Николай Неплюев об информационной безопасности промышленных предприятий
Николай Владимирович Неплюев: кибератаки становятся основной угрозой системе управления предприятий
Эволюция методов кибер-взломов автоматизированной системы управления промышленного предприятия приводит к повышенному вниманию со стороны руководства к политике информационной безопасности. О том, что заставляет специалистов и менеджмент уделять особое внимание защите АСУ ТП, рассказывает Николай Владимирович Неплюев, экономист и частный эксперт по финансам.
«Понятие кибер-рисков теснейшим образом связано с защитой автоматизированной системы управления технологического процесса на предприятиях (АСУ ТП).
Первые АСУ появились в те времена, когда в промышленность постепенно начала внедряться вычислительная техника, то есть во второй половине прошлого века. В СССР, например, об АСУ задумывались ещё тогда, когда кибернетика в целом как наука была в опале. Несмотря на довольно сильное бюрократическое сопротивление со стороны партийных чинов высочайшего уровня, первая советская АСУ «Львов» была введена в эксплуатацию на Львовском телевизионном заводе «Электрон».
Вторая масштабная АСУ «Кунцево», спроектированная для решения как можно большего количества задач на предприятиях приборо- и машиностроительных отраслей промышленности, к сожалению, была введена частично. Однако документные наработки этого проекта грандиозны: они опередили своё время лет на 20 — 25 и смогли реализоваться только на первых компьютерах системы IBM.
Я неслучайно заостряю внимание на истории создания АСУ ТП. Дело в том, что советские учёные изначально осознавали функциональную значимость комплексных систем, обеспечивающих информационную безопасность на заводах с интеграцией задач автоматизированного проектирования новой продукции (САПР), технологической подготовкой производства (АСПП), автоматизацией испытательного цикла готовых изделий и автоматизацией организационного управления предприятием (АСУП). Фактически многие наработки того времени стали прототипами для современных ERP-систем, к одной из важных задач которых относится как раз кибер-защита данных на промышленном предприятии.
Конечно, со времён СССР АСУ ТП совершили серьёзный технологический скачок, но в их основе до сих пор лежит идея автоматизированного машинного процесса под контролем человека. Именно поэтому все системы подобного рода строятся на базе отказоустойчивой, надёжной вычислительной техники последнего поколения.
Вопрос серьёзности использования АСУ ТП в деле предотвращения хакерских атак не стоит преуменьшать. Поскольку именно в последнее десятилетие заметно не только количественное увеличение атак, но и, если можно так выразиться, «качественное». Злоумышленники выбирают своей целью крупнейшие стратегические предприятия самых разных стран, выведение из строя которых способно принести ущерб миллионам людей (это не говоря уже о больших финансовых потерях).
Приведу в пример лишь самые масштабные случаи атак киберпреступников:
— В сентябре 2010 года вирус Stuxnet, используя уязвимости операционной системы и так называемый «человеческий фактор», нанёс серьёзный ущерб иранской ядерной программе — было поражено 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорваны сроки запуска ядерной АЭС в Бушере.
— В 2012 году появился вирус Flame, который в числе прочего атаковал множество промышленных и государственных объектов из разных стран. К примеру, этот вирус атаковал нефтепром в Иране, а сильнее всего от последствий его действий пострадала экономика Китая и Индии.
— В декабре 2017 года было обнаружено семейство вирусов Triton, атаковавших ряд нефтехимических предприятий в Саудовской Аравии. Успешное внедрение Triton позволяло удалённо контролировать и управлять системой безопасности определённого предприятия.
— Летом 2018 года американская компания Symantec обнаружила следы довольно крупной хакерской атаки из Китая на компании-операторы спутников и телекоммуникационных предприятий, а также на предприятия оборонных подрядчиков в США и странах Юго-Восточной Азии.
Это примеры довольно крупных международных хакерских атак, со взломом важных стратегических объектов разных стран. В реальности ежедневно во всём мире происходит тысячи значимых кибератак на предприятия практически всех отраслей хозяйства. Аналитики Positive Technologies, компании, специализирующейся на разработке инновационных решений в сфере информационной безопасности, провели не так давно специальное исследование, выяснив, что по сравнению с 2019 году число опасных кибер-инцидентов на промышленных предприятиях выросло на 91%. При этом семь из десяти нападений носили целенаправленный характер, а основная часть атак приходится на программы-вымогатели типа RansomExx, Netwalker, Clop, Maze, Ragnar Locker, LockBit, DoppelPaymer, а также Snake, который перед началом шифрования удаляет теневые копии и позволяет в принудительном порядке останавливать значимые процессы любого АСУ ТП».
Николай Неплюев о классификации кибер-угроз на промышленных предприятиях и защите АСУ ТП
Анализируя данные исследования по количеству уязвимостей в системе безопасности управления промышленных предприятий, Николай Неплюев, экономист и частный эксперт по инвестициям, рассказывает о классификации кибер-угроз и о том, какие продукты по их предотвращению есть на мировом рынке сегодня.
«Нужно понимать, что хакерские атаки на информационные системы промышленных предприятий происходят ежедневно: любая АСУ ТП так или иначе рассматривается как цель для потенциального взлома. Имеющиеся в АСУ уязвимости повышают риски кибератаки: злоумышленники могут получить полноценный и неограниченный доступ к сети всего предприятия в целом, включая SCADA (программный пакет диспетчерского управления и сбора данных) и другим критически важным компонентам.
Свежее исследование компании InfoWatch ARMA, отечественного производителя информационных систем безопасности, показывает, что не менее 4 245 устройств АСУ, данные о которых размещены в интернете, уязвимы для атак извне. Из них не менее 2000 АСУ представляют собой открытое коммутационное оборудование, на 500 устройствах подобного типа не настроена правильная авторизация, а в системе более 700 устройств обнаруживаются критические уязвимости.
В целом среди наиболее рискованных для АСУ выделяются три типа кибер-угроз:
— Угрозы антропогенного характера.
— Угрозы техногенного характера.
— Угрозы несанкционированного взлома.
К техногенным угрозам относятся факторы физического воздействия на элементы АСУ ТП. К антропогенным — все действия людей, которые занимаются обслуживанием АСУ (преднамеренные или непреднамеренные, это в том числе ошибки персонала, воздействие окружающей среды и т. д.). Случаи несанкционированного доступа возможны при условии подключения элементов АСУ к локальной вычислительной системе предприятия, то есть — при совместимости промышленной сети с корпоративной.
Среди уязвимостей при несанкционированных взломах особое внимание на себя обращают те, которые связаны с управлением доступа к АСУ. Зачастую это уязвимости в настройках пользовательских привилегий, в механизмах аутентификации и авторизации. Особые проблемы связаны с реализацией криптографических задач, поскольку именно взлом ненадёжных криптоалгоритмов позволяет злоумышленникам перехватить контроль над трафиком различных АСУ ТП.
Технические специалисты и эксперты по промышленной безопасности различных предприятий прекрасно осознают все риски кибератак. В их анализе меры по эффективному предотвращению угроз связаны с цифровой конвергенцией систем информационных технологий и систем безопасности. В частности, будущее за интеграцией в систему управления промышленного интернета вещей (IIoT), интеллектуальных датчиков, мониторингом данных и диспетчерских систем в режиме реального времени.
Мировой рынок продуктов информационной безопасности для АСУ ТП строго сегментирован. Сегодня тут представлены различные решения, помогающие:
— Обнаружить сетевые аномалии и оперативно среагировать на инциденты, информировать о них руководство.
— Разделить крупные сети на более мелкие подсети с целью более эффективного мониторинга.
— Защитить конечные точки управления.
— Установить оптимальное под производственные задачи ПО, которое гарантирует общую кибербезопасность предприятия.
Стоит отметить, что российский рынок защиты АСУ ТП от несанкционированных взломов обособлен от мирового в силу обязательств по исполнению требований Федеральной службы по техническому и экспортному контролю (ФСТЭК) и необходимостью взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА)».
Николай Неплюев о роли руководства и совета директоров в информационной защите промышленного предприятия
По мнению Николая Неплюева, экономиста и частного эксперта по инвестициям, руководство должно активно участвовать в деле формирования информационной безопасности предприятия.
«Ответственность за отслеживание и управление кибер-рисками на предприятии в конечном счёте лежит всё же на высшем руководстве и на членах совета директоров. Поскольку именно этим людям придётся доказывать в случае серьёзного инцидента, что они вложились по максимуму в информационную безопасность АСУ ТП.
Основная цель эффективного менеджмента заключается в снижении рисков несанкционированного доступа злоумышленников в систему управления предприятием. Для этого к вопросу защиты АСУ нужно подходить комплексно, учитывая не только финансовые, но и стратегические последствия вложений в цифровую безопасность. На практике это касается прежде всего разработки программ по снижению вероятностей кибер-рисков, оптимизации защитных мер уже существующей системы безопасности, а также — одобрения политики приоритета инвестиций в программы, связанные с такого рода угрозами.
Над разработкой программы снижения кибер-рисков должна работать профессиональная команда, с включёнными в неё специалистами IT- и юридического департаментов, отдела PR/корпоративных коммуникаций, отдела управления рисками, а также представителями высшего руководства и членов союза правления.
В самой программе необходимо подробным образом прописать план действий в кризисной ситуации реагирования на инциденты безопасности конкретного предприятия.
На операционном уровне руководство предприятия должно провести полноценный аудит, собрать данные о методах сбора и использования данных системы информационной безопасности. Если в сбор сведений вовлечены третьи лица, к примеру, представители аналитических и консалтинговых компаний, то с ними нужно подписать договор о соблюдении строгих правовых и нормативных обязательств, вплоть о неразглашении информации.
К слову, Центральный Банк РФ в 2019 году опубликовал официальное письмо со своими рекомендациями по участию членов совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления рисками информационной безопасности любой организации (в том числе и промышленного предприятия).
В этом письме также подробно расписаны действия, помогающие руководству минимизировать риски кибер-угроз. В частности, предлагается разработать внутренние документы, которые определяют вопросы внедрения новых информационных технологий с учётом целей и задач конкретной организации. В то же время ЦБ РФ рекомендует определить периодичность предоставления отчётов команды, занимающейся созданием системы управления информационными технологиями.
В целом руководство промышленного предприятия должно понимать, что ограничиться единичными, точечными мерами обеспечения информационной безопасности не получится. Для эффективного предотвращения кибер-атак работать над защитой АСУ ТП нужно в постоянном режиме, не жалея ни финансовых, ни трудовых ресурсов».