- Мировой ТЭК и нефтегазовая отрасль, как одна из его важнейших составляющих, в последние годы сделали ставку на ускоренную цифровизацию, ставшую востребованным инструментом повышения эффективности. Не привело ли такое быстрое развитие к диспропорции с развитием средств кибер-безопасности ТЭК и нефтегаза, не возникло ли разрыва, который может свести на нет преимущества цифровизации?
- Мировые тренды в обеспечении работы бизнеса - развитие цифровизации, внедрение новых цифровых технологий, промышленного Интернета вещей (IIoT) - с точки зрения кибербезопасности приводят к тому, что площадь поверхности атак возрастает. Чем больше мы добавляем новых цифровых технологий, которые выходят во внешний Интернет, тем больше у нас есть точек соприкосновения. Это очевидно и это совершенно не стоит скрывать. В связи с этим перед командами, которые обеспечивают информационную или кибербезопасность на местах, стоит задача успевать за развитием этих технологий. Компания может внедрить множество новых цифровых решений, в т.ч. из серии IIoT, но не обеспечить должный уровень защиты для этих решений. Тогда, к сожалению, они, скорее всего, попадут под ту статистику, которая относится к успешным атакам. Если команда, обеспечивающая безопасность на местах, в курсе новых трендов, атак и механизмов информационной безопасности, то она предпримет грамотные организационные и технические меры для аккуратного внедрения цифровых технологий в текущий бизнес, без повышения риска компрометации со стороны внешних злоумышленников.
Это своеобразная игра в догонялки. У нас цифровизация летит вперед, а обеспечение безопасности у некоторых компаний отстает. В идеальной картине эти два, так скажем, бегуна не соревнуются, а бегут в тандеме, нога в ногу, красиво и ровно. Когда идет некоторое отставание одного от другого, то возникает дисбаланс и, к сожалению, есть компании, которые живут в этом дисбалансе. Текущие времена показывают, что есть и другой тип компаний, это зрелые компании, которые грамотно подходили к обеспечению безопасности до февраля 2022 г., и сейчас подходят так же грамотно. Для них этого дисбаланса не существует - неважно, это внедрение новых технологий или увеличение числа атак, - они знают, как реагировать на любые изменения, будь то интенсивные или экстенсивные, внешние или внутренние.
- К KICS Conf 2022 Kaspersky ICS CERT представил данные, согласно которым, в 1-м полугодии 2022 г. хотя бы раз вредоносные объекты были заблокированы на 29,8% компьютеров автоматизированных систем управления (АСУ) в российской нефтегазовой отрасли, причем по сравнению с 1-м полугодием 2021 г. показатель значительно снизился, а по сравнению со 2-м полугодием 2021 г. - вырос. С чем связана такая динамика?
- Когда мы говорим про статистику атак, которые были заблокированы на компьютерах, относящихся к АСУ в нефтегазовой отрасли, мы должны понимать простую вещь: до того, как атакующий проберется до контура АСУ, ему необходимо преодолеть либо ИТ-часть, т.е. успешно развить атаку, не быть заблокированным на этом этапе и потом оказаться в промышленном сегменте, либо есть вариант, когда промышленный сегмент оказывается напрямую подключен к сети Интернет, чего теоретически не должно быть.Из своего личного опыта могу привести примеры, когда мы делали аудит ИБ различных предприятий, в т.ч. нефтегазового сектора, и, к сожалению, были случаи подключения операторами 3G-модемов или телефонов для выхода в Интернет, чтобы проверять почту, соцсети и т.п. Подобный случай был на одном крупном предприятии, относящемся к ТЭК. В пределах контролируемой зоны находится здание цеха, которое разделено на две половины, в которых работают разные команды. При проведении аудита видим, что на всей территории завода все нормально, а в этом цехе прямо «Монтекки» и «Капулетти» - и там, и там на компьютерах установлен Counter-Strike, в который сотрудники постоянно играли цех против цеха. Это сразу же было пресечено, но вот вам пример, как люди делают такую ерунду. Еще был случай с частью распределенной АСУ на одном удаленном объекте, также относящемся к ТЭК. До этого объекта надо было добираться часа полтора по бездорожью, и чтобы не ездить для перепрограммирования контроллеров и проведения обслуживания, оператор купил 4G-модем и заказал услугу статического IP-адреса. Подключив модем на удаленном объекте, оператор организовал себе канал удаленного доступа, подключался из дома и занимался конфигурированием. Такое тоже бывает...
Возвращаясь к статистике атак, такие проценты говорят о том, что в одном из вариантов атака может развиваться в классическом виде, когда у атакующего есть цель и он ломает-ломает-ломает, проникает-проникает-проникает. Второй тип можно назвать пандемийным заражением, когда один «зловред» попадает в сеть, начинает в ней распространяться и может попасть в промышленный контур. Третий тип атак происходит из-за безалаберности людей на местах, о чем мы уже говорили.
В целом, почему так менялись тренды... Когда мы смотрим статистику по месяцам, там получается очень интересная, сезонная динамика. В декабре наблюдается рост, а в январе - спад в связи с новогодними праздниками, также большой спад видим летом, потому что все уходят на каникулы, в т.ч. и кибернегодяи. Напротив, есть рост в условно «рабочие» месяцы, это сентябрь-октябрь и далее с пиком в декабре, когда злоумышленники стараются поймать момент, рассчитывая на то, что люди в предпраздничной суете меньше уделяют внимание кибербезопасности. Эта тенденция актуальна и для банального фишинга, который также начинает расти под праздники, т.к. злоумышленники рассчитывают беспрепятственно попасть во внутреннюю сеть предприятия, поскольку народ начинает отвлекаться на другие вещи, становится менее внимательным.
- Как соотносится ситуация в России и в мире? Как изменилась ситуация после февраля 2022 г.?
- Здесь все зависит от конкретной страны. Есть зрелые в плане обеспечения информационной безопасности страны. Приведу пример. Германия, очень промышленная страна, где очень высока доля промышленности и огромное число мелких производств. Там количество систем промышленной автоматизации большое, но количество успешных атак меньше по одной простой причине - в Германии давно регуляторами введены соответствующие законы, страна в целом зрелая по вопросам кибербезопасности, т.е. люди относятся к защите от киберугроз достаточно ответственно. Еще один пример - Китай, тоже промышленно развитая страна. Несколько лет назад Китай был в топе по количеству атак, их атаковали достаточно много, были и случайные, и пандемийные заражения. Однако, когда Китай выпустил законодательные акты, которые регулируют работу предприятий с точки зрения кибербезопасности, мы спрогнозировали, что скорее всего, через год статистика пойдет на убыль. Так и получилось. Это все зависит от зрелости в целом страны с точки зрения кибербезопасности.
Что касается России. Ситуация у нас в целом не хуже, чем в мире. Те шаги, которые сейчас предпринимаются по защите систем промышленной автоматизации, объектов критической информационной инфраструктуры и т.д., в средне- и долгосрочной перспективе - это все будет вести к тому, что количество успешных атак будет снижаться.
Если мы посмотрим, что у нас происходит с февраля, то периметровые атаки, безусловно, растут. Наша статистика по DDOS-атакам показала, что для некоторых типов бизнеса они выросли в 400 раз! Штука в том, что эти условно «школьные» атаки, выросли, потому что поменялся профиль злоумышленника. Если раньше были хактивисты и школота, то сейчас эти две группы объединились. Хактивисты и госхакеры, т.н. state sponsored hackers, выпустили методички и готовые утилиты, которые дают инструментарий для проведения DDOS-атак не имеющими серьезных компетенций пользователями. За счет этого, условные «школьники» примкнули к хактивистам и этих людей просто стало больше, соответственно и DDOS-атак «школьного» уровня также стало больше, но это все периметровые атаки.
У нефтегазовых компаний и компаний ТЭК атаки на периметр, внешний сегмент (делопроизводство, бухгалтерия, классические ИТ-сети), скорее всего, также выросли. Там пытаются взломать VPN-шлюзы, файерволы, «угадать» методом брутфорса пароли к маршрутизаторам и т.д. Но если мы говорим про промышленный сегмент, который должен быть защищен и изолирован от внешнего сегмента, то там ничего особо не изменилось. Есть такая гипотеза, что в средне- или долгосрочной перспективе возможен некоторый рост, т.к. мотивированные и скиловые атакующие, т.е. имеющие знания-умения-навыки по взлому, доберутся до промышленного контура и попробуют что-то сделать. В социальных сетях мы регулярно видим заявления людей о том, что они добрались до систем автоматизации производств, а также посты со скриншотами с операторских станций. Мы подобные случаи разбирали и выяснилось, что часть скриншотов относится к тренажерам, на которых проводится обучение операторов. Взлом этой системы неприятен, но к какому-либо киберфизическому эффекту он не приведет - не будет экстренной остановки, не сработает противоаварийная защита (ПАЗ) и т.д. и т.п.
Среди той информации, которая появляется в публичном поле, что относится к нефтегазу и АСУ ТП, по большей части это информационные вбросы, попытки нагнать жути, похайповать на этой теме. Но пока все более-менее нормально.
- В недавнем докладе GlobalData приводится прогноз, согласно которому расходы на кибербезопасность для нефтегазовой отрасли достигнут 10 млрд долл. США к 2025 г. Они правы, не маловато? Как Вы оцениваете объем расходов российской нефтегазовой отрасли на ИБ?
- Эти данные, действительно, выглядят заниженными, это, на мой взгляд, скорее нижняя граница. Бюджеты только нескольких мировых предприятий-гигантов уже могут быть больше этой суммы. В России, как мне кажется, в ближайшее время с точки зрения бизнеса и людей, которые принимают решения, произойдет некоторое переосознание и денег на обеспечение кибербезопасности объектов ТЭК и конкретно нефтегаза будет выделяться больше . Нужно реально понимать, что мы сейчас живем в неспокойные времена и нужно свои активы сохранять не только с точки зрения непрерывности бизнеса, но и с точки зрения обеспечения кибербезопасности, а эти два аспекта становятся всё более взаимосвязаны.
На самом деле зависит от того, как команды по информационной безопасности на местах делают свою работу. Еще раз подчеркну - если люди, которые обеспечивают кибербезопасность для нефтегаза на местах и которые отвечают именно за промышленный сегмент, делают свою работу грамотно, не с формальной точки зрения, не обложившись бумажками, а регулярно делают аудиты, провели анализ своих моделей угроз после 24 числа, оценили, какие вендоры ушли/не ушли и кто из них может потенциально уйти, какие используются сторонние библиотеки, то, с высокой долей вероятности, им ничего не грозит. Мы в «Лаборатории Касперского», со своей стороны, находимся в контакте с заказчиками 24/7, если возникают какие-то вопросы, мы всегда готовы на них ответить. У нас есть множество примеров, когда иностранные вендоры и производители ушли, отказавшись в одностороннем порядке от своих заказчиков. А им что делать, ведь для них это ситуация «черного лебедя»? Они связываются с нами, обращаются за помощью, мы понятное дело, им помогаем, даже если у компании не запланирован на это бюджет, потому что в начале года от них отказался зарубежный вендор, а они уже продлили у него лицензии. Мы открыты к диалогу, потому что понимаем, что происходит. Мы готовы предоставить защиту здесь и сейчас, чтобы активы компании были в безопасности, а потом, если все устраивает, подключается наш департамент информационного развития бизнеса и планируются уже денежно-договорные истории на следующий год.
- Какие тенденции в сфере ИБ будут основными в средне- и долгосрочной перспективе?
- Мне кажется, что зарождающийся в последние годы тренд на экосистемный, моновендорный подход к кибербезопасности, будет сохраняться. Такой подход предоставляет защиту для разных групп активов, для разных технологических и бизнес-процессов. Одно из явных преимуществ такого подхода режим одного окна для команд по информационной безопасности. У вас есть одна платформа, одна консоль управления, где вы получаете информацию со всех средств защиты, размещённых на всей инфраструктуре.
Ещё один тренд – запрос на экспертизу в вопросах кибербезопасности. Не все команды ИБ обладают достаточными ресурсами и знаниями для противодействия всему спектру современных атак. Усилить защиту можно с помощью экспертных сервисов Threat Intelligence, которые обогащают защитные инструменты актуальной информацией о современных угрозах и помогают специалистам ИБ подготовиться к отражению атак. Если же собственные команды перегружены, то есть опция передать основные функции по обнаружению, реагированию и расследованию инцидентов на аутсорс, такой сервис мы называем «управляемой защитой» - Managed Detection and Response.
При этом крайне важен именно отраслевой опыт. Ведь решения, которые изначально предназначены для корпоративного сегмента, нельзя просто взять и поставить в технологический сегмент предприятия. Это должны быть специализированные решения, спроектированные с учётом промышленной специфики. Кроме того, каждая отдельная отрасль промышленности – это тоже отдельная история: условно, в нефтегазе, в нефтехимии, энергетике, атомной промышленности технологические процессы разные, а значит, и защищать их нужно по-разному.
Поэтому здесь не универсального «пластыря», который подойдёт всем. Не менее важно, чтобы команда, которая помогает развёртывать ИБ-систему, имела опыт в каждой конкретной отрасли. У экспертов Kaspersky ICS-CERT есть колоссальный опыт исследований и непосредственно борьбы с киберугрозами во всех ключевых сферах промышленности, в том числе в нефтегазе, по всему миру.
- Атака на Colonial Pipeline в мае 2021 г. стала тревожным звонком, показавшим уязвимость нефтегазовой отрасли перед кибератаками. Какие выводы были сделаны производителями средств ИБ и отраслевыми компаниями?
- Сейчас есть большая проблема - supply chain attack, т.е. атаки через цепочку поставщиков или доверенных партнеров. Насколько я помню, с Colonial Pipeline был именно такой тип атаки. «Серебряной пули», чтобы решить эту проблему, сейчас не существует. Есть компании, которые пытаются что-то предложить, но эти средства не решают проблему раз и навсегда. Это сложно, это новый вызов для нефтегаза и вообще для всех компаний, это глобальная проблема. Есть некоторый набор шагов, который позволяет снизить риск. Основной из них - Threat Intelligence, т.е. информирование об угрозах. Все зависит от команды по безопасности на местах. Если они используют нормальный Threat Intelligence, следят за трендами, получают информацию о том, что сейчас происходит в даркнете и вообще в мире киберугроз, то в принципе они могут более-менее подготовиться. Второй важный момент - если доверенные партнеры имеют доступ в вашу инфраструктуру, то реализуйте этот доступ нормально, не давайте им административные права.
На самом деле, еще до истории Colonial Pipeline, таких примеров было много. Несколько лет назад был взломан крупный американский ритейлер Target, атака была похожая, хотя она и не относится к АСУ ТП. Их также взломали через доверенного партнера, это вызвало много шума, но ничего не поменялось. Есть компании, которые сделали вывод из этих событий и что-то у себя поменяли, а есть те, кто не сделал ничего. И в будущем риски подобных атак не исключены.
- Можно вспомнить еще один инцидент 2012 г., который не является кибератакой, но его также можно отнести к тревожным звоночкам для российского ТЭК. Тогда при тестировании «Газпромом» мобильных компрессорных установок производства австрийской LMF, компрессоры были дистанционно принудительно отключены. Насколько риск подобного отключения реален? Есть ли методы противодействия?
- По поводу этого инцидента я ничего не слышал, но абстрактная ситуация с отключением оборудования возможна. Приведу пример из февральских событий, когда сетевое оборудование нескольких крупных иностранных вендоров по мановению волшебной палочки превратилось в «тыкву». Масштаб был серьезный. Кроме того, есть компании, например, из сферы телекоммуникаций, которые закупают оборудование впрок с учетом масштабирования сети, и с высокой долей вероятности, это оборудование может быть неработоспособно. Такие случаи должны быть примером не только внутри страны, но для других стран. Всем нужно понимать, что есть недоверенное оборудование и есть недоверенные вендоры. Как бы иностранный вендор ни позиционировал себя как надежного производителя и партнера, теперь нужно понимать, что в какой-то момент он может взять и уйти. Это ведь, по сути, нарушение контракта в одностороннем порядке с очень неприятными последствиями для оставленного заказчика.
Что можно противопоставить? Здесь есть решение, оно конечно будет давать дополнительную стоимость, но проведение внешнего аудита безопасности того или иного внедряемого решения позволит снизить эти риски, выявить бэкдоры - программы, с помощью которых злоумышленники могут удаленно управлять пораженным компьютером. У нас был относящийся к энергетике проект в одной стране, когда мы нашли некоторые признаки вендорского бэкдора. Заказчик обратился к вендору за разъяснениями, получив в ответ ссылку на контракт, где указано, что он имеет доступ 24/7 для удаленного мониторинга и контроля. Последовали разбирательства, это была уже не наша история, но такие случаи имеют место, такие вещи нужно проверять с самого начала.
- Какие объекты предприятий ТЭК можно оценить как наиболее уязвимые для кибератак?
- С точки зрения векторов атак, всегда надо смотреть на первичную точку входа. Это может быть проникновение через конкретного пользователя, когда идет непосредственное взаимодействие с человеком - фишинг, таргетированный фишинг, спам, методы социальной инженерия. Второе - пресловутый подбор паролей. Есть периметровые решения, которые не имеют двухфакторной защиты. В этом случае, если удалось подобрать простой пароль, уже есть первичная точка доступа – существенный этап атаки пройден. Есть, к сожалению, истории, в т.ч. в нефтегазе, когда эксплуатируются уязвимости на периметре: либо уязвимость нулевого дня, либо случаи, когда команда забыла установить критически важные обновления для продукта. Напомню, что обновления ПО несут в себе не только совершенствование функциональности, но и закрытие обнаруженных уязвимостей. Нужно всегда смотреть на то, как устроена инфраструктура и откуда потенциально может «прилететь». Это достаточно индивидуально, хотя есть и типовые вещи, которые можно выявить во время аудита информационной безопасности.
- Можно ли вообще говорить о достаточной степени защищенности применительно к объектам критической инфраструктуры? Можно ли создать идеально безопасную цифровую систему промышленного предприятия?
- Идеальной будет такая система, которой не существует. Нет системы – нет уязвимостей. У любой же существующей системы всегда будут вопросы, связанные с информационной безопасностью. Мы сейчас работаем над кибериммунным подходом, который сделает решения и технологии изначально защищёнными от основных уязвимостей, атак и угроз.
Но в текущих условиях любая система может быть атакована и может быть взломана. Классический подход к безопасности заключается в создании условий, чтобы стоимость атаки превышала стоимости атакуемого актива. Если вы грамотно выстраиваете защиту, то для злоумышленника его атака должна обойтись дороже, чем потенциальные выгоды, которые он получит.
- Как Вы можете определить главные вызовы, которые необходимо преодолеть при создании надежной цифровой инфраструктуры для нефтегазовых компаний?
- Есть несколько моментов. Первое - психологическая часть, осознание того, что этим надо заниматься. Есть примеры, в т.ч. в нефтегазовой отрасли, когда вопросы обеспечения кибербезопасности сводятся к чисто формальному подходу, разработке документов и написанию регламентов. А есть реально крутые управленцы, которые любят свое дело, болеют своим делом, они хотят защитить свои активы. Они стремятся узнавать информацию о новых угрозах, регулярно на связи с нами, читают отчеты. Им это важно знать, потому что им не всё равно.
Второе - пресловутый вопрос финансов. Но, возвращаясь к первому постулату, если команда классная, то она может грамотно распределить бюджет, нормально договориться с вендором о том, как, по каким этапам они будут внедрять решения. Любой вендор, любой производитель, заинтересован в том, чтобы его решения были не просто установлены, а в том, чтобы они работали эффективно.
Это два основных компонента - грамотная команда и вопрос финансов. Но вопрос финансов всегда решается, если команда грамотная. Это своеобразный самоподдерживающий механизм.
- Какие решения «Лаборатория Касперского» предлагает для киберзащиты нефтегазовых компаний и предприятий ТЭК в целом? Видите ли Вы рост спроса на решения компании в последние месяцы?
- Мы защищаем предприятия полностью, от офисного компьютера до технологических установок. И даже шире. Помогаем выявлять аномалии технологического процесса, проводим тренинги для ИБ-специалистов, топ-менеджмента и рядовых сотрудников, даже помогаем физически защищать воздушное предприятие от гражданских беспилотников. Как я уже упоминал, «Лаборатория Касперского» развивает экосистемный подход, предоставляя фактически киберзащиту под ключ. Мы отмечаем возрастающий интерес рынка к такому комплексному моновендорному подходу, которые позволяет компаниям выстроить гибкую в управлении систему ИБ с полным набором синхронизированных инструментов в рамках одной лицензии.
Для корпоративного сегмента есть линейка Kaspersky Symphony, высший уровень которой представляет из себя XDR-платформу (Extended Detection and Response, класс решений по расширенному обнаружению угроз и реагированию на них, - прим. ред.) и содержит все необходимые решения для защиты от самых сложных и продвинутых атак, обучение сотрудников и даже помогает обеспечить соответствие требованиям регуляторов. Для промышленного сегмента у нас есть экосистема решений Kaspersky OT CyberSecurity, которая была представлена на конференции KICS Conf в сентябре этого года. Она предоставляет промышленным предприятиям комплексную киберзащиту всех элементов инфраструктуры на каждом этапе технологического процесса. Решения в основе этой экосистемы разработаны изначально с учётом специфики работы промышленных объектов, на которых, например, часто можно встретить устаревшее оборудование и которые имеют свои требования к программному обеспечению в технологическом сегменте. Благодаря лёгкой интеграции решений для технологического и корпоративного сегментов у индустриальных заказчиков появляется возможность защищать среду пересечения двух сегментов, которая становится основным источником проникновения киберугроз. Помимо технологий, наш подход включает глубокую отраслевую экспертизу, и знания, которыми мы готовы делиться с рынком.
Динамика продаж новых экосистемных решений подтверждает востребованность такого подхода к кибербезопасности.
Автор: Е. Алифирова