Цифровая угроза для промышленности: отражение кибератак

Цифровизация предприятий увеличивает их эффективность и производительность, с одной стороны, но с другой — повышает риски кибератак и вероятность реализации недопустимых событий. В связи с этим на протяжении последних лет объекты промышленности входят в число лидеров по количеству киберинцидентов. Чем опасно проникновение злоумышленников в цифровой периметр производства, как этого избежать и кто поможет предприятиям решить эти проблемы в ситуации дефицита специалистов по информационной безопасности?

Сложность в том, что у предприятий есть два вида сетей - корпоративная и промышленная, и защищать их нужно разными инструментами, потому что протоколы передачи данных в этих сетях разные, как и конечные устройства. В первом случае это компьютеры и ноутбуки, во втором - датчики, станки и другое оборудование. Вторжение в корпоративную сеть может повлечь потерю данных, их шифрование, парализацию офисной части предприятия. Последствия проникновения в промышленную сеть отражаются непосредственно на производстве: от нарушения технологического процесса до полной остановки. Как правило, вмешательство в производство - это недопустимое событие для предприятия, а иногда и для отрасли, и для государства. и не всегда это только финансовые или репутационные потери.

Представим, что злоумышленники остановили или нарушили работу ТЭЦ или атомной станции. Последствия могут быть катастрофическими и повлечь человеческие жертвы. Как правило, такие организации относятся к объектам критической информационной инфраструктуры. Средства защиты промышленных сетей созданы с учетом этой специфики. Персонал предприятия может длительное время оставаться в неведении, что в их технологические процессы кто-то вмешался.

Согласно исследованиям вендора Positive Technologies, злоумышленник может незаметно находиться в сети до 200 дней. Как это происходит? Преступник получает доступ к компьютеру рядового сотрудника и выжидает удобного случая, чтобы получить больше информации. Возможно, владельцу учетной записи будет отправлено фишинговое письмо, или на его компьютере свой пароль введет администратор, и так злоумышленник сможет расширить свои права. Однако сотрудники предприятий не сразу замечают и довольно активные действия хакеров.

Промышленники столкнулись с серьезным вызовом: они должны перейти не просто внедрить российские средства защиты информации, но и пересаживать на отечественные решения все производство. Среди специфических промышленных инструментов можно выделить:

- Kaspersky Industrial CyberSecurity for Networks – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Kaspersky Industrial CyberSecurity for Networks анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети. Программа входит в состав решения Kaspersky Industrial CyberSecurity. Это такой антивирус, но не для компьютера, а для промышленной сети.
PT ISIM — программно-аппаратный комплекс глубокого анализа технологического трафика. Обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства.

Межсетевые экраны UserGate, “Код безопасности”, Инфотекс. Это средство, которое является универсальным и используется как для корпоративной, так и для промышленной сети. Такой инструмент располагается на границе этих сетей. В некоторых организациях до сих пор используется зарубежное решение от CheckPoint, но от него постепенно отказываются.

SIEM-система. SIEM представляет собой улучшенную систему обнаружения вредоносной активности и различных системных аномалий. Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. SIEM может использоваться и используется и для защиты корпоративной сети.

У Инфотекса, Инфовотч, UserGate есть комплексные решения для защиты промышленных предприятий. Линейка продуктов закрывает до 80% требований регуляторов в отношении безопасности промышленных объектов. Вендоры стремятся создать свою экосистему, чтобы взять на себя все задачи по защите предприятий.

А есть ли специалисты?

Дефицит квалифицированных кадров распространяется на все отрасли.

По данным главы HeadHunter, требуется порядка 30 000 человек. Эту проблему можно частично решить с помощью сложных высокотехнологичных средств защиты. Многолетний опыт и экспертиза вендора вкладывается в продукт, который возьмет на себя часть ручного труда. Задача сотрудников - научиться пользоваться этими продуктами, потому что покупка любого, даже самого современного решения ляжет мертвым грузом без настройки и умения проводить аналитику. Высококвалифицированные кадры не менее важны, чем сложные продукты. Однако ИБ-решение поможет снизить нагрузку на It-отдел, чтобы вместо армии айтишников, в компании было два-три человека, которые владеют соответствующей экспертизой. Процесс должен быть выстроен грамотно со всех сторон: качественный продукт от вендора, квалифицированное внедрение от интегратора, понимание специфики работы продукта уже в компании. Если в компании нет специалистов, их можно взять на аутсорс у тех же вендора или системного интегратора.