Цифровизация производственных процессов на крупных промышленных предприятиях параллельно с явными выгодами несет и существенные риски, связанные с информационной безопасностью. Учитывая важность бесперебойного функционирования объектов критической информационной инфраструктуры (КИИ) для всей экономики России, их собственники обязаны обеспечить необходимую защиту всех имеющихся у них значимых объектов КИИ, в том числе входящих в их число автоматизированных систем управления технологическими процессами (АСУ ТП) - как от внутренних нарушителей, так и от вмешательства извне. Какие есть проблемы в этой сфере и как предприятия могут защитить себя от них, - в материале ТАСС и InfoWatch.
Деятельность большинства промышленных предприятий, оснащенных объектами КИИ и функционирующих в важных для государства сферах, таких как энергетика, транспорт, банковская сфера, топливно-энергетический комплекс, атомная энергия, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и пр., непосредственно влияет на экономическое благосостояние граждан и безопасность государства. Атаки на АСУ ТП таких предприятий приводят к нарушению технологических процессов, авариям на управляемом ими оборудовании.
Их последствия могут привести не только к значительному финансовому ущербу, но и привести к катастрофам, нанести большой экологический урон, сильно ударить по обороноспособности страны, ее суверенитету. Как, например, в 2010 году в случае с вирусом Stuxnet, который поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Нетензе и сорвал сроки запуска ядерной АЭС в Бушере. В результате был нанесен многомиллионный ущерб. Или когда в 2019 году из-за атаки в Венесуэле была отключена вся электроэнергия в 18 из 23 штатов страны, перестали работать аэропорты, метро, связь и больницы. Из-за тотальных проблем с электричеством тогда только в больницах скончались 79 человек.
Сегодня кибератаки на целые города или предприятия, оснащенные объектами КИИ, крайне стремительны и разрушительны. При этом такие атаки обычно хорошо подготовлены (целевые, APT-кампании) и почти всегда анонимны, а их подготовленность и разрушительность во всем мире растет с каждым годом.
Современные угрозы промышленным предприятиям
Сегодня обеспечение высокого уровня безопасности промышленных предприятий осложнено по нескольким причинам. Прежде всего, современные АСУ ТП обычно связаны с корпоративной сетью, поэтому злоумышленники научились получать доступ к промышленным сетям через корпоративные ресурсы (через почту с помощью фишинга, легальные корпоративные приложения и пр.). При этом сами атаки мгновенно распространяются. Именно поэтому чрезвычайно важно обеспечить безопасное взаимодействие АСУ ТП с корпоративными сетями. Кроме того, необходимо обеспечить защиту и от внутренних нарушителей, для чего необходимо контролировать доступ пользователей к различным ресурсам, выявлять и предотвращать вторжения в самих АСУ ТП.
Еще одна проблема - уязвимости, имеющиеся в технологических системах. Из исследований уязвимостей за 2019 год видно, что 65% из них имеют высокую степень риска, 82% могут эксплуатироваться удаленно и анонимно, а 90% вообще не требуют специальных знаний и навыков для вторжения в производственные системы (отчет IBM X-Force Incident Response and Intelligence Services (IRIS)).
Усугубляет ситуацию и то, что специалисты на местах зачастую просто не в курсе критичных уязвимостей или не понимают, какие риски они вызывают. Среди таких рисков - остановки производства, аварии и катастрофы.
К тому же как на глобальном, так и отечественном рынках кибербезопасности сохраняется устойчивый дефицит квалифицированных кадров. Специалисты перегружены рутинным неавтоматизированным расследованием инцидентов, ложными срабатываниями разрозненных средств защиты, большинство из которых не промышленного назначения, или вообще не занимаются этими вопросами.
Остро стоит вопрос и с импортозамещением. Несмотря на громкие случаи удаленного отключения оборудования, как, например, отключение в 2008 году используемых в ОПК станков иностранного производства с числовым программным управлением, на российских промышленных предприятиях превалирует оборудование и ПО зарубежного производства. В такой ситуации хотя бы средства защиты информации должны быть отечественного производства, однако подавляющее большинство таких средств на российских промышленных предприятиях также иностранные. При этом отечественные разработки с успехом выполняют все необходимые функции.
Специфика обеспечения кибербезопасности промышленных предприятий
Зачастую организации внедряют множество специализированных средств защиты разных производителей, что при эксплуатации часто снижает оперативность обнаружения и предотвращения атак, увеличивает стоимость эксплуатации.
Чтобы снизить вероятность таких рисков, мониторинг и расследование инцидентов информационной безопасности рекомендуется проводить в едином центре.
Для обнаружения и предотвращения вторжений, блокировки вредоносного ПО и иных источников угроз, защиты от несанкционированного доступа следует применять современные промышленные межсетевые экраны, эффективность которых кроме всего прочего зависит и от того, насколько глубоко и качественно разбираются пакеты промышленных протоколов, настраиваются политики безопасности.
Кроме того, важно устранить проблемы, связанные с человеческим фактором. Очевидно, что одним из наиболее уязвимых для атак звеном является человек (например, оператор АСУ ТП или инженер). Поэтому также важно организовать защиту рабочих станций и серверов, физическую безопасность оборудования.
Понимая важность обеспечения безопасности промышленных предприятий, государство вводит требования по обеспечению кибербезопасности. Одним из основных законов в этой области стал 187-ФЗ "О безопасности критической информационной инфраструктуры РФ", который регулирует отношения в области обеспечения безопасности КИИ в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак. Законом определены сферы деятельности, субъекты которых обязаны провести категорирование своих объектов КИИ и создать соответствующие системы безопасности, а требования по методологии и техническим мерам для реализации определены приказами ФСТЭК России № 235 и № 239.
Что предлагает российский рынок ИБ-разработчиков?
На данный момент в России мало отечественных компаний, которые разрабатывают комплексные системы защиты информации от кибератак на промышленные предприятия. Ускоряющиеся темпы цифровизации, курс на импортозамещение и небольшой ассортимент отечественных решений ставят специалистов по информационной безопасности промышленной инфраструктуры в сложную ситуацию. С одной стороны, необходимо автоматизировать существующие процессы ИБ и эффективно использовать мощности имеющегося парка оборудования и ПО, преимущественно зарубежного производства. А с другой - использовать отечественные специализированные СЗИ и интегрировать их с возможностью передавать события ИБ в SOC- или SIEM-системы, предоставлять понятные инструкции персоналу в случае инцидентов или автоматизировать их обработку и реагирование.
В начале ноября 2020 года компания InfoWatch анонсировала новое комплексное решение от отечественного производителя для эшелонированной защиты промышленных предприятий - InfoWatch ARMA, при этом вызывает интерес реализованный подход разработчика.
Ключевым преимуществом эшелонированного подхода к защите информации является то, что злоумышленник должен потратить много ресурсов на преодоление нескольких "линий обороны".
Так, InfoWatch ARMA состоит из трех средств защиты, интегрированных между собой. Какие эшелоны защиты позволяет построить InfoWatch ARMА?
Первый - промышленный межсетевой экран нового поколения, который контролирует те участки сети, где коммуникации АСУ ТП выходят в корпоративную сеть или за пределы контролируемой зоны, например, для обеспечения мониторинга режимов работы оборудования со стороны его производителя. InfoWatch ARMA Industrial Firewall своевременно обнаруживает и блокирует атаки на промышленные сети, а также защищает от несанкционированного доступа, в том числе благодаря функции глубокой инспекции пакетов промышленного трафика. Позволяет тонко настраивать политики безопасности на уровне команд промышленных протоколов. Преимущество InfoWatch ARMA Industrial Firewall состоит в том, что данное СЗИ можно применять как в качестве межсетевого экрана в режиме мониторинга, так и как систему обнаружения и предупреждения вторжений (СОВ).
Второй эшелон защиты - средство защиты рабочих станций и серверов АСУ ТП InfoWatch ARMA Industrial Endpoint. Оно позволяет контролировать подключение съемных носителей и запуск приложений, целостность ПО рабочих станций и серверов, а также ограничивает возможность запуска вредоносного ПО, не нагружая при этом систему сложными алгоритмами анализа.
Для своевременного обнаружения вторжений важно получать данные со всех СЗИ в едином интерфейсе, а также иметь возможность расследовать инциденты в режиме "одного окна". Для этого была разработана InfoWatch ARMA Management Console - единый центр управления системой InfoWatch ARMA, который автоматически формирует правило блокировки и настраивает по нему одновременно все средства защиты системы, как только получает информацию об атаке и ее источнике, а также позволяет централизованно управлять обновлениями всех продуктов InfoWatch ARMA. Настраиваемые правила реагирования помогают создать уникальные и одновременно понятные диспетчерам инструкции реагирования на инциденты ИБ.