Российская промышленность в море киберугроз
Тенденция к росту количества и сложности киберугроз, нацеленных на промышленность, сохраняется. Общемировым трендом стали кибератаки на интеграторов, доверенных партнеров и подрядчиков, для России эта тенденция также характерна. Крупные промышленные компании, вкладывающие средства и уделяющие много внимания информационной безопасности (ИБ), контактируют с множеством небольших компаний - поставщиков или подрядчиков, которые не имеют возможности обеспечивать такой же высокий уровень защищенности на своей стороне. Cерьезной проблемой в России остается доступность Интернета с компьютеров автоматизированных систем управления (АСУ), также встречаются недостатки сегментирования сети и изоляции наиболее важных систем, что позволяет злоумышленникам добираться до управления производственными активами.По данным Центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT, во 2-м квартале 2024 г. Россия заняла 6-е место из 14 рассматриваемых регионов мира по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты. Доля атакованных компьютеров АСУ составила 22,5% (23,5% в среднем по миру), снизившись на 1,1 п.п. к 1-му кварталу 2024 г. При этом при сравнении 1-го полугодия 2024 г. и 2-го полугодия 2023 г. доля атакованных систем выросла на 0,7 п.п. и составила 31,7%.
Несмотря на то, что доля атакованных компьютеров АСУ в России остается ниже, чем в среднем по миру, в ряде отраслей доля угроз была выше общемировых показателей. Это касается, в частности, производственной сферы (18,8% в РФ против 18% по миру), сферы инжиниринга и интеграторов АСУ (24,9% против 23%). В энергетике ситуация близка к общемировой (вредоносное ПО заблокировано на 23,9% компьютеров АСУ по сравнению с 24,2% по миру), а в нефтегазовой отрасли доля атакованных систем была ниже, чем в мире (16,7% и 21,2% соответственно). Эксперт Kaspersky ICS CERT В. Дащенко пояснил Neftegaz.RU, что показатели российской нефтегазовой отрасли стали следствием возросшего внимания компаний отрасли как к защите промышленного контура, так и ИТ-сегмента, через который зачастую идет проникновение в сегмент операционных технологий (ОТ).
Руководитель Kaspersky ICS CERT Е. Гончаров рассказал об изменяющихся целях атак на промышленные предприятия и «умные» инфраструктуры, а также угрозах, исходящих от хактивистов, вымогателей и APT-группировок. Для России сейчас наиболее актуален хактивизм, который характеризуется политической мотивированностью, использованием общедоступного инструментария, а также программ-вымогателей, но не с целью вымогательства или перепродажи, а для нанесения урона атакуемой компании. Хактивисты используют и дополнительные векторы атак, например, через инсайдеров, а в остальном деятельность хактивистов схожа с подходами вымогателей, в частности, используются атаки через цепочки поставок и доверенных партнеров, сложные длительные атаки, адаптированные под конкретную цель. При этом наблюдается своеобразное сращивание хактивизма и вымогательства, когда группировки могут переключаться между этими видами деятельности в зависимости от обстоятельств.
В числе самых громких атак с участием хактивистов Е. Гончаров назвал атаку на заправочные станции в Иране, в результате которой до 70% инфраструктуры АЗС было выведено из строя. Еще одним примером стала атака на вендора промышленного оборудования, которая привела к остановке насосов на ряде нефтяных месторождений, эксплуатируемых несколькими нефтегазовыми компаниями. Исследование, проведенное Kaspersky ICS CERT, показало, что хактивисты получили доступ к web-панели управления этим оборудованием, которая была доступна в Интернете и размещалась на публичном хостинге и не имела двухфакторной аутентификации. Используя SQL-инъекции злоумышленники создали еще одну запись администратора этой системы, что и привело к инциденту.
Еще одна атака хактивистов была осуществлена на крупный завод по производству удобрений. Злоумышленники получили доступ к SCADA-системе в диспетчерской котельной и получить контроль над котельным цехом. Хактивисты, по их заявлениям, также смогли получили контроль над газопоршневой электростанцией, но, изучив документацию, решили не причинять вреда объекту, чтобы избежать тяжелых последствий. Однако аналогичный объект был все-таки атакован хактивистами из другой группировки. Служба ИТ-безопасности предприятия обнаружила аномальный объем исходящего трафика из технологической сети производственного предприятия. Оказалось, что идет DDoS-атака на порталы, связанные с государственными организациями. Анализ инцидента показал, что инсайдер на стороне доверенного партнера использовал удаленный доступ для заражения сервера SCADA вредоносным ПО, а когда его обнаружили, он подключился к серверу в попытке саботажа. В итоге было принято решение об экстренной перезагрузке сервера, извлечении диска и его лечении.
Говоря о таком типе вредоносного ПО, как вымогатели, Е. Гончаров отметил, что наблюдается тенденция к снижению числа угроз, связанных с ними. В денежном выражении рынок вымогателей выходит на плато, а в 2022 г. даже наблюдалось снижение на 40% в связи с переключением фокуса на хактивизм. Как пояснил Е. Гончаров, вымогательство уязвимо к геополитическим изменениям и действиям правоохранительных органов.
Среди тенденций, которые будут определять развитие угроз для промышленности, Е. Гончаров назвал атаки на автомобили, суда, части удаленной ОТ-инфраструктуры. Так, Kaspersky ICS CERT недавно провел исследование популярной модели грузового автомобиля, выяснив, что все блоки управления внутри автомобиля уязвимы и злоумышленники потенциально могут получить удаленный доступ к основным критическим системам автомобиля - двигателю, коробке передач, тормозной системе и т.д., поскольку в блоке телематики автомобиля стоят уязвимые модемы. Также велика вероятность использования киберсредств для контрабанды, кражи товаров и т.п.
Кибератаки на критическую инфраструктуру - глобальный вызов
В ходе панельной дискуссии «Лучшие практики и перспективы международного сотрудничества в области защиты критической инфраструктуры» обсуждались подходы государственных регуляторов к повышению уровня защищенности этих объектов и важность взаимодействия на международном уровне.Помощник генерального секретаря Национального агентства по кибербезопасности (NCSA) Таиланда вице-маршал авиации Джадет Кхухаконгкит рассказал о практике организации национальных учений по кибербезопасности. Такие учения в Тайланде проводятся регулярно, в частности, в 2023 г. они были организованы в больницах. Эти мероприятия позволяют проиграть любые ситуации киберугроз, обеспечить готовность отразить кибератаку, оценить насколько эффективны интегрированные системы защиты и насколько хорошо взаимодействуют между собой сотрудники. Результаты учений позволяют оценить наличие узких мест и плохо работающих элементов системы защиты, а также определить меры, необходимые для решения этих проблем.
Также Джадет Кхухаконгкит отметил, что реагирование на кибератаку и митигирование рисков является обязанностью не только команды кибербезопасности, но и требует совместной работы с другими департаментами. Руководитель Малайзийского центра оценки уязвимостей (MyVAC) Мухаммад Арман Бин Селамат согласился, что пробелы в коммуникации существенным образом влияет на работу системы киберзащиты. В Малайзии для решения этой задачи проводятся игры, которые симулируют подвергшееся хакерской атаке предприятие. В ходе игры инженерные и производственные, ИБ подразделения, которые в обычное время сосредоточены на собственных задачах, работают в одной команде и могут наладить взаимодействие.
Е. Касперский отметил, что глобальная проблема заключается в недостаточном обеспечении безопасности с точки зрения сотрудников и их подготовленности, что приводит к тому, что системы защиты предприятий немного не успевают за развивающимися угрозами. В связи с этим Е. Касперский призвал крупные промышленные компании инвестировать в образование - плотнее сотрудничать с вузами, открывать собственные школы и университеты.
Говоря о международном сотрудничестве в области защиты критической инфраструктуры Е. Касперский отметил, что оно активно развивалось до 2022 г., но сейчас взаимодействие России и Запада находится на нулевом уровне. От этого не выигрывает ни одна из сторон противостояния, тогда как у киберзлоумышленников фактически развязаны руки. Однако это не означает, что международное сотрудничество полностью прекратилось. Важность защиты критической инфраструктуры осознают развивающиеся страны, с которыми Россия выстраивает сотрудничество по этому жизненно важному направлению.
Kaspersky NGFW
В ходе Kaspersky Industrial Cybersecurity Conference Лаборатория Касперского представила бета-версию межсетевого экрана нового поколения Kaspersky NGFW. Решения класса Next Generation Firewall (NGFW) сейчас активно набирают популярность как средство защиты от сетевых угроз, обеспечивающие глубокую фильтрацию трафика, интеграцию с системами обнаружения и предотвращения вторжений, позволяющее контролировать и блокировать трафик на уровне приложений.В России спрос на отечественные NGFW активно растет, что обусловлено необходимостью соответствовать требованиям регуляторов и найти замену продуктам зарубежных вендоров в рамках процесса импортозамещения. Поэтому выпуск собственного NGFW-решения стал для Лаборатории Касперского важным и ожидаемым шагом, а сам Kaspersky NGFW компания позиционирует как важнейший продукт, аккумулирующий ее многолетний опыт в сферах сетевой безопасности, внедрения сложных сетевых решений, расследования угроз и поддержки клиентов.
Представляя Kaspersky NGFW, директор по исследованиям и разработке Лаборатории Касперского А. Иванов в качестве преимуществ нового решения назвал собственные движки безопасности, основанные на передовых технологиях, проработанная архитектура и обогащение уникальными данными Threat Intelligence. Наличие всех основных сетевых и детектирующих компонентов собственной разработки и отказ от использования Open Source обеспечивает гибкость в развитии продукта и технологическую независимость. Этому служит и использование железа полностью российского производства. В межсетевой экран уже встроен высокопроизводительный антивирусный движок Лаборатории Касперского и обеспечена интеграция с сервисом киберразведки. Управление Kaspersky NGFW и всеми другими решениями Лаборатории Касперского обеспечивается из единой консоли, что обеспечивает полностью автоматизированное управление и позволяет более целостно видеть картину происходящих инцидентов. Kaspersky NGFW интегрирован в XDR-платформу Лаборатории Касперского (eXtended Detection and Response - расширенное обнаружение и реагирование на сложные угрозы и целевые атаки) и является частью экосистемы решений Лаборатории Касперского.
Лаборатория Касперского планирует масштабное развитие Kaspersky NGFW. Так, планируется целая линейка устройств, включающая пять моделей - от малопроизводительных до высокопроизводительных. Их вывод на рынок ожидается в 2025 г. Также планируется создание единой платформы Kaspersky NGFW и Kaspersky SD-WAN для построения безопасной сети нового поколения. Кроме того, в ближайшее время в межсетевом экране появится новый сценарий для защиты индустриальных сегментов.
А. Иванов также подчеркнул, что особое внимание Лаборатория Касперского уделяет безопасной разработке. Важность этого аспекта обусловлена тем, что межсетевой экран является такой же целью для атаки злоумышленников, как и все другие системы, и наличие уязвимостей в этом устройстве может стать причиной серьезного киберинцидента. Поэтому использование практик и принципов безопасной разработки крайне необходимо для обеспечения доверия к решению, которое устанавливается в инфраструктуру заказчика. Руководитель центра сертификации и соответствия стандартам Лаборатории Касперского К. Нападовская рассказала о том, что с 1 июня 2024 г. вступило в силу положение ФСТЭК России о сертификации процессов безопасной разработки ПО. Такой сертификат Лабораторией Касперского уже получен (сертификат №1 ФСТЭК России на процессы безопасной разработки ПО).
Кибербезопасность промышленности на практике
В ходе конференции рассматривалось и множество практических аспектов. Своим опытом поделились представители нефтегазовой, горнодобывающей, фармацевтической отраслей, судоходства и судостроения, страхования, а также разработчики средств ИБ.Вопросы перехода на открытую АСУ ТП осветил главный метролог компании Газпром нефть С. Седов. Он отметил, что существующие системы промышленной автоматизации имеют устаревшую архитектуру, поэтому воспроизведение решений западных вендоров, ушедших с российского рынка, стало бы воспроизведением технологического отставания. Между тем, вызовы Индустрии 4.0 требуют перехода от автоматизации производства к построению киберфизических систем на принципах совместимости, прозрачности, децентрализации управленческих решений. Поэтому Газпром нефть сосредоточилась на следующем поколении систем - платформенном решении, одним из микросервисов которого должна быть встроенная киберзащита.
Создание вендоронезависимой кроссотраслевой российской платформы промышленной автоматизации, обеспечивающей переход к открытой архитектуре для промышленных систем управления нового поколения и развития «Индустрии 4.0,» создает стратегические возможности для отрасли промавтоматизации, бизнеса и страны в целом, обеспечивая стандартизацию и унификацию решений, управляемость, надежность и непрерывность технологических процессов, укрепление национального технологического суверенитета. Для решения этой задачи при Минпромторге РФ была создана межотраслевая рабочая группа ОАСУ ТП, в состав которой вошла Газпром нефть, другие компании нефтегазовой и химической отраслей, металлургические, энергетические, ИКТ-компании. Помимо функциональной, была подготовлена компонентная архитектура открытой АСУ ТП, чтобы каждый из участников группы мог выбрать конкретное направление, которое он будет разрабатывать. Это позволит получить синергетический эффект от совместной работы и создать российское платформенное решение. В рамках этой работы Газпром нефть взяла на себя разработку самой сложной сущности - оркестратора, который обеспечивает работу по единому сценарию всех компонентов платформы. Компания с 2021 г. реализует внутреннюю программу по открытой АСУ ТП и планирует к концу 2025 г. создать прототип платформы и внедрить его на объектах 3-й и 4-й категории.
О вопросах кибербезопасности на морских судах рассказал главный специалист Российского морского регистра судоходства (РС) В. Окунев. Как отметил представитель РС, на таком сложном инженерном сооружении, каким является современное судно с его компьютеризированными системами контроля и управления, возникновение киберинцидентов может очень серьезные последствия. Такие инциденты могут привести к полному или частичному отказу критически важных судовых систем, что может создать угрозу безопасности экипажа и судна в целом, сохранности перевозимых грузов, а также создать риски загрязнения окружающей среды. Еще более актуальной эта тема становится с развитием автономного судоходства, причем этот вопрос встал уже сейчас, поскольку в России уже в автономном режиме эксплуатируются несколько судов.
Статистика раскрытых киберинцидентов на объектах морского транспорта (суда, портовая инфраструктура, судоходные компании) отражает многократный рост их количества, однако полной картины по киберинцидентам на судах на данный момент нет. Среди киберинцидентов, которые происходят в морской отрасли, Е. Окунев отметил заражение вирусами и программами-вымогателями (46,6% из всех раскрытых киберинцидентов в отрасли). Примером такого инцидента стало заражение вредоносным ПО бурового судна при сервисном обслуживании, на устранении последствий потребовалось 19 дней, а в денежном выражении последствием инцидента стали потери судоходной компании в размере 13 млн долл. США. Также для отрасли характерны атаки с подавлением или подменой GPS-сигнала или AIS (4,7%), о таких случаях сообщалось в районе порта Новороссийск, берегов Северной Кореи, у побережья Норвегии.
Е. Окунев рассказал о развитии международной нормативно-технической базы в отношении обеспечения кибербезопасности на судах, а также разработке соответствующих требований Регистра. В частности, 2021 г. РС разработал Руководство по обеспечению кибербезопасности, которое применяется на добровольной основе и нацелено на формирование единого подхода к реализации мер киберзащиты при проектировании, изготовлении и эксплуатации компьютеризированных систем для судов с классом Регистра. В 2024 г. в Правила классификации и постройки морских судов включены требования к киберустойчивости, которые применяются в процессе проектирования, постройки и эксплуатации судов с классом РС и гармонизирована с положениями международных стандартов по кибербезопасности и киберустойчивости. Новые требования применяются к судам, контракт на постройку которых заключен с 1 июля 2024 г.
Страхование киберрисков в промышленности обсудили руководитель по направлению практической безопасности ГМК Норильский никель А. Ардаков, директор по маркетингу, эксперт по киберрискам и киберстрахованию страхового брокера Remind А. Гюлумян и В. Дащенко. Если восемь лет назад, когда Лаборатория Касперского начала прорабатывать вопросы киберстрахования, рынок к этому готов не был, то сейчас ситуация начала меняться. Так, Норникель, достигший высокого уровня зрелости корпоративной системы управления рисками, пришел к пониманию того, что полис киберриска дает дополнительную защиту для акционеров и инвесторов компании на случай возникновения киберинцидента. С точки зрения страхового брокера, как связующего звена между заказчиком и страховой компанией, российский страховой рынок адаптировался таким образом, что один из наиболее чувствительных для промышленности аспектов - киберфизические убытки, киберстрахованием обычно не охватываемый, покрываются в рамках классических видов страхования, например, страхования имущества. Также удалось решить проблему с перестрахованием, которая возникла в 2022 г., когда российские компании потеряли возможность перестраховываться на Западе, что серьезно повлияло на емкость российского рынка. Тогда риски, вероятность реализации которых низка, но последствия для компаний огромны, страховать были готовы не все страховые компании. Сейчас, при участии государства, эту ситуацию удалось стабилизировать.
Полис киберстрахования, как впрочем и любой продукт для промышленности, является кастомным, создаваемым под конкретную компанию. Так, учитывается уровень ИБ-зрелости компании, также важным моментом является аудит ИБ компании, заинтересованной в покупке такого полиса. Киберстрахование позволяет бизнесу в случае инцидента ИБ сохранить работоспособность, направив выплату в рамках страхового полиса на восстановление. Такой продукт может быть актуален для зрелых компаний с точки зрения кибербезопасности - предприятий реального сектора в таких отраслях как нефтегазовая, нефтехимическая горнодобывающая, металлургическая, энергетическая отрасли.
Что дальше?
Средства информационной безопасности для промышленности последовательно развиваются в ответ на все новые угрозы, а следующим этапом этого развития должен стать кибериммунитет (конструктивная безопасность, Security-by-Design), что позволит сделать критические объекты, промышленные объекты, энергосети, электростанции и т.д. «неломаемыми», имунными к кибератакам. Лаборатория Касперского разрабатывает технологии, связанные с кибериммунитетом, уже есть точечные решения, но пока это не стало самостоятельным сектором ИБ.Пока же основным подходом к ИБ в промышленности остается принцип эшелонированной защиты, обеспечивая безопасность бизнес-процессов, ИТ- и ОТ-инфраструктуры, цифровых активов, каналов передачи данных. Это означает, что ключевую роль в обеспечении кибербезопасности промышленности все больше играют процессы, люди и технологии, а обеспечить надежную защиту возможно только если всем трем аспектам будет уделяться равно серьезное внимание.