16+
Регистрация
РУС ENG
Расширенный поиск
http://www.eprussia.ru/epr/321-322/9836900.htm
Газета "Энергетика и промышленность России" | № 13-14 (321-322) июль 2017 года

Стоит ли кричать «караул»?

Информационные технологии Елена БЕХМЕТЬЕВА
Андрей Суворов

Кибератаки перестали быть чем‑то из ряда вон выходящим, а кибер-инциденты вошли в число главных угроз для бизнеса.

По данным «Лаборатории Касперского», полученным на основании внутренней статистики об угрозах для бизнес-пользователей за первые шесть месяцев 2016 г., каждый корпоративный компьютер в России подвергается в среднем девяти атакам вредоносного программного обеспечения за полгода.

Кстати, в аналогичном периоде годом ранее этот показатель был в два раза меньше. По словам директора по развитию направления безопасности критической инфраструктуры «Лаборатории Касперского» Андрея Суворова, для снижения рисков от кибератак необходимо поднимать грамотность персонала компаний – сегодня она находится на достаточно низком уровне.



Стереотипы не работают

– На отечественных заводах работают квалифицированные инженерные кадры, но с точки зрения кибергигиены они в отстающих. Банальная мера для повышения грамотности в этом вопросе, а следовательно, и уровня защищенности – изготовление постеров с советами на тему, чего не нужно делать операторам, ведь до сих пор множество историй инфицирования начинается с зарядки телефона от компьютера, который находится в контуре АСУ ТП, – комментирует Андрей Суворов. – Мы проводим тренинги для инженерного состава – не путайте с IT-персоналом, обучаем сотрудников крупнейших компаний, в том числе работающих в сфере энергетики, и видим: зачастую специалисты не ознакомлены даже с достаточно тривиальными сценариями возможных кибератак на промышленные объекты.

Бытует мнение, что АСУ ТП работает в замкнутом контуре, и потому все, что там происходит – сугубо внутренняя история. Более того – многие до сих пор убеждены, что системы промышленной автоматизации и все, что связано с производственными процессами – безопасно. Однако эти стереотипы больше не работают.

– Проблематика промышленной безопасности – зона ответственности не только IT-директора, это вопрос бизнес-устойчивости компании, вопрос нового типа бизнес-рисков, – уточнил эксперт. – Жизненный цикл промышленной системы известен: в центре находится контроллер – очень важное устройство, которое преобразует сигналы от дорогого физического оборудования, а оно, между прочим, может управляться при помощи так называемой анонимной клавиатуры. Что интересно: последние 20‑25 лет, даже несмотря на наступление новой эпохи – четвертой промышленной революции, эти устройства тестируются практически на все, что можно, например, на устойчивость к низким и высоким температурам, но почему‑то никто не тестирует их на вероятность умышленного вывода из строя из‑за кибератаки.

С августа 2016 г., «Лаборатория Касперского» идентифицировала более 80 уязвимостей нулевого дня – это ранее неизвестные уязвимости, которые эксплуатируются злоумышленниками в сетевых атаках. Даже одна уязвимость нулевого дня для контроллера может стать фатальной для промышленной компании – безусловно, об этом нужно помнить. Эксперт советует сфокусировать внимание, как минимум, на трех факторах:

– Во-первых, если мы говорим о промышленной системе, о контуре производства, очень важно обеспечить непрерывность процесса. Если же речь идет о защите офисных или корпоративных систем, которые работают без связки с производственным оборудованием, важно обеспечить приватность и защиту данных. Таким образом, у компаний, обеспечивающих защиту офисных и промышленных систем, совершенно разные приоритеты. Во-вторых, нужно обязательно учитывать, что средствами киберзащиты, предусмотренными для компьютеров, серверов и смартфонов, нельзя защитить контроллеры или индустриальный протокол, который совершенно отличается от того, что используется в офисной сети. В-третьих, по нашей статистике, только в двух из десяти компаний, а речь идет о мировых лидерах, имеются специалисты, отвечающие одновременно и за промышленную кибербезопасность, и за информационную безопасность домена. Это очень плохо.



«Коллекция» инцидентов пополняется ежедневно

– Осенью прошлого года вместе с компанией, занимающейся поставкой, монтажом и поддержкой цифровых подстанций в России, а цифровая подстанция в России ничем не отличается от аналогичной подстанции в Швейцарии, если она построена на базе стандарта МЭК 61850, мы построили большой стенд, копирующий цифровую подстанцию среднего уровня с элементами гидроэлектростанции и солнечными батареями. Часть этого стенда полностью копировала два типа потребителей – нефтеперерабатывающий завод и жилой район. Затем мы пригласили белых хакеров – это абсолютно легальный термин, обозначающий людей, которые вкладывают свои знания в исследования и обнаружение уязвимостей систем. Кандидатов отбирали месяцев пять, они проходили серьезный цикл экзаменов, и после четырех этапов из 80 команд со всего мира осталось всего четыре – их мы и пригласили для участия в проекте. Эти молодые ребята пришли к нам только с ноутбуками и возможностью скачать что‑то из интернета, среди них не было ни одного человека, знакомого с энергетикой как с индустрией.

Идея была не в том, чтобы что‑то сломать или разрушить, а в том, чтобы посмотреть поведение хакеров с точки зрения их проникновения и попыток обнаружить уязвимости на промышленном объекте. По результатам этого опыта мы подготовили детальный отчет и сегодня понимаем, какие уязвимости есть у цифровой подстанции, включая уязвимости нулевого дня. Это еще раз доказывает, что стереотип относительно того, что промышленный объект изолирован, а значит, и защищен, противоречит реальности.

Одной из самых серьезных угроз остается человеческий фактор. Яркий пример – история, произошедшая после увольнения системного администратора крупнейшей компании по производству бумажной продукции, упаковочных, строительных материалов и химических средств Брайана Джонсона, который решил отомстить бывшему работодателю и устроил атаку на промышленную систему. В итоге компания понесла значительный ущерб. Как правило, киберпреступники действуют не вслепую – они прекрасно знают, сколько стоит час простоя предприятия.



Главное зло

По результатам голосования участников Давосского форума-2017, кибератаки вошли в топ рисков для человечества наряду с традиционными атаками и межгосударственными конфликтами.

Результаты другого интересного опроса пришли от компании Allianz Global Corporate & Specialty (AGCS) – страхового гиганта в области рисков, который ежегодно опрашивает руководителей компаний, чтобы выяснить: какие риски оказывают влияние на их бизнес, принятие решений об изменениях состава совета директоров, приобретение компаний. Если в 2013 г. киберугрозы занимали только 13-е место – финансовые директора компаний и директора по рискам не рассматривали эту угрозу всерьез, то спустя четыре года киберинциденты заняли третье место среди угроз для бизнеса по всему миру. Кстати, по результатам исследования «Лаборатории Касперского», средний ущерб предприятий малого и среднего бизнеса от кибератак составил 86 тыс. долл. США. Для крупных корпораций этот показатель достиг 861 тыс. (исследование «Информационная безопасность бизнеса» проведено «Лабораторией Касперского» совместно с компанией B2B International весной 2016‑го).

– Самое большое зло в области кибернападений и киберзащиты – целевые атаки, когда злоумышленники заблаговременно собирают информацию о технологическом процессе конкретной компании и после осуществляют атаку, невидимую для участников производственного процесса. Наглядный пример – кибератака на предприятие по обогащению урана в Иране в 2010 году. Виртуальное нападение вычислили не сразу – некоторое время сотрудники работали с подмененной информацией, видя на экранах SCADA, что технологические процессы идут правильно, в реальности же ситуация была другой – с мая по ноябрь злоумышленники вывели из строя 20 процентов центрифуг, – комментирует Андрей Суворов. – Руководство компаний должно понимать необходимость обеспечения целостности технологического процесса, а не только защищать систему от традиционных IT-угроз, ведь помимо вывода из строя оборудования кибератака может быть направлена на похищение интеллектуальной собственности.



Как избежать

Спикер напомнил о недавнем инциденте – случившейся в мае атаке вируса WannaCry, поразившего устройства более 200 тыс. пользователей в разных странах, в том числе в России.

– Самое плачевное, что четырем уважаемым компаниям – Gas Natural, Nissan, Renault и Dacia, которые не были целью атакующих, пришлось остановить свои конвейеры – значит, в этих компаниях кибербезопасность и промышленная кибербезопасность не просто на нулевом уровне, ее вообще нет, – говорит Андрей Суворов. – Поскольку мы имеем дело с риском, есть четыре пути решения проблемы: избежать, принять, передать или снизить. Учитывая, что ландшафт угроз меняется быстро, избежать их могут единицы. Под принятием риска имею в виду готовность заплатить за его реализацию – компаниям стоит рассчитать стоимость простоя одного часа и вероятность возникновения негативного события – в данном случае киберинцидента. По поводу «передать» ситуация неоднозначная: возможно, для кого‑то это будет сюрпризом, но страховой рынок не готов и не покрывает расходы, связанные с потерей имущества или с простоями, вызванными кибератакой. В связи с этим я бы рекомендовал заранее проверить страховое покрытие. Снизить риск возможно в том случае, если вы готовы заняться обучением персонала и анализом защищенности вашей компании. Советую руководителям компаний понять, на какой фазе с точки зрения промышленной кибербезопасности они сейчас находятся и стоит ли им кричать «караул» либо самое время предпринять защитные меры.




Очередная кибератака произошла 27 июня: вирус-вымогатель Petya атаковал российские и украинские компании. Объектами атаки стали нефтяные, телекоммуникационные и финансовые организации. По сообщениям СМИ, вирус заблокировал компьютеры, требуя 300 долларов в биткоинах. Способ его распространения в локальной сети аналогичен вирусу WannaCry.

По предварительным данным, от вируса пострадали сети «Башнефти» и «Роснефти», украинских компаний «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровская электроэнергетическая система», а также Чернобыльская АЭС. Кроме того, хакерской атаке подверглись и другие крупные компании по всему миру.

По оценкам экспертам, наибольший вред был нанесен Украине, на втором месте среди пострадавших стран находится Италия, на третьем — Израиль. Россия в данном списке занимает 14-е место.

Отправить на Email

Для добавления комментария, пожалуйста, авторизуйтесь на сайте

Также читайте в номере № 13-14 (321-322) июль 2017 года: