Цифровизация промышленности, безусловно, повышает эффективность производства, однако она имеет и оборотную сторону: злоумышленникам для нанесения вреда вовсе не обязательно даже приближаться к конкретному заводу или фабрике: получив удаленный доступ к управляющим производственными процессами контроллерам, можно нарушить их работу или вовсе остановить.
Число атак на промышленную инфраструктуру, в том числе относящуюся к критической, перебои работы которой несут явную угрозу жизни и здоровью людей, растет.
Один из последних примеров — атака на одного из крупнейших американских операторов трубопроводов — компанию Colonial Pipeline. Ее результат — остановка прокачки топлива, что стало причиной для введения режима чрезвычайного положения в четырех штатах США. При этом вредоносная программа проникла в ИТ-систему компании, зашифровала критические для работы данные и остановила бизнес-процессы, а дальше сотрудникам компании уже пришлось отключить ряд OT-систем (ОТ — операционные технологии), которые зависят от остановленных ИТ-систем, а также чтобы не допустить распространение программы-вымогателя в производственный сектор. В итоге работа по перекачке бензина, солярки, мазута как топлива для домохозяйств и прочего была остановлена. Возобновление работы произошло спустя пять дней после начала атаки. При этом компании пришлось заплатить хакерам выкуп в криптовалюте в размере, эквивалентном пяти миллионам долларов.
По мнению специалистов Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky ICS CERT), исторически промышленные компании обеспечивали безопасность промышленной инфраструктуры за счет «воздушного зазора» между ИТ-средой, в которой работают бухгалтерия, продажи и прочие офисные подразделения компании, и OT-средой, в которой располагаются автоматизированные системы управления технологическим процессом (АСУ ТП). Обычно ОТ не имела связи с глобальной сетью, работая обособленно.
Однако процесс цифровизации промышленных компаний постепенно уменьшает этот «воздушный зазор», две среды начинают соприкасаться, что позволяет злоумышленникам, атаковав офисную ИТ-систему компании, добираться до систем управления производством. Впрочем, не исключен и риск случайного заражения АСУ ТП вредоносным ПО через те же флешки или фишинговые письма. Как не исключено и то, что управляющая производством система может быть атакована целенаправленно.
В своем обзоре ICS CERT «Лаборатории Касперского» фиксирует, что за первое полугодие 2021-го доля компьютеров АСУ, на которых было обнаружено вредоносное ПО, во всем мире составила 33,8%. Это на 0,4 п. п. больше, чем во втором полугодии 2020 года.
В России же в течение первого полугодия этого года вредоносное ПО было обнаружено хотя бы один раз на 39,4% компьютеров в составе систем управления производственными процессами. Это на 4,8 п. п. больше, чем во втором полугодии 2020 года, и на 7,2 п. п. больше, чем в первом полугодии. Основные источники проникновения вредоносного ПО в компьютеры технологической инфраструктуры — интернет, съемные носители и электронная почта. Наибольшее число атак исходит из интернета. При этом в России доля компьютеров АСУ, на которых были заблокированы угрозы из интернета, значительно вырос — на 6,7 п. п. Это привело к тому, что наша страна здесь вышла на первое место в мире.
Наиболее часто атакам в России подвергаются предприятия машиностроения — на 53,7% компьютеров АСУ в этой отрасли были обнаружены и заблокированы вредоносные объекты. В энергетике этот показатель составил 43,2%, в нефтегазовом секторе — 38,8%.
В целом в первом полугодии 2021 года защитными решениями «Лаборатории Касперского» на системах промышленной автоматизации было заблокировано более 20 тыс. модификаций вредоносного ПО из 5150 различных семейств.
«Эксперт» обсудил проблему защиты промышленности с директором экспертного центра по промышленной кибербезопасности «Лаборатории Касперского» Антоном Шипулиным.
— Как вы оцениваете уровень защиты промышленных предприятий и критической инфраструктуры в стране?
— Защита недостаточная. Мы видим, что большая часть промышленных предприятий и сетей легкодоступны. Мы два раза в год проводим исследования по результатам наших измерений и видим, что порядка сорока процентов систем, которые защищены нашими средствами, фиксируют обнаружение вредоносного кода.
Хочу отметить, что большая часть этого вредоносного программного обеспечения туда попадает, не имея цели атаковать промышленные предприятия. И добирается через классические источники: почту, интернет, флешки. О чем это говорит? Если даже нецеленаправленные атаки добираются до технологического сегмента, вы сами можете представить, что может сделать более компетентный атакующий.
— А целенаправленных атак становится больше?
— Это мы тоже замечаем. Например, за два месяца «Лаборатория Касперского» предотвратила более ста целевых BEC-атак (Business Email Compromise) на российские компании в самых разных отраслях, среди которых авиаперевозки и промышленность.
BEC — это атака, при которой злоумышленники начинают переписку с сотрудником компании с целью завоевать его доверие и убедить выполнить действия, идущие во вред интересам компании или ее клиентам. Одна такая успешная атака может привести к многомиллионному ущербу для компании.
— Как я понимаю, велика роль человеческого фактора в том, что вредоносные программы проникают в сети.
— Без человеческого фактора никуда, да. Низкий уровень грамотности специалистов по вопросам кибербезопасности, низкая дисциплина информационной безопасности людей, которые работают в технологических сегментах.
Эти технологические сегменты годами не обращали внимания на проблему информационной безопасности, думали, что их это не коснется, что у них все системы изолированы. Но прогресс делал свое дело, и эти системы подключались к внешним источникам. Они стали настолько же уязвимы, как ИТ-сегменты.
Но ИТ-сегменты давно занимаются вопросами безопасности, а промышленные сегменты — нет. Их защита находится на уровне защиты ИТ-сегмента, какой она была десять лет назад.
— У предприятия есть две системы: одна просто ИТ, а вторая — производственная. Шлюз между ними существует, и проблема безопасности….
— Это условное деление. Есть процессы производственные, есть процессы офисные. И по-хорошему они должны быть отделены. Но наши аудиты и тесты на проникновение показывают, что иногда бывает так, что в одной сети находятся и бухгалтерия, и производство. И атакующий может легко дойти от одной рабочей станции до другого сетевого устройства, в том числе до контроллера.
По логике, конечно, нужно отделять сегменты друг от друга. Нужно делать управление потоками, фильтрацию потоков, мониторинг и анализ трафика.
В России существует законодательство по поводу безопасности промышленной критической инфраструктуры, которое диктует в том числе правильное сегментирование сетей, и многие другие требования по технической безопасности.
— Если все это прописано, то почему не делается?
— В законодательстве прописано, что необходимо идентифицировать объекты критической инфраструктуры, подать эту информацию регулятору, который присвоит объекту критической инфраструктуры категорию важности, и затем на основании этого строить систему защиты. Но даже это не делается.
Сейчас активно пытаются стимулировать: проверки, штрафы… К сожалению, многие промышленные предприятия не хотят присваивать себе высокие уровни важности объектов критической инфраструктуры, потому что это требует значительных затрат.
— В чем российская специфика в части обеспечения производственной безопасности, безопасности критической инфраструктуры?
— У нас есть закон «О безопасности критической информационной структуры РФ». Регулирование довольно жесткое, но, к сожалению, исполнение этого регулирования и контроль за ним пока не очень хороши.
— «Лаборатория Касперского» делает и распространяет продукты для защиты промышленных предприятий, критической инфраструктуры. Я так понимаю, что вы не единственные, кто этим занимается. Чем вы лучше других?
— Мы частная компания с 24-летним опытом в кибербезопасности. Наша компания начинала как антивирусная. Более десяти лет назад она начала расширять набор сервисов. Это не только антивирус, не только защита рабочих станций. Это сетевая защита, тренинги по повышению уровня цифровой грамотности, система онлайн-голосования и многое другое.
Наше преимущество в том, что мы предоставляем большой спектр технологий и сервисов, которые могут покрыть различные потребности предприятия. Взять, например, крупные промышленные предприятия, у которых есть и офисные сегменты, и технологические сегменты. Так вот, мы можем построить им единую среду на базе наших технологий, защищая офисный сегмент, технологическую сеть, контроллеры, рабочие станции в технологическом сегменте, в том числе обеспечивая их правильными сервисами, учитывающими специфику технологических сегментов.
Так или иначе, все наши продукты в своих категориях имеют конкурентов. Но у нас нет конкурентов, которые имеют такой широкий спектр продуктов, интегрированных между собой, которые позволяют заказчику бесшовно закрыть его потребности.
Технологический сегмент предъявляет очень жесткие требования: нужно не навредить. Защищая активы этого сегмента, нужно не создать им больше проблем. И задача как раз так настроить и так сделать средство защиты, чтобы оно само не становилось угрозой. Мы это сделали, этим и отличаемся от других ИТ-решений, используемых в технологическом сегменте.
— С этим продуктом вы выходите на внешние рынки?
— Мы продвигаем наши продукты во всех странах, где у нас имеются офисы и где мы ведем бизнес. Это буквально весь мир.
По ряду причин сейчас бизнес в Соединенных Штатах у нас меньше. Там введены ограничения на работу с госорганами. Но мы продолжаем работать в Северной Америке, в Канаде активно. Наши самые фокусные рынки — это Европа, Азия, Ближний Восток, Латинская Америка.
— В продажах доля российского и иностранных рынков как соотносятся?
— Большая часть, где-то девяносто процентов — это Россия и Европа.
Наиболее часто атакам в России подвергаются предприятия машиностроения — на 53,7% компьютеров АСУ в этой отрасли были обнаружены и
заблокированы вредоносные объекты. В энергетике этот показатель составил 43,2%, в нефтегазовом секторе — 38,8%
— А если брать российский рынок, наши предприятия чаще выбирают российский продукт или иностранный?
— Смотрите: «российский», «не российский» — это диктует сейчас геополитическая ситуация и регулирование. У нас активно идет импортозамещение, если не на деле, то на словах. Люди осмысливают риски: если я сейчас инвестирую в иностранное, то меня потом заставят это поменять, зачем мне эти проблемы с регуляторами, лучше я сразу попробую найти что-то российское. Поэтому на российском рынке нет иностранных конкурентов, с которыми нам приходится серьезно драться за клиентов на других рынках. Тут господствуют наши, российские производители. А среди них доминируем мы.
— Какой эффект получает тот, кто использует ваш продукт для защиты своей промышленной инфраструктуры?
— Мы в прошлом и позапрошлом годах провели исследования вместе с компанией «Форестер» и с нашими заказчиками, которые используют наши решения, чтобы подсчитать общий экономический эффект от наших решений. Показатель ROI (Return of Investment) для использования нашего решения для мониторинга сети составил 135 процентов. ROI от использования KICS (Kaspersky Industrial CyberSecurity) for Networks составил 368 процентов. Наши решения помогли сократить ущерб от простоев промышленного оборудования более чем в три раза.
— Сейчас много говорят о закладках на уровне элементно-компонентной базы, закладках в операционных системах. Этот риск вы осознаете?
— Мы осознаем. И учитывая нашу международную направленность, стараемся поддерживать различные операционные системы, различное аппаратное обеспечение, для того чтобы у заказчика, у которого есть недоверие, был выбор.
Сейчас многие стараются не делать явных закладок, а делать ошибки в коде, которые позволяют осуществить удаленный доступ. Всегда можно сказать, что это было некачественное программирование, а не злой умысел.
Как показывает практика, иногда обнаруженные иностранными спецслужбами уязвимости не публикуются, производители о них не оповещаются. Многие уязвимости оставляются ими для своего использования. Они находят такую уязвимость и превращают ее в некий бэкдор для себя.