Отчет компании Fortinet: «Состояние операционных технологий и информационной безопасности»

Москва, 13 мая - ИА Neftegaz.RU. Эксплуатационные технологии (OT) крайне важны для общественной безопасности и экономического благополучия: они управляют оборудованием, которое работает на производственных объектах, в энергосетях, водоснабжении, судоходстве и во многих других отраслях по всему миру.

Рост OT начался в первые десятилетия 20го века, когда машины и устройства управления с электрическим приводом заменили оборудование, использующее силу мышц или энергию пара. ОТ возникли на много десятилетий раньше, чем информационные технологии (IT), при этом они всегда были изолированы друг от друга путем физического разделения. Однако в последнее время информационные технологии — датчики, машинное обучение (ML) и большие данные — объединяются с OT-сетями, чтобы обеспечить непревзойденную эффективность и конкурентные преимущества. Это увеличивает количество направлений цифровых атак и рисков вторжения.

Чтобы изучить состояние информационной безопасности в OT-средах, специалисты Fortinet провели опрос среди руководителей предприятий и операционных директоров в крупных промышленных, энергетических, коммунальных, медицинских и транспортных организациях.

1. По результатам исследования были сделаны следующие выводы:Последствия кибератак в OT-средах обширные и глубокие. За последние 12 месяцев около 74% OT-организаций пришлось столкнуться с вторжением вредоносных программ, которые причинили ущерб производительности, доходам, репутации бренда, интеллектуальной собственности и физической безопасности.
2. Отсутствие эффективной системы информационной безопасности еще более увеличивает риски. 78% респондентов имеют только фрагментарную централизованную видимость мер безопасности в своих OT-средах. 65% организаций не реализуют управление доступом на основе ролей и более половины опрошенных не используют многофакторную проверку подлинности или внутреннюю сегментацию сети.
3. Улучшению состояния безопасности OT-систем мешают изменения, за которыми трудно угнаться, и нехватка персонала. Почти 2/3 (64%) руководителей OT отмечают, что они с трудом успевают за изменениями и почти половина (45%) испытывает недостаток в квалифицированных кадрах.
   
4. Организации все чаще задумываются об информационной безопасности OT. 70% планируют развернуть систему информационной безопасности OT под руководством начальника отдела информационной безопасности в следующем году (только 9% опрошенных руководителей отделов безопасности в настоящее время осуществляют контроль за безопасностью OT-систем). В 62% организаций увеличили бюджет на информационную безопасность.

Методология исследования

Отчет Fortinet о состоянии эксплуатационных технологий и информационной безопасности составлен по данным опроса, проведенного в январе 2019 г. В опросе участвовали лица, которые:

• работают в производственной, энергетической, коммунальной, медицинской или транспортной отрасли, в компании, насчитывающей более 2500 сотрудников;
• непосредственно отвечают за эксплуатационные технологии;
• должны отчитываться за результаты работы;
• имеют отношение к принятию решений о покупках, связанных с информационной безопасностью.

Выводы Fortinet о безопасности OT-операций

Вывод 1: последствия кибератак в OT-системах являются тяжелыми и затрагивают множество аспектов

Почти ¾ (74%) OT-организаций испытали как минимум 1 вторжение вредоносной программы за прошедший год, а половина (50%) испытали от 3 до 10 вторжений.

Как показано на рис. 2, вредоносные программы являются преобладающей формой вторжений, далее следует фишинг (45%), шпионские программы (38%) и нарушения безопасности мобильных устройств (28%).

Последствия нарушений безопасности в OT-организациях являются тяжелыми, как показано на рис. 3.

Вывод 2: отсутствие видимости мер информационной безопасности увеличивает риски

78% организаций имеют только фрагментарную видимость OT-операций, как показано на рис. 4.

Вывод 3: нехватка квалифицированных кадровых ресурсов замедляет улучшение состояния информационной безопасности
Почти 2/3 руководителей предприятий (64%) отмечают, что им трудно успевать за изменениями, а это влечет за собой дополнительные проблемы:

• отношения с профсоюзами (45%),
• нехватка квалифицированных кадров (45%),
• изменения в регулировании (44%),
• возможность и доступ к обучению (42%),
• бюджетные ограничения (42%).

Кроме того, нехватка квалифицированной рабочей силы является одним из факторов, вызывающих беспокойство у руководителей предприятий в связи с внедрением решений информационной безопасности:

• создает дополнительную сложность (53%),
• требует сложной адаптации стандартов безопасности (45%),
• требует дополнительного эксплуатационного персонала (45%),
• препятствует оперативной гибкости (44%).

Однако, согласно дополнительным данным, несмотря на нехватку кадровых ресурсов, OT-организации стремятся улучшить состояние безопасности. На рис. 5 показаны основные понятия, которые перечислили руководители предприятий в ответ на вопрос о том, какие проблемы заставляют их улучшать состояние информационной безопасности.

Вопрос, который лежит в основе рис. 5: «Какие 3 проблемы заставляют вас улучшать или изменять состояние информационной безопасности в вашей организации?». Чем чаще понятие появлялось в ответах респондентов, тем больший размер оно имеет на рисунке.

Наиболее частые проблемы безопасности, которые руководители предприятий выражают на рис. 5, — это возможность помешать хакерам обеспечить снижение роста направлений атак, вызванного цифровой трансформацией, следить за безопасностью данных и поддерживать безопасность, производительность, рентабельность и соответствие стандартам для своих сред — и при этом постоянно испытывать нехватку квалифицированных сотрудников.

Вывод 4: в OT-организациях все чаще задумываются об информационной безопасности

70% организаций, принявших участие в опросе, планируют развернуть систему информационной безопасности OT под руководством начальника отдела информационной безопасности в следующем году. Интересно, что только 9% руководителей отделов информационной безопасности в настоящее время контролируют информационную безопасность OT. Сейчас в 50% организаций за информационную безопасность OT отвечает директор или инженер по информационной безопасности, а еще 24% заявили, что информационной безопасностью занимается вице-президент или директор по сетевым технологиям и операциям.

Приоритезация информационной безопасности проявляется не только в организационной реструктуризации обязанностей. 62% организаций отмечают, что их бюджеты на информационную безопасность в этом году значительно увеличились, тогда как 38% сохранили текущие бюджеты. Организации OT уделяют особое внимание рискам информационной безопасности: 94% респондентов говорят, что они включают состояние безопасности OT как существенный или умеренный фактор риска в расширенный список рисков, который руководитель отдела безопасности обсуждает с руководителями или советом директоров.

Вывод 5: защита OT-сред отличается сложностью

OT-среды, над защитой которых работают респонденты, являются сложными. Они состоят из большого количества устройств OT, от 50 до более чем 500, как показано на рис. 6.

Большинство организаций приобретают свои устройства у 2–4 поставщиков, как показано на рис. 7.

Чаще всего респонденты упоминали таких поставщиков OT-устройств, как Honeywell, Siemens и Emerson.

Вывод 6: руководители предприятий оказывают влияние на повышение уровня информационной безопасности

По мере того как OT-организации усиливают информационную безопасность своих сред, руководители предприятий активно участвуют в принятии решений. Более ¾ (76%) сообщают, что они регулярно участвуют в принятии решений по информационной безопасности, и почти половина (45%) отмечают, что при принятии решений по безопасности OT решающее слово остается за ними. Почти все регулярно (56%) или иногда (39%) участвуют в разработке стратегии информационной безопасности ИТ-систем своей организации.

Интересно отметить, что безопасная и стабильная среда имеет важное значение для 3 основных показателей успеха, по которым оцениваются руководители предприятия: максимизация производительности (55%), минимизация затрат (53%) и сокращение времени реагирования на уязвимости безопасности (44%).

Может показаться удивительным, что «сокращение времени реагирования на уязвимости безопасности» является третьим по важности показателем успеха. Но представьте, как быстро кибератака может нарушить работу таких объектов, как фабрика, коммунальное предприятие или железная дорога, причинив ущерб производительности, доходам и безопасности.

Стабильная и отказоустойчивая среда также имеет решающее значение для 3 основных служебных обязанностей руководителей предприятий: управление эффективностью производства (77%), контроль работы сотрудников (77%) и управление контролем качества и производственными процессами (76%).

Учитывая то внимание, которое они уделяют стабильности и отказоустойчивости, становится более очевидным, почему 76% руководителей предприятий активно участвуют в решении вопросов по информационной безопасности OT. Эта задача потребует больше времени, так как, согласно прогнозам, расходы на информационную безопасность OT вырастут на 50% и достигнут суммы в 18,05 млрд долл. в 2023 г. по сравнению с 12,22 млрд долл. в 2017 г.

Существует ряд недостатков в системе информационной безопасности, которые должны исправить сотрудники ОТ, как показано в следующем разделе.

«Угроза кибератаки вызывает серьезное беспокойство, и мы инвестируем в мероприятия, позволяющие ее предотвратить» — Операционный директор, производственная компания.

Вывод 7: в механизмах управления доступом, проверки подлинности, сегментации сетей и других есть узкие места

На рис. 9 показано, сколько процентов OT-организаций не используют перечисленные ниже основные функции безопасности.

Неиспользуемые функции, показанные на рис. 9, приводят к возникновению узких мест в безопасности:

• Около 2/3 (65%) OT-компаний не используют управление доступом на основе ролей, что дает злоумышленникам большую свободу перемещений в их OT-средах.
• Почти 6 из 10 (56%) OT-организаций не используют многофакторную проверку подлинности. В последнем отчете компании Verizon сообщается, что 81% нарушений безопасности начинается с кражи учетных данных. Многие нарушения безопасности в OT рассчитаны на получение учетных данных посредством фишинга. (Согласно оценке Wall Street Journal, в течение 2 последних лет около двух десятков американских энергетических компаний были взломаны с использованием фишинга и украденных учетных данных, причем злоумышленники оставили в скомпрометированных OT-средах вредоносные программы, которые планировали использовать для будущих диверсий.) Многофакторная аутентификация затрудняет успешное использование украденных учетных данных.

• Более половины организаций (53%) не имеют внутренней сегментации сети. В Руководстве по информационной безопасности Национального института стандартов и технологий (NIST) сегментация названа «одной из наиболее эффективных архитектурных концепций, которую организация может реализовать» для защиты своей OT-среды. Отраслевые эксперты отмечают, что многие недавние атаки вредоносных программ на OT-сети можно было предотвратить с помощью сегментации, так как сегментация ограничивает свободу перемещения из одной производственной OT-сети в другую и даже внутри одной производственной ОТ-сети.
  
• Почти половина (44%) организаций не имеет центра операций безопасности (SOC) и более половины (55%) не имеют центра операций сети (NOC), что приводит к снижению видимости и росту рисков. Центр SOC может быстро обнаружить, предотвратить или минимизировать нарушение безопасности. NOC максимизирует пропускную способность и готовность сети. SOC и NOC можно интегрировать в одну систему, чтобы улучшить результаты обоих центров.
• Почти 4 из 10 организаций (39%) не управляют событиями безопасности, не ведут их мониторинг или анализ, что затрудняет обнаружение нарушений безопасности. Поскольку в настоящее время большинство организаций признают неизбежность вторжений, критически важным фактором для минимизации последствий нарушения безопасности является киберустойчивость, или реагирование на инциденты и управление событиями.
• Базовые методы обеспечения безопасности остаются трудной задачей для значительного количества организаций, при этом 1/3 (33%) респондентов признает, что у них нет программ повышения осведомленности и обучения по вопросам внутренней безопасности. Поскольку внутрисистемные угрозы составляют 30% всех нарушений, это необходимо для любой организации, как ИТ, так и OT.

Передовой опыт OT-организаций верхнего уровня

26% наших респондентов (организации «верхнего уровня») сообщают об отсутствии вторжений за последние 12 месяцев. Напротив, 17% респондентов (организации «нижнего уровня») имели 6 или более вторжений за последние 12 месяцев, а некоторые даже не знают, сколько вторжений у них было. Интересно отметить следующие несоответствия между этими 2 группами.

1. Организации верхнего уровня на 100% чаще, чем организации нижнего уровня, используют многофакторную проверку подлинности, что затрудняет доступ с украденными учетными данными.
2. Организации верхнего уровня на 94% чаще, чем организации нижнего уровня, используют управление доступом на основе ролей, ограничивая возможности перемещений для потенциальных хакеров.
3. Организации верхнего уровня на 68% чаще, чем организации нижнего уровня, управляют событиями безопасности и осуществляют их мониторинг, а также выполняют анализ событий, тем самым снижая риск нарушений безопасности путем минимизации времени на обнаружение вторжения.
4. Организации верхнего уровня на 51% чаще, чем организации нижнего уровня, используют сегментацию сети, ограничивая возможности перемещений для потенциальных хакеров.
5. Организации верхнего уровня на 46% чаще, чем организации нижнего уровня, планируют ревизии соответствия стандарту системы безопасности, чтобы усилить безопасность.

Заключение: информационная безопасность становится необходимостью для успешной работы OT-систем

OT-среды характеризуются высоким риском: почти 8 из 10 организаций столкнулись с нарушениями безопасности в прошлом году, при этом половина респондентов заявляет, что нарушений было от 3 до 10 или даже больше. Сообщается, что в результате этих нарушений был нанесен ущерб производительности, доходам, доверию к бренду, интеллектуальной собственности и физической безопасности. В данном исследовании идентифицируются факторы, которые необходимо рассмотреть для снижения рисков. Например, тот факт, что 78% организаций не имеют централизованной видимости мер информационной безопасности, 56% не используют многофакторную проверку подлинности, а 53% все еще не использует внутреннюю сегментацию сети, которую рекомендуется использовать в OT- сетях.

Руководители предприятий рассказали о своем участии в оценке решений информационной безопасности и о своем влиянии на принятие решений по этим вопросам. Они ищут решения, которые соответствуют их основным задачам по максимизации производительности с минимальными затратами.

Чтобы решить проблему отсутствия централизованной видимости и нехватки кадровых ресурсов, OT-организации должны прислушаться к следующим рекомендациям:

• Ищите решения обеспечения безопасности, которые работают совместно и обеспечивают широкую видимость направлений цифровых атак благодаря объединению сред OT и IT .
• Ищите автоматизированные средства обеспечения безопасности с решениями, которые координируют отклик и используют такие технологии, как машинное обучение.
• Рассмотрите подход на основе адаптивной системы сетевой безопасности, которая предоставляет комллексную защиту всех устройств, сетей и приложений.
• Минимизируйте риски с помощью таких рекомендованных методов, как сегментация сети, многофакторная проверка подлинности и управление доступом на основе ролей.

Эти принципы информационной безопасности улучшат состояние безопасности в вашей организации и помогут компенсировать нехватку кадровых ресурсов.

О компании Fortinet

Компания Fortinet (NASDAQ: FTNT) обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предлагает систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз. Продукты компании легко подстраиваются под растущие требования к производительности, что соответствует последней тенденции развития сетей, не ограниченных никакими рамками. Инновационная архитектура экосистемы Fortinet Security Fabric позволяет обеспечить безопасность без компромиссов и решить наиболее важные вопросы, связанные с защитой сетевых сред, приложений, облачных сетей и мобильных устройств. Компания Fortinet занимает 1е место по количеству проданных средств безопасности и обеспечивает защиту более 440 тыс. клиентов по всему миру. Подробнее – на сайте