Информационная безопасность: защита от киберугроз на производстве
Цифровизация производства уже принесла большую пользу во многих отраслях, в том числе и в нефтегазовой промышленности. Однако у этого процесса есть и оборотная сторона — предприятия, активно внедряющие новые технологии, в то же время становятся мишенью для кибератак. И это ставит перед компаниями и разработчиками задачи по обеспечению информационной безопасности.
Кибербезопасность в нефтегазе: в погоне за лидерами
Кибератаки возникли не вчера, уже несколько десятилетий идёт борьба между хакерами и производителями средств защиты. Добывающие предприятия включились в эту гонку вооружений относительно поздно.
Долгое время отрасль не сталкивалась с серьёзными киберугрозами, по сравнению с теми же банками, а залогом информационной безопасности считали свою удалённость. Например, компьютерные системы на буровых станциях разрабатывали на основе теории «изолированной сети», в рамках которой подразумевалось, что сотни километров расстояния и физические барьеры создают естественную защиту от кибератаки.
Понятно, что в наши дни, когда предприятия активно переходят на технологии «Индустрии 4.0», этот подход безнадёжно устарел. Ещё в 2017 году международное агентство «Делойт» в отчёте «Интегрированный подход к управлению киберрисками: обеспечение безопасности операционной деятельности в нефтегазовом секторе» отмечали отставание добывающих компаний от других отраслей.
В частности, промышленные системы управления не учитывали таких рисков, как возможность удалённого доступа и подключения по корпоративной сети. Кроме этого, приоритеты операционных систем в нефтедобывающей отрасли расставлены в пользу доступности, а не целостности и конфиденциальности данных, отмечали в исследовании эксперты «Делойт».
Инженеры на производстве опасались, что ужесточение информационной безопасности могло привести к задержке при обработке данных в системах управления. А в тех случаях, когда существуют жёсткие требования по времени, это негативно сказывается на принятии решений.
Однако чрезмерная открытость с каждым годом несёт всё более серьёзные риски для бизнеса.
Это хорошо понимают и в руководстве российских нефтегазовых компаний. Поэтому с момента выхода отчёта «Делойт» ситуация заметно изменилась. Инвестиции в современные средства защиты и перестройка производственных процессов положительным образом сказались на информационной безопасности предприятий. Впрочем, проблемы всё равно остаются.
К тому же нужно понимать, что в современном киберпространстве никто не может чувствовать себя в безопасности на 100%.
Защищаем цифровой контур: с чего начать?
Итак, мы решили защититься от киберугроз. С чего начать? Практически на каждом персональном компьютере сейчас установлен антивирус. Однако для защиты данных целой компании, которую целенаправленно атакуют хакеры, этого недостаточно.
«Нужно понимать, что обеспечение информационной безопасности — это комплексное мероприятие. Это не значит, что купили антивирус, развернули и решили, что у нас всё хорошо. Здесь очень важно построить мощную эшелонированную систему. Понятно, что это не даёт стопроцентной защиты.
Но все эти эшелоны защиты требуют на своё преодоление какое-то время. Соответственно, чем больше эшелонов и препятствий, тем дольше злоумышленник будет находится в вашей сети, и больше шансов, что вы его увидите, так как он будет оставлять следы», — рассказал в своём выступлении на онлайн-конференции «DIGITAL MINING & METALLURGY Online Conf: Решения для интеллектуальной добычи и металлургии» начальник отдела обеспечения безопасности информационных систем ООО «ЕВРАЗ» Андрей Нуйкин.
Работа начинается с базовых настроек в Windows, продолжает эксперт. Эти операционные системы сами по себе имеют элементы, позволяющие повысить общий уровень безопасности.
«По умолчанию они настроены не очень хорошо, но если углубиться, то можно значительно усложнить злоумышленникам жизнь. Самое простое — это количество хранимых в кэше логинов и паролей. В Windows по умолчанию стоит 10.
Это означает, что, если злоумышленник проникнет в машину, он получает сразу 10 логинов и паролей. И там практически со стопроцентной вероятностью есть логин и пароль привилегированного пользователя. Снизив это значение до одного или двух, вы значительно сокращаете возможности для взлома», — отмечает Андрей Нуйкин.
Защита предприятия от киберугроз должна начинаться уже на стадии внедрения новых программных продуктов. И здесь между отделом ИБ (информационной безопасности) и разработчиками нередко возникают разногласия. У последних свои показатели, и один из главных — это скорость внедрения.
В этой ситуации вопросы безопасности отодвигают на второй план, из-за чего впоследствии могут возникнуть проблемы с работой того или иного сервиса. В связи с этим Андрей Нуйкин предлагает включать в проектные команды специалистов по ИБ, чтобы эти вопросы решали уже на стадии разработки.
SOC — решение для информационной безопасности
Впрочем, просто выявить угрозу недостаточно. Как показывает практика, это не всегда является гарантией защиты от проникновения злоумышленников. Главная причина — в нерасторопной работе системы безопасности и неполном анализе данных.
«В 7% случаев собственники вообще не получали оповещение от систем безопасности. Ещё 44% оповещений не анализируют потому, что для качественной отработки всех инцидентов нужна очень точная система мониторинга и достаточно квалифицированный штат персонала.
Из тех, что были проанализированы, только в 46% были приняты меры, а в 54% нет. То есть даже используя в компании систему информационной безопасности, мы рискуем пропустить достаточно серьёзную атаку и предоставить доступ злоумышленникам к нашей операционную системе.
При этом 28% оповещений связано с реальной угрозой», — привёл данные в своём выступлении на онлайн-конференции «DIGITAL MINING & METALLURGY Online Conf: Решения для интеллектуальной добычи и металлургии» руководитель по развитию продаж в отрасли «Промышленность» Angara Technologies Group Всеволод Ивлеев.
То есть скорость реакции приобретает решающее значение. И если в небольших компаниях добиться этого проще, то в крупных холдингах не обойтись без средств автоматизации. В данном случае, это создание SOC (Security Operations Center, или центра обеспечения безопасности), который сочетает в себе технологии и команду экспертов.
Система начинает работать, когда появляется нарушитель, стремящийся получить доступ к информации. Он может быть как внешним, так и внутренним, то есть кем-то из сотрудников. Далее происходит оценка, и если «электронный мозг» сочтёт это событие подозрительным, то информация будет передана аналитику центра, который решает, ложное это срабатывание или позитивное.
Периодически происходит дообучение модели, для того чтобы искусственный интеллект в дальнейшем прекращал подобные атаки в автоматическом режиме.
«Да, в любой организации есть специалисты по информационной безопасности, но они привыкли работать с угрозами, которые актуальны в их отрасли. А SOC за счёт того, что покрывает много отраслей, даёт лучшую экспертизу.
Второе — это скорость реакции. Решения аналитики быстро трансформируются в конкретные меры либо на вашей инфраструктуре, либо на инфраструктуре SOC.
А скорость выявления и реакции — это то, что может спасти организацию от непоправимого урона», — рассказал на онлайн-встрече «Киберзащита: как бизнесу ответить на вызовы нового времени» руководитель по развитию коммерческого SOС ПАО «Мегафон» Владимир Зуев.
Компания может как создать собственный SOC, так и использовать готовое решение на рынке. Впрочем, первый вариант подходит для крупных компаний, так как требует серьёзных капитальных вложений.
В случае с коммерческим SOC у заказчиков возникают опасения относительно того, что их данные будут находится у операторов. Впрочем, есть решения, при которых всё программное обеспечение будет находится в зоне клиента, а центр киберустойчивости будет получать только события от ЦОДа, анализировать их и работать с ними по выделенному каналу.
Также возможен гибридный сценарий, когда у заказчика размещается часть компонентов, но основные мощности и аналитика — у исполнителя, который располагает профессиональными вычислительными мощностями, отметил Всеволод Ивлеев.
Наконец, есть возможность использовать облачные хранилища, однако здесь приходится сталкиваться с теми же психологическими проблемами. Некоторые собственники бизнеса не хотят, чтобы вычисления происходили за пределами их организации.
Ахиллесова пята — человеческий фактор
Впрочем, создать полностью защищённый цифровой контур предприятия — пока несбыточная мечта для специалистов по ИБ. У злоумышленников всё равно остаются шансы проникнуть внутрь системы, зачастую по вине самих сотрудников.
«Можно внедрить самые мощные и продвинутые системы защиты, но у вас всегда остается слабое звено — это пользователи. Всё равно найдётся вирус, который ещё никто не знает, он попадёт к пользователю, и тот с большой долей вероятности откроет письмо, кликнет на ссылку», — отмечает Андрей Нуйкин.
При этом уязвимости возникают обычно не из-за злого умысла, а скорее, из-за незнания и невнимательности. Поэтому важной задачей для специалистов по ИБ является работа со своими пользователями, включающая обучение, рассылку бюллетеней по информационной безопасности и даже учебные атаки.
«Самый популярный способ получить данные — фишинговые атаки через сотрудников. И не только через рассылки на e-mail, человек может принести заражённые флешки, поэтому нужно контролировать, что втыкают в рабочий компьютер.
Работа с цифровой гигиеной сотрудников всегда была must have, а сейчас особенно», — отметил на онлайн-встрече «Киберзащита: как бизнесу ответить на вызовы нового времени» руководитель по облачным платформам и инфраструктурным решениям ПАО «Мегафон» Александр Осипов.
Впрочем, не стоит забывать и о чисто технических аспектах защиты персональных компьютеров сотрудников.
«Любое взаимодействие пользователя с ресурсом, которое подразумевает, что часть информации обрабатывается на компьютере пользователя, — это риск. Помнить о безопасности персональных рабочих мест, домашних компьютеров, домашних сетей.
Сейчас дорогие маршрутизаторы имеют встроенные функции сетевых экранов, кто-то даже встраивает сигнатурный базовый анализ, чтобы на рабочем компьютере не подгружались скрипты и не осуществлялось какое-то двойное использование ресурсов», — рассказывает Владимир Зуев.
«Те, кто экономил на киберзащите, делали это зря»
Резюмируя, можно сказать, что российские нефтегазовые компании за последние несколько лет серьёзно продвинулись в деле обеспечения информационной безопасности. И эта работа была проведена вовремя.
«После начала спецоперации мы видим рост числа атак, их интенсивности и мощности. Если говорить об атаках, которые действительно могут повредить инфраструктуре, то их стало больше почти в 10 раз — это значительная цифра.
При этом сейчас мы имеем статистику только DDoS-атак, но хакеры могут действовать и не так заметно, взламывая инфраструктуру, отправляя фишинговые письма. Если хакер получил доступ, но не требует выкупа, мы можем этого и не увидеть, если не стоит определённых средств защиты информации.
Поэтому мы не понимаем объём заражённых устройств и инфраструктур. Но в любом случае, сейчас все, кто экономил на кибербезопасности, поняли, что делали это зря», — рассказал Александр Осипов.
Примечательно, что изменилось не только количество, но и качество и даже цели хакерских атак. Так, среди злоумышленников очень много так называемых хакактивистов, которые действуют из идейных и политических соображений, а не с целью получения прибыли.
Их целью являются не коммерческие тайны и эксклюзивные технологии, а, например, подмена главной страницы сайта крупной компании или госучреждения, чтобы показать какое-то сообщение. Многие из них принимают участие и в массовых DDoS-атаках.
Кроме этого, массовый исход западных IT-компаний не обошёл стороной и кибербезопасность. Например, больше не работают в России Fortinet, Avast, NortonLifeLock Inc. Встаёт вопрос, как компаниям защищаться в новых условиях. Надо отметить, что оценки происходящего разнятся.
Так, Александр Осипов считает, что с точки зрения информационной безопасности Россия чувствует себя очень хорошо. В первую очередь благодаря наличию большого количества профессионалов, которые не только обслуживали, но и разрабатывали комплексы решений. А значит, отечественные IT-компании смогут заменить решения ушедших компаний.
Впрочем, не все настроены столь оптимистично.
«После того, как зарубежные компании вроде Fortinet ушли, у многих компаний устройства «окирпичились». А на что менять, непонятно. Мы бы и рады взять отечественные аналоги, но по большинству направлений нет полноценной российской замены. Конечно, есть вариант уходить в облачные сервисы, но в России исторически все старались держать свои данные поближе к себе.
И крайне неохотно шли к облачным сервисам, как зарубежным, так и отечественным. Вторая проблема — многие отечественные вендоры решили заработать на этой ситуации и после февраля резко подняли цены.
Кроме этого, исторически сложилось, что наши разработчики брали какие-то OpenSourse-вещи (программное обеспечение с открытым исходным кодом), заворачивали в красивую или не очень обёртку, получали какие-то сертификаты и продавали как некое российское решение.
Хотя в глубине оставался тот же самый OpenSoursе. И здесь тоже возникает много вопросов: и по поддержке, и по уязвимостям», — считает Андрей Нуйкин.
Ну и наконец, нельзя забывать, что российские вендоры используют аппаратную часть иностранного производства. И даже в Китае купить необходимое оборудование не так-то просто из-за логистических проблем. Впрочем, эта проблема общая для всей IT-отрасли, равно как и усилившаяся «утечка мозгов».
Киберзащита в России останется без «мозгов»?
Впрочем, и до 24 февраля в сфере кибербезопасности ситуация с кадрами в отрасли была напряжённой.
«Есть исследование IBM, что в России не хорошая ситуация со специалистами по информационной безопасности. В среднем пять тысяч специалистов, профилированных на информационную безопасность, в год выпускают вузы, а потребность растёт от года, и сейчас она составляет где-то 20 тысяч специалистов», — рассказывал ещё до начала спецоперации Всеволод Ивлеев.
На эту ситуацию после начала спецоперации наложилось такое явление, как бегство «айтишников» из России. Ещё в конце марта Российская ассоциация электронных коммуникаций (РАЭК) сообщала о 50–70 тысячах уехавших IT-специалистов. При этом ожидалось, что в ближайшее время страну покинут ещё 70–100 тысяч человек.
Для того чтобы удержать кадры, правительство РФ пошло на беспрецедентные меры поддержки отрасли. Среди них — обнуление налога на прибыль сроком на 3 года, отмена плановых проверок, выдача льготных кредитов по ставке не выше 3% и грантов на создание отечественного ПО.
Для самих специалистов предусматривались ипотека под 5% и отсрочка от армии на время работы ИТ-компании. В результате цифра уехавших «айтишников» за первое полугодие была скорректирована до 40 тысяч. Такие данные привела ассоциация компаний-разработчиков программного обеспечения «Руссофт».
Впрочем, в общем потоке покинувших страну «айтишников» доля специалистов по ИБ не так велика, отметили в компании «Информзащита», отвечая на вопросы «Коммерсанта». Связано, это с тем, что кибербезопасность — закрытая отрасль, и в сегодняшних реалиях за рубежом будут настороженно относиться к специалистам из России, считают эксперты.
На вопрос, так ли это, пока нет точного ответа. В то же время проблему дефицита кадров в отрасли может усугубить указ президента РФ от 1 мая о дополнительных мерах по обеспечению информационной безопасности.
В нём говорится о том, что госорганы, госкомпании, стратегические и системообразующие организации, а также владельцы критической информационной инфраструктуры должны выделить в своей структуре специальные подразделения по обеспечению кибербезопасности либо привлечь лицензированного подрядчика. Это вызовет появление 30 тысяч дополнительных вакансий специалистов по ИБ, пишет РБК ссылаясь на сервис HeadHunter.
И хотя ряд экспертов полагают, что большинство организаций, попадающих под действие указа, уже имеют в штате таких работников, дефицита кадров это не отменяет. И это не та проблема, которую можно решить быстро.
Впрочем, в этих условиях есть место и позитивным процессам. Речь идёт, в частности, о консолидации профессионального сообщества.
«Раньше российский кибербез был разообщён, а сейчас появляются общие чаты, переписки по отраслям. Конечно, сложно рассказывать о том, что является чувствительными данными, которые может использовать хакер для атаки. Но тем не менее поддержка и обмен информацией для того, чтобы совместно противостоять наплыву атак, присутствуют», — отметил Александр Осипов.
Подводя итоги, признаем, что российские нефтегазовые компании вовремя озаботились информационной безопасностью. Резкий рост атак после 24 февраля не привёл к фатальным последствиям. Но если бы предприятия сектора встретились с подобными вызовами несколько лет назад, урон, скорее всего, был бы больше.
Если говорить о перспективах, то российский кибербез оказался в противоречивой ситуации. Оптимисты считают, что уход западных конкурентов и рост атак приведут к быстрому росту уровня отечественного ПО, а местные компании смогут не только занять пустующие ниши, но и выйти на новый уровень. Но нельзя забывать, что эти задачи им придётся решать в условиях кадрового дефицита и нехватки комплектующих.
Текст: Андрей Халбашкеев
