Киберзащита – Журнал «Сибирская нефть»

Киберзащита

Промышленность готовится к новым рискам в эпоху цифровизации

Текст: Андрей Шуклин
Фото: Getty Images

Новые технологии несут не только новые возможности, но и риски. Обратная сторона цифровизации бизнеса, которая стоит на повестке дня крупнейших нефтегазовых компаний, — киберугрозы. И хотя существуют они уже достаточно давно — с тех пор как в промышленности стали использоваться компьютеры и компьютерные сети, — тотальный перевод бизнеса на цифровую платформу заметно повышает риски и утяжеляет возможные последствия. С какими угрозами сегодня сталкиваются предприятия отрасли и как готовятся их отражать?

По оценкам компании «СёрчИнформ», специализирующейся на обеспечении информационной безопасности, в 2017 году интерес кибермошенников и инсайдеров к промышленным компаниям заметно увеличился и продолжает расти. Внимание злоумышленников на протяжении уже нескольких лет привлекают как автоматизированные системы управления технологическими процессами (АСУТП), так и промышленный сегмент корпоративных сетей. Доступ к сетям позволяет получить важные данные, перехватить и продать техническую информацию. В свою очередь, взлом АСУТП не обязательно направлен на создание техногенной катастрофы или остановку предприятия. По мнению экспертов по информационной безопасности Марины Кротофил (FireEye) и Джейсона Ларсена (IOActive), киберпреступники могут быть заинтересованы в максимально незаметном вмешательстве в работу предприятия. Представьте себе, что в режимы работы оборудования химического или нефтеперерабатывающего производства вносятся небольшие изменения. В результате меняются характеристики выпускаемой продукции. Там, где чистота продукта или глубина переработки сырья — ключевые показатели эффективности, такое вмешательство может существенно отразиться на финансовых показателях предприятия или нанести ущерб репутации.

Поэтому обеспечение безопасности техно­логических процессов становится ­важнейшим вызовом, который приходит вместе с новыми цифровыми технологиями и уровнями автоматизации.

Точка входа

Исторически защищенность промышленных систем обеспечивалась путем физической изоляции. То есть для активации каких-то функций или изменения настроек необходимо было находиться в помещении за закрытой дверью и иметь доступ к терминалу. Новые уровни автоматизации подразумевают объединение корпоративных и промышленных сетей, а также автоматизированную передачу данных с промышленных объектов для централизованного анализа, поэтому у промышленных компаний возникает потребность в оценке рисков и дополнительной защите.

Эксперты отмечают: главный источник проблем заключается в том, что промышленные системы, включая АСУТП, подключаются к другим сетям, пусть даже опосредованно. В результате возникает риск взлома через традиционную корпоративную сеть. И здесь злоумышленники могут применять самые различные методы — от поиска уязвимостей в протоколах сетевого взаимодействия систем АСУТП до  социального инжиниринга Социальный инжиниринг — техники воздействия на социальную организацию для ее целенаправленного изменения. Как термин в области информационной безопасности, как правило, означает получение доступа к конфиденциальной информации (­например, ­получение паролей доступа к закрытым ресурсам) от самих пользователей с помощью уловок, основанных на механизмах ­человеческой психологии.  — для взлома компьютеров сотрудников.

По данным «Лаборатории Касперского», в 2017 году выросла доля атак простыми вирусами и червями на компьютеры, имеющие отношение к технологическим системам. «Эксплуатируя общеизвестные уязвимости, злоумышленники получали доступ к таким ответственным системам, даже не ставя перед собой подобных задач. Во втором полугодии прошлого года атаки вредоносным ПО фиксировались нашими системами защиты на 46,8% компьютеров, относящихся к технологической сети предприятий. Это пугающий фактор, который говорит о существенных рисках, связанных с недостаточным уровнем защиты сети и небрежным отношением работников к рискам», — говорит Антон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского».

На Украине в 2015 году хакеры уже проводили массированную атаку на энергетический сектор. Предприятие Прикарпатьеоблэнерго было атаковано троянской программой ­BlackEnergy, которая позволила получить доступ к критически важным системам управления через компьютеры ответственных лиц. Для этого применялись приемы социальной инженерии: сотрудникам направлялись специально подготовленные письма с зараженными документами. Как и в большинстве компаний, для удобства управления, контроля и мониторинга системы АСУТП были подключены к корпоративной сети. Архитекторы решения исходили из того, что общий корпоративный периметр достаточно защищен антивирусами, системами противодействия вторжениям и т. д. Но из-за того, что между корпоративным и технологическими сегментами сети не было реализовано никакого контроля доступа, злоумышленники получили возможность отключить потребителей и оставить без энерго­снабжения целый регион, пробравшись на компьютер лишь одного из сотрудников.

В прошлом году аналитики Deloitte выявили ключевые причины проблем, возникающих при выходе промышленных систем в режим онлайн. Среди них можно выделить распределенный характер процессов, которые охватывают подразделения в разных регионах (например, сбор и анализ данных сразу с нескольких месторождений), фрагментированную ответственность за без­опас­ность между IT и операционными службами, возможные задержки при передаче данных на брандмауэрах, разнящиеся стандарты кибербезопасности между разными подразделениями и подрядчиками. Кроме этого, начинает иметь значение нерегулярный выход «заплаток» без­опас­ности от производителей промышленных информационных систем, а также использование АСУТП с длительным жизненным циклом, средства безопасности в которых могли устареть или вообще отсутствуют.

Угрозы в ассортименте

Специалисты «Лаборатории Касперского» регу­лярно выявляют разнообразные уязвимости в компонентах АСУТП промышленных пред­прия­тий. Из года в год их количество ­меняется несильно, однако повсеместное подключение технологического сегмента к корпоративному увеличивает вероятность их использования. Как показало исследование, опасности таят в себе как сами системы, так и протоколы, интерфейсы управления систем для пользователя, сетевые устройства промышленного назначения и промежуточное ПО, связывающее разные сервисы и приложения.

Новый характер угроз связан с атаками через IoT-устройства (элементы промышленного интернета вещей). Число подключенных к сети датчиков, сенсоров, умных систем в промышленности стремительно растет, и хакеры получают все больше потенциальных лазеек для подключения к сети.

«Особенность конечных устройств интернета вещей состоит в том, что у них небольшая производительность и встроить в них системы защиты, в том числе и взаимной аутентификации и шифрования трафика, трудно, — рассказывает Дмитрий Костров, директор по информационной безопасности SAP CIS. — Для производителей дешевле и быстрее выпустить на рынок новый незащищенный продукт. И многие производители систем для умных домов, кофеварок, станков, датчиков по измерению температуры, объемов газа и прочего оборудования так и действуют».

Атаки на подобные устройства заключаются во взломе этих систем и в поиске уязвимостей в отказоустойчивости. В теории миллион ­умных кофеварок со всего мира может быть взломан и использован для DDos-атак. Однако из-за малой производительности самих датчиков они не очень интересны хакерам — на них не запустишь какие-то мощные вирусы.

В случае с промышленным интернетом вещей киберпреступники могут взломать и подменить какие-то показатели — например, текущую температуру или влажность на производстве, — что может вызвать неисправности или поломки или даже представлять угрозу для жизни работников.

«К сожалению, публично о кибератаках на промышленный интернет вещей никто не говорит, все списывают на человеческий фактор, — рассказывает Дмитрий Костров. — Единственный недавно озвученный пример был приведен на конференции по кибербезопасности Сбербанка. Герман Греф рассказал о звонке известного врача из Новосибирска, который, по его мнению, стал свидетелем кибератаки на врачебное оборудование во время проведения операции на мозге 14-летней девочки — все приборы управления, датчики были отключены. Со слов руководителя Сбербанка, они отправили на помощь свою команду кибербезопасности, которая определила специально созданный для атаки на медицинские устройства и учреждения вирус Purgen».

Иными словами, у злоумышленников есть возможности атаковать предприятия с самых разных сторон. Потеря контроля над технологическими процессами, помехи в каналах связи и сбои в работе оборудования, подмена данных с умных объектов, поступающих в режиме реального времени, — все это входит в список рисков, связанных с кибербезопасностью.

Кроме техногенных угроз, связанных с нарушением работы АСУТП, нефтегазовые компании сталкиваются и с другими опасностями, которые также влияют на эффективность операционной деятельности и могут привести к убыткам различного рода.

Здесь стоит упомянуть заражение вредоносным ПО, которое не имеет целью кражу конкретных данных или вмешательство в процессы управления предприятием, но нанесенный урон при этом может оказаться не менее серьезным. Так, в результате атаки червя Petyaв 2017 году пострадало несколько российских и зарубежных нефтяных компаний. Вирус шифровал данные на жестких дисках компьютеров и требовал выкуп за расшифровку. Ранее — в 2012 году — вирус Shamoon уничтожил данные на 30 тыс. компьютеров в нефтяной компании Saudi Aramco.

Еще один тип угроз исходит от недобросовестных сотрудников, которые могут вступать в сделки с кибермошенниками. Цифровая модель работы открывает таким злоумышленникам новые возможности: они могут получить данные или даже полноценный доступ к системам АСУТП, что увеличивает вероятность слива конфиденциальной информации и опасность продажи реквизитов доступа на черном рынке.

Другой, более экзотический сценарий — использование ресурсов компании для майнинга криптовалют. Например, в конце 2017 года в СМИ широко обсуждались крупные скандалы, когда было обнаружено, что сотрудники «Транснефти» и аэропорта Внуково добывали криптоденьги на служебном оборудовании, нагружая вычислительные мощности и сети и создавая тем самым угрозу нормальной работе бизнес-систем. Кстати, вычислить майнинг изнутри оказывается намного сложнее, чем обнаружить заражение систем вирусом-майнером. Последний также составляет немалую угрозу — по данным «Лаборатории Касперского», в отдельные периоды подобные вирусы заражали свыше 3% связанных с АСУТП систем.

«Главной угрозой пока остается человеческий фактор, — отмечает директор по безопасности „СёрчИнформ“ Иван Бируля. — Сотрудники должны осознавать свою ответственность и риски, которые могут возникать в их работе с цифровыми системами. Сегодня между автоматизированными процессами на производстве появляются промежуточные звенья, которые задействуют продукты сторонней разработки, и часто это облачные решения. На деле получается, что злоумышленник реактор не перезапустит, зато вполне сможет перехватить отчеты о важных процессах, которые сотрудник передал через небезопасный канал или отправил в облако».

Сергей Овчинников
Сергей Овчинников,
руководитель департамента систем управления блока логистики, переработки и сбыта «Газпром нефти»:

Одна из основных идей Индустрии 4.0 заключается в том, что повышение эффективности возможно за счет сквозной интеграции между информационными системами нескольких производственных предприятий, логистических и сбытовых активов, а также с информационными системами клиентов.

Переход к открытым стандартам построения производственных информационных систем не только дает колоссальные преимущества, но и влечет за собой повышенные требования к кибербезопасности. Нельзя сказать, что та или иная современная технология сама по себе более или менее кибербезопасна при внедрении — для каждого вида угрозы есть средство защиты, вопрос исключительно в соотношении компетенций подразделения кибербез­опасности компании, компетенций потенциальных злоумышленников и размера потенциального ущерба, ради которого атака может быть предпринята.

Например, сейчас мы реализуем проект «Умная логистика» на базе нашего битумного бизнеса. Этот проект подразумевает интеграцию в единую сквозную цепочку производства битума, доставки продукции сторонними транспортными компаниями и потребителей. То есть в единую цепь соединяются процессы компаний трех типов. Проектирование такого решения потребовало от нас по-новому взглянуть на возможные киберугрозы. Мы изучили и учли мировой опыт, который был накоп­лен в ходе эксплуатации систем, спроектированных для работы в условиях угроз публичных сетей. Думаю, что ранее подобный опыт редко принимался во внимание промышленными компаниями с максимальной закрытостью корпоративных и технологических сетей.

Осознанный риск

Рост разнообразия киберугроз и нарастающая цифровизация заставляют промышленные предприятия задумываться об укреплении общей системы безопасности. Руководитель направления информационной безопасности крупнейшего российского системного интегратора КРОК Андрей Заикин отмечает, что вопросы обеспечения защиты информации в последнее время появляются во всех проектах модернизации АСУТП и систем технологического управления. Если еще 5 лет назад заказчики считали информационную безопасность чем-то абстрактным и не относящимся к АСУТП, то сейчас в каждом таком проекте есть отдельный раздел, посвященный именно защите.

Появление таких законов, как 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», говорит о том, что о защите индустриальных объектов от кибератак задумались и на государственном уровне. Требования закона предписывают компаниям создавать свои ситуационные центры, вести мониторинг инцидентов и отчитываться перед контролирующими органами через Государственную систему обнаружения, пред­упре­жде­ния и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

По результатам глобального исследования PricewaterhouseCoopers, в прошлом году в компаниях нефтегазового сектора по всему миру было выявлено на 30% меньше инцидентов в области информационной безопасности, чем годом ранее. При этом снижение рисков показали именно те организации, которые на протяжении трех последних лет увеличивали бюджеты на обеспечение комплексной кибербезопасности. 62% опрошенных, как выяснилось, добились достаточной защищенности своих частных облаков и благодаря этому переносят туда не только маркетинг или поддержку продаж, но также операционную деятельность — на это решились уже 33% организаций. Часть нефтегазовых компаний используют также облачный подход к управлению кибербезопасностью, со­здавая единый уровень распределенного контроля для предотвращения потери данных мониторинга и аналитики, а также аутентификации пользователей.

Фото: Getty Images

Нередко новые бреши обнаруживаются при обновлении оборудования, внедрении новых протоколов и даже установке новых версий инженерных программ. Стремясь обезопасить себя от таких угроз, компании переходят от ауди­та раз в полгода к ежемесячной оценке рисков и уязвимостей для всего набора ПО, использующегося в компании. Также компании внедряют комплексные решения для постоянного мониторинга рисков вместе с новейшими методиками аутентификации, средствами автоматического реагирования на инциденты и обучением сотрудников, имеющих доступ к критически важным информационным системам.

Как отмечает начальник управления промышленной автоматизации блока логистики, переработки и сбыта «Газпром нефти» Вадим Стариков, в нефтепереработке АСУТП проектируются в соответствии с жесткими требованиями, которые не допускают никаких вольностей, поскольку эти системы управляют сложными непрерывными технологическими процессами на опасных производственных объектах. И внедрение любых новых решений также происходит в соответствии с этими требованиями, от которых не отступают.

«При любом развитии АСУТП мы не выходим за пределы технологической управляющей сети, изолированной от корпоративных сетей, не выводим управление процессом за рамки этой сети, не допускаем незащищенных подключений к АСУТП никаких сторонних внешних систем, — поясняет Вадим Стариков. — АСУТП взаимодействуют с корпоративными сетями только через защищенные подключения, и технические решения, обеспечивающие безопасность таких подключений, — главная тема всех проектов по информационной безопасности АСУТП».

При этом никакие дополнительные программно-аппаратные модули, повышающие уровень автоматизации, не размещаются вне управляющей технологической сети данной системы. И самое главное — в каждом проекте обязательно есть раздел по информационной безопасности, в котором детально рассматривается модель угроз для данной конкретной конфигурации системы и разрабатываются меры по защите от этих угроз. «Защита АСУТП, конечно, развивается и совершенствуется, но это в большей степени связано с ростом компетенций злоумышленников и появлением новых технологий для организации кибератак, чем с тем, что в защите АСУТП при внедрении новых решений появляются новые дыры», — подчеркивает ­специалист.

ЧИТАЙТЕ ТАКЖЕ