, ведь для безопасника важно следить за обновлениями в ИБ-поле, быть в курсе событий и оперативно получить информацию», — отмечает Станислав Навсегда, руководитель отдела сетевой безопасности и аудита Axoft.
Модель оптимальной защиты АСУ ТП
Защита АСУ ТП – многогранный вопрос, к которому нужно подходить с разных сторон. Основная формула: технологии+процессы+люди. Если говорить об инструментах, то здесь должен быть комплекс грамотно подобранных решений – от защиты на рабочих станциях, периметра, шифрование каналов до сетевых сенсоров для контроля горизонтального трафика промышленной сети и внедрения ZTNA (сетевой доступ с нулевым доверием). Кроме того, необходимо постоянно расширять процесс управления информационной безопасностью и добавлять активы, связанные с АСУ ТП. Но главный элемент в этой цепочке — люди, которые могут нивелировать всю работу ИБ-специалиста. Поэтому важно формировать культуру киберосознанности у сотрудников, проводить «учения» и периодически тестировать.
1. Защита на рабочих станциях (уровень SCADA) – «Лаборатория Касперского» (KICS for Nodes), Infowatch ARMA (Industrial Endpoint), PT EDR;
2. Защита и сегментация периметра – Usergate, Infowatch ARMA(Industrial Firewall), Infotecs (xFirewall 5);
3. Сетевые сенсоры для контроля горизонтального трафика промышленной сети – «Лаборатория Касперского» (KICS for Networks), Positive Technologies ISIM, Infowatch ARMA(Industrial Firewall);
4. Шифрование каналов (между SCADA и PLC, между PLС и датчиками, между удаленными объектами) – Infotecs (Coordinator IG + SIES), Infowatch ARMA
5. Внедрение ZTNA. Infotecs, Код Безопасности, Usergate.
6. Реагирование – сервис MDR от «Лаборатории Касперского», GROUP-IB.
7. Повышение осведомленности персонала и периодическое тестирование персонала. Kaspersky ASAP, Phishman
8. MaxPatrol SIEM для промышленности. Собирает и анализирует журналы с конечных узлов в сетях АСУ ТП, выявляет инциденты информационной безопасности.
9. PT Sandbox для промышленности. Обнаруживает целевые и массовые атаки с применением современного вредоносного ПО, нацеленное на компоненты АСУ ТП.
Кибербезопасность нового времени
Февральские события и уход иностранных поставщиков обострили ситуацию для российских компаний, о чем свидетельствуют исследования выше. Вопрос с обеспечением кибербезопасности и срочной миграции на отечественные решения стал неизбежным. Дополнительным катализатором послужил также указ №250 о дополнительных мерах защиты критической инфраструктуры и переходе на российские ИБ-системы к 2025 году.
По данным «Цифровой индустриальной платформы», уровень импортозамещения в нефтегазовой отрасли оценивается в 30%. Многие эксперты отмечают, что процесс миграции может занять 3-5 лет в лучшем случае.
Почему так долго?
Процессы. Вертикально-интегрированные нефтяные компании имеют достаточно сложную структуру, в которую может входит до 100 дочерних зависимых обществ (ДЗО). И если, например, корпоративный центр или штаб-квартира рекомендует к внедрению определенное решение, то ДЗО исполняет в рамках собственного бюджета. На практике это значит, что замена иностранных средств ИБ может начаться и продолжаться несколько лет.
Целесообразность. В бизнесе любая инвестиция должна быть оправданной: принести доход или оптимизировать расходы. Если в начале года, например, ИБ-подразделение потратило бюджет на лицензии ПО сроком на три года, то потратить такую же сумму еще раз, но в рамках замены на российское, с точки зрения бизнеса, нецелесообразно. Поэтому в этом случае компании ищут компромисс, особенно, если ПО продолжает работать.
Неготовность российских технологий. По некоторым классам решений нет отечественных аналогов, например, в направлении DevSecOps в части защиты контейнеров, анализа open source, а также управления мобильными устройствами (MDM). А что есть — требует доработки как с точки зрения технологий, так и сервисов, включая продажи, внедрения и техническую поддержку.
Кадры. На рынке острый дефицит специалистов, которые разбираются в технологических процессах, АСУ ТП, следят за современными трендами цифровизации. Даже крупные компании не всегда могут позволить себе укомплектовать штат такими профессионалами.