Техника в деле
Александр Леви — о безопасности промышленных сетей
Обозреватель “Ъ FM” Александр Леви рассказывает, насколько обоснованы опасения бизнеса при выборе решений для защиты от киберугроз.
Фото: пресс-служба «Лаборатории Касперского»
Фото: пресс-служба «Лаборатории Касперского»
Устойчивое развитие промышленных предприятий и объектов критической инфраструктуры напрямую зависит от стабильности производственных и бизнес-процессов, а также защиты важных цифровых активов. Однако число сложных кибератак на промышленные системы будет только расти. При этом отдельных решений для защиты только IT-инфраструктуры предприятий недостаточно для борьбы с новыми угрозами. В добавок, как и в любой другой сфере бизнеса, в промышленности есть свои стереотипы, заблуждения и страхи. Вместе со специалистами «Лаборатории Касперского» я попытался выделить и разобрать самые распространенные из них.
Начать хочется с утверждения, которое гласит, что при наличии офисных защитных продуктов внедрение специализированных решений не требуется. Примерную логику, которая за этим стоит, понять можно, но согласиться с ней сложно. В реальности стандартные корпоративные средства защиты информации часто не адаптированы под применение в системах промышленной автоматизации, рассказал директор направления по сопровождению проектов по промышленной безопасности «Лаборатории Касперского» Андрей Бондюгин:
«Такие объекты защиты имеют свою специфику. Например, они используют нестандартные коммуникационные протоколы или работают на базе старых операционных систем. При неправильной конфигурации обычные офисные решения могут даже оказать негативный эффект на объект защиты и привести к нарушению штатного режима работы технологического процесса. При этом специализированные продукты учитывают специфику систем промышленной автоматизации, поддерживают специализированные протоколы, не поддерживают устаревшие операционные системы и в первую очередь используют неинвазивный подход и минимизируют влияние на технологический процесс. Как раз такой подход используется в решениях Kaspersky Industrial CyberSecurity от "Лаборатории Касперского"».
Как только организация допускает мысль о специализированном решении, сразу возникает опасение — это очень дорого. Это тоже один из самых распространенных страхов.
Известный принцип хеджирования гласит: не рискуй всем сразу, разделяй риски. Убеждение столь распространенное и глубокое, что к нему обращаются как к понятному и неопровержимому, чтобы избежать любых опасных решений. К примеру, бизнес часто боится, что применение моновендорного подхода обязательно приведет к зависимости от поставщика услуг. Особенно если речь идет о предоставлении защиты или даже еще более точечно — киберзащиты.
Но если присмотреться к такому способу взаимодействия внимательнее, то можно увидеть, что он тоже снижает риски, только за счет своих инструментов и особенностей организации, объяснил директор направления по сопровождению проектов по промышленной безопасности «Лаборатории Касперского» Андрей Бондюгин:
«Во-первых, экосистемный подход в информационной безопасности имеет ряд преимуществ. Самое главное — вы можете осуществлять администрирование и мониторинг средств защиты информации через единый интерфейс. Такой подход уже реализован в XDR-платформе от "Лаборатории Касперского". Во-вторых, когда вам необходимо решить какой-либо вопрос с технической поддержкой, у вас всегда есть единое окно, в котором вы можете задать любой вопрос по работе продуктов по защите информации, что существенно упрощает работу инженеров и экономит их рабочее время».
Можно ли бояться зависимости от вендора? Только если вы ему не доверяете изначально. Но это точно ничего не говорит про выбор самого метода взаимодействия. Рынок кибербезопасности сегодня — это высококонкурентная среда. Поэтому бизнесу доступен широкий выбор качественного сервиса. И добросовестные вендоры всегда работают по закону. К примеру, они подписывают хартию поставщиков, по которой обязуются не поднимать каждый год цены выше определенного уровня.
Но и на этом страхи ИБ-специалистов организаций не исчерпаны. По их частому убеждению, специализированные решения могут вмешаться в технологические процессы и снизить эффективность производства.
Только во втором квартале этого года был зафиксирован глобальный рост киберинцидентов в области промышленности на 16% по сравнению с началом года. Таковы данные команды Kaspersky ICS CERT. Из 35 публично подтвержденных случаев почти половина привела к сбоям в операционной деятельности или поставках продукции.
Две трети пострадавших организаций представляют производственный сектор. Несмотря на это, кибербезопасности специализированных производителей и поставщиков услуг уделяется мало внимания, отмечают эксперты «Лаборатории Касперского». Часто воспользоваться универсальным и более доступным решением кажется надежным и понятным способом. Это может сработать, но наиболее крепкая защита в каждом индивидуальном случае определяется составом технологий, которые необходимы с точки зрения закона и актуальных угроз для конкретного предприятия.
Такой подход может быть дороже, но не больше, чем потенциальные потери при успешных кибератаках, заверил директор направления по сопровождению проектов по промышленной безопасности «Лаборатории Касперского» Андрей Бондюгин: «В отдельных случаях стоимость специализированных решений для систем промышленной автоматизации может быть выше, чем стандартных офисных продуктов. Но это абсолютно оправданно, потому что за счет наших усилий по тестированию данных решений на совместимость с системами промышленной автоматизации мы можем быть уверены, что данные продукты не окажут негативного влияния на объект защиты. Кроме того, важно отметить, что потенциальный ущерб от неправильного использования офисных продуктов в промышленных сетях может привести даже к остановке технологических процессов и, как следствие, к гораздо более существенному финансовому ущербу, чем просто размер разницы в стоимости этих решений».
Вне зависимости от числа вендоров услуг, живет убеждение, что специализированные решения могут вмешиваться в технологический процесс, снижать производительность.
Одна из наиболее эффективных мер для обеспечения кибербезопасности промышленных предприятий — это мониторинг технологических сетей. Почти всегда применяется пассивный метод мониторинга. Он анализирует данные, передаваемые между устройствами сети, без активного вмешательства во взаимодействие между ними, не влияя на работу компонентов системы автоматизации. А признаки кибератак выявляются на отдельном сервере, куда направляется копия всего сетевого трафика. Активный же мониторинг в промышленной среде применяют по минимуму, поскольку он подразумевает подключение к промышленному оборудованию, выполнение на нем дополнительных инструкций. Но в отдельных случаях его применение необходимо, поскольку именно он дает полную картину ситуации в сети.
Комбинирование пассивного и активного вариантов дает более надежную, комплексную защиту автоматизированных систем управления технологическими процессами и позволяет оперативно реагировать на инциденты, пояснил директор направления по сопровождению проектов по промышленной безопасности «Лаборатории Касперского» Андрей Бондюгин: «Основное отличие специализированных решений для защиты промышленного сегмента от традиционных офисных продуктов как раз в том, что в них минимизируется возможность негативного влияния на работу технологического процесса. Так, например, в нашем решении Kaspersky Industrial CyberSecurity мы делаем акцент на пассивном мониторинге сетевого трафика, то есть, по сути, мы подслушиваем разговор между компонентами АСУ ТП и никак не вмешиваемся в их активное информационное взаимодействие. При этом у инженера по информационной безопасности всегда сохраняется возможность выполнить активные действия по реагированию на возникающие угрозы, если он сочтет это необходимым».
Изолированные сегменты сетей автоматизированных систем управления технологическими процессами в киберзащите не нуждаются. Так подсказывает логика. Но в условиях этой задачи изначально допущена ошибка.
Рожденный ползать летать не может — к сожалению, к «червям», как вредоносным компьютерным программам, это утверждение точно не относится. Киберпреступники научились преодолевать так называемую воздушную защиту air gap, используемую для изоляции сетей от общедоступных и локальных.
Специалисты команды Kaspersky ICS CERT обнаружили «червя» в системах управления, расследуя серии кибератак на промышленные и критически важные инфраструктуры Восточной Европы. Оказалось, что сначала злоумышленники применили инструменты удаленного доступа и сбора данных, что позволило получить первичный контроль. После преступники активировали сложный модульный вредоносный код, который помог преодолеть air gap. Этот код попадал на съемные накопители и заражал их «червем», который уже извлекал данные. Хакерам оставалось только эксфильтровать, то есть незаметно вывести украденную информацию из защищенной среды.
Другими словами, сама по себе изоляция систем не гарантирует полной защиты, подтвердил директор направления по сопровождению проектов по промышленной безопасности «Лаборатории Касперского» Андрей Бондюгин: «Во-первых, изоляция промышленных сетей, воздушный зазор между корпоративной и промышленной сетью — это давно уже миф. В реальности корпоративный и промышленный сегменты всегда интегрированы. И разница может быть лишь в том, какой объем данных передается между ними. Во-вторых, даже если сегмент изолирован, не стоит исключать из модели угроз внутреннего нарушителя, который может получить физический доступ к системе промышленной автоматизации и реализовать ряд компьютерных атак. Для того чтобы эффективно защищаться как от внутреннего, так и от внешнего нарушителя, необходимо применять целый комплекс защитных мер, включающий в себя защиту рабочих станций и серверов, мониторинг сетевой инфраструктуры, защиту периметра промышленного сегмента. Все необходимые компоненты для этого есть в экосистеме Kaspersky OT CyberSecurity».