По данным исследования «Лаборатории Касперского», во втором полугодии 2022-го большинство кибератак приходилось именно на предприятия критической информационной инфраструктуры (КИИ). В 38,5% случаев хакеры атаковали объекты энергетики, в 29,6% — производства, а в 28,1% — предприятия нефтегазового сектора. Кроме того, претерпел изменения ландшафт киберугроз: атаками начали заниматься не только профессиональные взломщики, но и хактивисты — хакеры-активисты, которые пытаются таким путем затруднять работу систем организаций. Высокий уровень угроз заставляет российские предприятия пересматривать парадигму построения кибербезопасности. «РБК Тренды» обсудил с генеральным директором «Кросс технолоджис» Евгением Чугуновым, какие киберугрозы особенно актуальны для предприятий критической инфраструктуры и как с ними бороться.
АО «Кросс технолоджис» работает в области комплексных систем автоматизации и обеспечения информационной безопасности на базе решений ведущих производителей. Компания осуществляет системную интеграцию в области IT и информационной безопасности, разрабатывает комплексные решения по автоматизации технологических и бизнес-процессов, включая проектирование ЦОДов, сетей передачи данных, информационно-вычислительных комплексов, а также предлагает услуги по контролю и защите конфиденциальной информации.
— Что собой представляют объекты критической инфраструктуры и почему важно обеспечить безопасность их работы?
— Объекты критической информационной инфраструктуры — госорганы и госучреждения, а также российские компании, которые обеспечивают жизнедеятельность страны в важнейших сферах. К этим сферам относятся здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, а также оборонная, атомная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Таким образом, это может быть как маленькая ТЭЦ, так и большой нефтеперерабатывающий завод. Нарушение их работы повлечет за собой как минимум финансовый ущерб для государства, а как максимум — физический: пожары, аварии, отключение электричества, блокировка трафика.
Основная угроза для такого предприятия в отличие от коммерческого — это остановка процессов или полный вывод из строя объекта. Атакующие обычно действуют не с целью промышленного шпионажа, чтобы заполучить технологии или документацию ради извлечения выгоды. Их цели другие. Например, злоумышленники путем атаки на промышленное предприятие могут остановить технологические процессы. А атака на банк опасна потенциальной остановкой финансовых операций.
Объекты критической инфраструктуры вносятся в специальный реестр с определенным уровнем значимости. Этот процесс в нормативном плане контролирует Федеральная служба по техническому и экспортному контролю (ФСТЭК), а его проверкой занимается ФСБ. Рекомендации ФСТЭК и ФСБ предусматривают различные организационные меры, а также требования по внедрению средств защиты на предприятиях в зависимости от уровня критичности объектов. Другие ведомства, в том числе Минцифры и Минэкономразвития, также выделяют средства и специалистов для консультаций предприятий по вопросам кибербезопасности. Кроме того, существуют отраслевые регуляторы (например, в случае с банками это ЦБ), которые предъявляют к объектам свои требования.
В России все объекты критической инфраструктуры обязаны регистрироваться в реестре. И для них это выступает дополнительной мотивацией для модернизации систем защиты, так как нарушения при проверках грозят серьезной ответственностью.
— Как меняются ландшафт и вектор кибератак на объекты критической инфраструктуры?
— Часто встречаемый вектор атак на предприятия КИИ сейчас — это атаки с использованием интернета. В 2022 году 39,5% компьютеров АСУ были атакованы вредоносным ПО. Благодаря повышению уровня безопасности на предприятиях КИИ количество атак с подключением к внутренним сетям успешно минимизируется, и их объектом становится телекоммуникационное оборудование, которое связано с интернетом. Халатность, отсутствие контроля и мер безопасности (несвоевременные обновления паролей и т.д.) позволяют находить бреши в таком оборудовании и нарушать его функционирование. Кроме того, иногда предприятия пренебрегают использованием защищенных каналов связи и используют обычные, которые легко можно использовать для перехвата данных или их изменения.
Как правило, злоумышленники проникают в сеть предприятий через подключенные к ней периферийные устройства (камеры видеонаблюдения, точки доступа Wi-Fi и др.) либо взламывают корпоративные сети через смартфоны сотрудников, которые подключены уже к внутренней сети.
Более сложные атаки сопровождаются методами социальной инженерии, подкупом сотрудников, внедрением вируса через внешние носители.
Также выросли угрозы физических атак, в том числе с использованием коммерческих беспилотников. Совместно с «Лабораторией Касперского» мы отрабатываем методологию защиты промышленных предприятий. Работа ведется и с ГКРЧ (Госкомиссией по радиочастотам), в частности чтобы выделялись соответствующие частоты для развития системы «свой — чужой».
— Как контролировать внешний периметр объекта КИИ и можно ли его изолировать?
— Особое внимание при обеспечении защиты предприятия стоит обратить именно на внешний периметр. Поскольку даже на АЭС с замкнутыми контурами управления используются корпоративные сети, почта и они не защищены до конца. При отсутствии контроля даже кратковременный доступ в открытую Сеть с такого предприятия позволит злоумышленникам внедрить вирус-шифровальщик или провести таргетированную атаку, чтобы получить данные о внутренних процессах.
Основная защита периметра осуществляется за счет контроля технологической сети, поскольку она не такая динамично развивающаяся, как корпоративная, но атаки на нее несут гораздо больше рисков. Нужно внедрять контроль команд, использовать средства защиты информации, которые обеспечивают этот контроль и блокируют подключение неизвестных устройств. Также требуется организовать управление SCADA-системами, перенос информации и прочие процедуры, для чего требуются однонаправленные файерволы. В целом эти задачи решают комплексные системы кибербезопасности, которые обеспечивают защиту на всех уровнях, начиная от контроля аномалий в технологическом процессе и до внедрения SIEM-систем (Security Information and Event Management), которые будут отслеживать все инциденты безопасности в рамках объекта КИИ как в технологической, так и в корпоративной сети. Примером такой системы выступает Kaspersky Unified Monitoring and Analysis Platform, которая объединяет решения «Лаборатории Касперского» и продукты сторонних поставщиков в единую экосистему. Решение позволяет сотрудникам отдела кибербезопасности отслеживать все события в сети и реагировать на инциденты.
Комплексную защиту основных компонентов систем автоматизации и управления производством способно обеспечить решение Kaspersky Industrial CyberSecurity (KICS). KICS представляет собой специализированную XDR-платформу, предоставляющую расширенные возможности по обнаружению, расследованию и реагированию на киберинциденты в рамках всей промышленной инфраструктуры. XDR-платформа состоит из двух взаимодополняющих компоненто: KICS for Nodes и KICS for Networks. KICS for Nodes защищает промышленные узлы от киберугроз разной степени сложности, которые могут быть вызваны человеческим фактором, вредоносным ПО, целевыми атаками и действиями хактивистов. KICS for Networks выявляет аномалии и вторжения в АСУ ТП на ранних этапах и обеспечивает необходимые контрмеры для предотвращения ущерба технологическим процессам. Решения Kaspersky Industrial CyberSecurity сертифицированы вендорами АСУ ТП и не влияют на непрерывность технологического процесса.
— Как импортозамещение ПО сказывается на процессе защиты от киберугроз?
— Тренд на импортонезависимость лишь улучшает ситуацию, поскольку российское программное обеспечение сертифицировано в соответствии с законодательством. Проблемы возникают со SCADA-системами, программируемыми логическими контроллерами, системами управления и иным инженерным софтом. Я считаю, что к 2025 году возможно заместить весь софт, который используется объектами КИИ. В наши дни технологии внедряют в процессы предприятий гораздо быстрее: если раньше проработка технологии и ее замена занимала пять—семь лет, а решение вопросов безопасности три года, то сейчас перестраивание процессов происходит за год. Этому способствуют законодательные инициативы, финансирование отрасли, а также зрелость отечественных вендоров сферы информационной безопасности.
— Как вы оцениваете готовность субъектов КИИ к противостоянию кибератакам?
— Пока не все предприятия озаботились этим вопросом, однако многие уже начали задумываться о защите. Основные крупные объекты выстроили системы безопасности, но большая часть малых объектов испытывает с этим проблемы. Иногда вопрос упирается в финансирование.
Нужно учитывать, что объекты КИИ в последний год подвергаются атакам постоянно, причем даже те, у которых ранее уровень киберугроз был нулевым. Гигантскую нагрузку испытывают банки, СМИ, объекты энергетики и другие организации. Если не обеспечивать кибербезопасность объектов КИИ сейчас, то процессы будут останавливаться и даже откатываться назад. Как компания, работающая в этой сфере, мы готовы совместно с регуляторами оказывать поддержку таким предприятиям.
Комплексный экосистемный подход способен обеспечить кибербезопасность на всех уровнях. Kaspersky OT CyberSecurity — это единая концепция промышленной кибербезопасности во главе с центральным компонентом — индустриальной XDR-платформой. Решение объединяет в себе три компонента экосистемного подхода: технологии, знания и экспертизу. Это сочетание протестированных вендорами АСУ ТП защитных технологий, специализированных решений для промышленных инфраструктур, актуальной информации об угрозах и аналитики уязвимостей АСУ ТП. Целостную и взаимосвязанную систему промышленной кибербезопасности дополняют специализированные тренинги и экспертные сервисы.
Реклама, АО «Кросс технолоджис»