IT ExpertКак это сделатьВ помощь руководителю

Инфобез в промышленности: нетипичные проблемы, типовые решения

Жамиля Каменева | 07.07.2020

Инфобез в промышленности: нетипичные проблемы, типовые решения

До недавнего времени о защите промышленных ИТ-систем мало кто задумывался – они считались практически неуязвимыми из-за физической изолированности. Но ситуация изменилась после атаки Stuxnet на иранские центрифуги для обогащения урана. Сами системы также стали другими – появились технологии индустриального «Интернета вещей» и прочие современные решения: на производстве внедряется множество готовых коммерческих ИТ-продуктов, а человечество гораздо сильнее зависит от сбоев в управляющей технологическими процессами инфраструктуре. Все это привело к появлению угроз, которые еще 10 лет назад нельзя было даже представить.

Модель угроз

Направленные на крупные предприятия целевые атаки перешли из разряда рассказанных на отраслевых конференциях страшилок в практическую плоскость. В 2014 году хакеры взломали сайт разработчика видеоплеера и через зараженное обновление внедрили вредоносный код на компьютер центра управления АЭС в японском городе Мондзю. В итоге конфиденциальная информация была передана на внешний узел. Можно вспомнить и более опасные инциденты. Годом позже была атакована украинская энергосистема, в результате более 80 тыс. потребителей остались без электропитания. Пострадали не только частные абоненты, но и объекты критической инфраструктуры, включая больницы и различные предприятия. Проблемы из-за кибервойн испытывала также энергосистема Венесуэлы, а в Германии злоумышленникам удалось вывести из строя домну, получив несанкционированный доступ к системам управления (АСУТП) и диспетчеризации (SCADA).

«Особенность обеспечения информационной безопасности промышленных предприятий состоит в наличии специфических проблем Industrial Security, помимо классических “офисных”. В первую очередь это необходимость защиты систем автоматизированного управления производственными процессами. Зачастую такие системы попадают и в значимые объекты КИИ (критической информационной инфраструктуры) в соответствии с 187-ФЗ», — комментирует Михаил Стюгин, руководитель направления «Информационная безопасность» фонда «Сколково».

В процессе цифровизации производства приходится настраивать интеграцию промышленных систем автоматизации с системами управления предприятием. Доступная ранее только для внутреннего пользования инфраструктура приоткрывается – и в нее устремляются хакеры. Векторы угроз можно разделить на две основныекатегории: утечки конфиденциальных данных и сбои в технологических процессах из-за отказов ИТ-систем. Последние обходятся очень дорого, поскольку производственный цикл не всегда корректно восстанавливается после аварийной остановки. Атаки злоумышленников могут привести к порче заготовок, поломкам оборудования, перерывам в оказании сервиса, экологическим катастрофам и даже к гибели людей.

Серьезность ситуации усугубляется длительным жизненным циклом промышленных решений: к примеру, в некоторых АСУТП и SCADA до сих пор используются неподдерживаемые ОС Windows 98/XP/NT и другие уязвимые продукты. Благодаря этому злоумышленники могут перехватывать управление незащищенными контроллерами и другим оборудованием в сети или, скажем, заниматься промышленным шпионажем. В последнее время многократно увеличилось количество атак, нацеленных на загрузку пользователями вредоносного ПО. Night Dragon, Duqu, Shamoon, Flame, Gauss — таков далеко не полный список последователей печально знаменитого Stuxnet.

«Наиболее популярное до сих пор решение проблемы — полное изолирование контура критических сетей и сетей, имеющих доступ в Интернет. Особенность изменения ландшафта угроз связана с тем, что предприятия стали открывать “наружу” какие-то сервисы, которые раньше были только для внутреннего использования. Также наблюдается смещение по некоторым типичным атакам, например многократное увеличение объема фишинговых писем», — продолжает Михаил Стюгин.

Состояние обороны

Корпоративные специалисты по информационной безопасности больше сосредоточены на защите связанной с управлением «офисной» ИТ-инфраструктуры и плохо представляют себе специфические проблемы промышленной автоматизации. Как правило, они мало знакомы с архитектурой и особенностями эксплуатации подобных решений, а инженеры АСУТП и SCADA далеки от сферы ИБ — в условиях постоянно увеличивающегося количества угроз это создает серьезные риски. В зависимости от потенциальных последствий технических сбоев и успешных атак промышленные ИТ-системы могут попасть в перечень значимых объектов критической информационной инфраструктуры, то есть добавляются еще и требования регуляторов. Все это происходит на фоне удручающего состояния систем обеспечения информационной безопасности на производстве.

На многих предприятиях процедуры управления инцидентами безопасности отсутствуют, а также не внедрены системы обнаружения и предотвращения внешних вторжений. Не проводятся аудит состояния информационной безопасности и анализ защищенности комплексов АСУТП и SCADA, нет ответственных за безопасность сотрудников, не хватает квалифицированных специалистов по эксплуатации — многие проблемы возникают из-за случайных ошибок операторов, а не по причине злонамеренных действий хакеров. Базовые требования безопасности в промышленных системах зачастую не выполняются: в большинстве их компонентов не настроена аутентификация (в лучшем случае используются пароли по умолчанию), а занимающиеся эксплуатацией специалисты из-за боязни сбоев не устанавливают критические обновления ПО.

Физическая изоляция по-прежнему остается основным методом защиты технологических сетей передачи данных, АСУТП и SCADA, однако несовершенство подобного подхода становится все более очевидным. Постоянно ускоряющаяся цифровизация производства требует обмена данными между технологическими и офисными сегментами ИТ-инфраструктуры, а значит, игнорировать проблему уже невозможно. Процесс перестройки, что называется, пошел. Разработчики решений в сфере промтехавтоматизации уделяют больше внимания защите от несанкционированного доступа, используя надежные протоколы и методы шифрования. Начался постепенный отказ от устаревших неподдерживаемых ИТ-решений, а самое главное — темой заинтересовались работающие в сфере информационной безопасности вендоры и крупные системные интеграторы.

Рекомендации

Сейчас на рынке доступно множество специализированных продуктов и услуг для защиты систем автоматизации и диспетчеризации в промышленности. Надежно закрыть от злоумышленников производственную часть ИТ-инфраструктуры при желании можно, если руководство предприятия готово понести определенные затраты. Создание комплексной системы безопасности традиционно начинается с аудита. Необходимо идентифицировать и классифицировать имеющиеся активы, проанализировать историю инцидентов, провести тесты на проникновение и в конечном итоге оценить риски. После сбора и анализа исходных данных можно будет определить модель угроз и перейти к выбору адекватных средств защиты от них.

Собственных ресурсов предприятий обычно недостаточно для реализации сложных проектов в сфере информационной безопасности на производстве. Даже индустриальным гигантам с развитыми ИТ-департаментами задача может оказаться не по зубам, а у игроков помельче просто нет необходимых компетенций. Лучше всего привлечь работающего в этой сфере системного интегратора, способного обеспечить должный уровень услуг в соответствии с лучшими отраслевыми практиками — от проведения аудита до внедрения и сопровождения технических средств. Также имеет смысл отбирать команды и продукты из участников акселераторов стартапов для промышленности, такие программы проводят, в частности, фонд «Сколково» и ряд крупных системных интеграторов. В этом случае заказчик – промышленное предприятие – может получить сервис или продукт, оптимизированный под конкретные задачи или отрасль, при этом стоимость внедрения и владения может быть ниже, чем у глобальных вендоров систем ИБ.

Важно понимать, что построение системы безопасности — не разовый проект, а непрерывный процесс, который не может быть завершен.

информационная безопасность, Цифровизация

Журнал: Журнал IT-Expert [№ 06/2020], Подписка на журналы

Об авторах

Жамиля Каменева

Жамиля Каменева

Директор по развитию Инновационного центра Ай-Теко.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

А что IT? А мы работаем, совершенствуемся в популярных технологиях и осваиваемся в новых. И пока до Луны ближе, чем до создания искусственного интеллекта, без работы мы не останемся.
«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
Слушания в Конгрессе США, вызов на ковер руководителей Google, FB, Apple, Amazon. Мысли по итогам прочтения стенограммы.

Компании сообщают

Мероприятия

10.09.2020
IT Management Forum 2020

Москва, Новоданиловская наб., д. 6, отель Palmira Business Club

23.09.2020 — 24.09.2020
Форум Индустриальной Роботизации

Санкт-Петербург, Чернорецкий пер. 4-6

28.09.2020 — 29.09.2020
Профессиональная мобильная радиосвязь, спутниковая связь и навигация

Москва, Холидей Инн Москва Лесная

29.09.2020 — 02.10.2020
SMART INDUSTRY EXPO

Минск, Футбольный манеж

30.09.2020
IT в ретейле: Я - легенда.

Москва, Холидей Инн Москва Лесная

27.10.2020 — 29.10.2020
HI-TECH BUILDING 2020

Москва, Крокус Экспо