Результаты исследования указывают на то, что вероятность столкновения систем промышленной автоматизации с киберугрозами растет: 32% опрошенных компаний считают, что риск подвергнуться атаке для них очень велик. Примечательно, что этот показатель на 7% выше, чем в прошлом году.
Самостоятельная оценка рисков для безопасности АСУ ТП выявила значительные различия между регионами. Так, 35% российских компаний не считают, что станут мишенями, и только 13% находят атаку очень вероятной. Компании с Ближнего Востока, к примеру, встревожены куда сильнее: 63% из них считают очень вероятным, что они окажутся жертвами кибератаки. В этом нет ничего удивительного: в последние годы промышленность Ближнего Востока не раз становилась жертвой целевых атак на АСУ ТП. К примеру, на протяжении 2016 и 2017 гг. ряд нефтяных предприятий Саудовской Аравии испытали на себе серию разрушительных атак нашумевшей группировки Shamoon. В зараженных организациях злоумышленники смогли массово вывести из строя компьютерные системы, а также удалить множество важных документов, используя деструктивную программу — вайпер.
Инфографика к отчету приведена на рис. 1.
Исследование также позволило сделать ряд важных выводов.
Более трех четвертей опрошенных промышленных предприятий считают, что безопасность АСУ ТП — серьезная задача.
При этом далеко не все компании внедряют соответствующие меры защиты промышленных систем, чего следовало бы ожидать, учитывая высокую оценку важности кибербезопасности АСУ ТП.
Более трех четвертей опрошенных считают, что кибератака на АСУ ТП их компаний является «очень вероятным» или «достаточно вероятным» событием.
Несмотря на это, только 23% компаний хотя бы в минимальном объеме соблюдают государственные или отраслевые нормативы и рекомендации, относящиеся к кибербезопасности АСУ ТП. В то же время подавляющее большинство опрошенных увеличивают инвестиции в системы промышленной автоматизации и на обеспечение кибербезопасности АСУ ТП или по крайней мере не уменьшают их.
Каждая третья компания за последние 12 месяцев сталкивалась с инцидентами или нарушениями безопасности.
И хотя на первый взгляд это не очень большой показатель, неизвестно, у всех ли была возможность распознать киберинциденты. Многие компании просто не имеют практики обнаружения или отслеживания атак. Более того, опрошенные только начали цифровую трансформацию, поэтому поверхность атаки в их инфраструктурах будет неизбежно расти с уровнем цифровизации.
Большинство компаний, столкнувшихся с нарушениями безопасности АСУ ТП, понесли значительные убытки.
Инциденты или бреши в безопасности, как правило, оказывают сильное негативное воздействие на прибыль компании. Достаточно вспомнить случай с прошлогодними массовыми атаками ExPetr. Тогда, по данным «Лаборатории Касперского», жертвами этого лжешифровальщика (который на самом деле оказался вайпером, уничтожавшим зашифрованные документы) в 50% случаев стали промышленные предприятия, работающие в критически важных отраслях. В худшем случае атаки могут причинить вред здоровью и жизни людей.
Зрелость отрасли невысока, но растет.
Зрелость в сегменте кибербезопасности АСУ ТП, в том числе организационная, остается невысокой. Однако угроза потенциального ущерба и юридической ответственности приводит к пересмотру приоритетов. Уровень зрелости быстро повышается, хотя отсутствие квалифицированных специалистов и недостаток взаимодействия между подразделениями выступают сдерживающими факторами.
Важность сотрудничества между ИТ-подразделением и специалистами по АСУ ТП.
Без совместной работы взаимосвязанных подразделений невозможно обеспечить кибербезопасность инфраструктуры, особенно промышленной. ИТ-отдел и специалисты по АСУ ТП оперируют различными процессами, инструментарием и терминами, а также имеют разные задачи. Однако по мере углубления интеграции производственных систем в общую ИТ-инфраструктуру предприятия их взаимодействие становится все более важным.
Чтобы понять, насколько это критично, можно вспомнить пример компании по очистке водопроводной воды, которая столкнулась с довольно серьезными последствиями именно из-за отсутствия координации действий и совместной работы между отделами. Инцидент произошел пару лет назад. Компания использовала устаревшее ПО, а за бесперебойное функционирование АСУ ТП отвечал всего один человек, ни один другой специалист в компании не имел доступа к этой системе. Хакеры воспользовались уязвимостью в системе удаленной оплаты счетов, предназначенной для клиентов компании, проникли сначала в корпоративную сеть, а затем в АСУ ТП, где смогли изменить настройки, регулирующие добавление различных химических элементов в воду. К счастью, аномалии в работе системы выявили с помощью второстепенных мер защиты.
Как же должно защищаться цифровое предприятие сегодня?
Во-первых, стоит обозначить, что информационная безопасность — это совокупность организационных и технических мер. Предприятиям необходимо разработать систему информационной безопасности, в которой будут взаимодействовать люди и технологии, относящиеся к различным подразделениям: ИТ, ИБ, АСУ ТП, физической безопасности и т.д. Методологический подход к созданию такой системы отражен в Приказе ФСТЭК России № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Во-вторых, необходимо исходить из того, что безопасность должна быть встроенной и начинаться с архитектуры решения на уровне как всего предприятия, так и локальных технологий, применяемых в ИТ и АСУ ТП. Например, многие разработчики систем автоматизации уже создают собственные безопасные архитектуры. Предприятиям необходимо более серьезно изучать их и учитывать при выборе концепции развития производства. Пример безопасной архитектуры представлен на рисунке 2.
В-третьих, уже при выборе и внедрении конечных технических решений необходимо проверить, надежна ли разработанная система информационной безопасности, оптимальна ли она с точки зрения внедрения и эксплуатации. Стоит на примере любой АСУ ТП пройти все стадии ее жизненного цикла, от проектирования до модернизации и вывода из эксплуатации, и понять, соответствует ли решение задачи требованиям бизнеса, поставщиков АСУ ТП и законодательства.
Мы проанализировали множество международных стандартов по информационной безопасности автоматизированных систем, концепций цифровых предприятий и российских требований к кибербезопасности и пришли к выводу, что защита АСУ ТП должна состоять из следующего набора минимально необходимых сертифицированных решений:
- системы взаимодействия с ГосСОПКА (IRM);
- системы сбора и анализа инцидентов (SIEM);
- системы межсетевого экранирования и сетевой защиты (FW, IPS, AntiAPT, криптошлюзы);
- системы анализа безопасности технологических процессов (NIC, DPI);
- системы защиты рабочих станций и серверов (AV, EPS, EDR);
- системы резервного копирования (Backup&Recovery);
- системы физической безопасности.
На рисунке 3 приведена обобщенная схема инфраструктуры предприятия. Отметим, что выбор решений уровней 3–4 чаще происходит на основе следующей последовательности приоритетов: соответствие нормативным требованиям (сертификация), функциональность, стоимость внедрения и владения, удобство эксплуатации. А для уровней 1–2 приоритеты меняются: совместимость с АСУ ТП, функциональность, сертификация, стоимость внедрения и владения, удобство эксплуатации.
Кроме того, критерий совместимости с АСУ ТП в ряде случаев соизмерим с совокупностью всех остальных. Так, например, вы можете выбрать функциональное, сертифицированное, дешевое и красивое решение по анализу трафика, но никто не позволит вам подключить его к АСУ ТП, так как это неизбежно будет связано с переконфигурированием коммутаторов в центре АСУ ТП (для зеркалирования трафика), что крайне негативно может сказаться на работоспособности самой АСУ ТП. Важно, чтобы разработчики и поставщики АСУ ТП могли внедрить ИБ-решения, поддерживать их и научить ими пользоваться.
Выводы
С развитием Индустрии 4.0 информационная безопасность становится такой же важной составляющей цифрового предприятия, как и система противоаварийной автоматики для автоматизированных систем опасных производств. Соответственно, в любых проектах по цифровизации необходимо предусматривать 2 вектора работ по информационной безопасности:
1) применять минимально необходимый перечень систем информационной безопасности, перечисленных выше;
2) работать с персоналом — в частности, повышать осведомленность сотрудников о правилах информационной безопасности (релевантно для всех сотрудников предприятия на всех его уровнях) и обеспечивать работу системы информационной безопасности силами специалистов, способных не только обслуживать и администрировать ее, но и своевременно выявлять кибератаки и противодействовать им.