ИТ, ИИ, ИБ: от акронима до стратегии
Как защитить КВОИКИ: эксперты ИБ и промышленности о том, что делать в случае кибератаки
Редакция журнала Petroleum подготовила большой обзор-интервью с лидерами рынка информационной безопасности и представителями ключевых отраслей, включая промышленный и нефтегазовый секторы. Эксперты поделились своим видением актуальных угроз, которые нависают над критически важными объектами инфраструктуры (КВОИКИ), и дали ценные рекомендации по защите. Мы спросили их, как правильно реагировать на кибератаки, какие сценарии наиболее вероятны и как минимизировать ущерб. Они рассказали, почему традиционных методов защиты уже недостаточно и что нужно предусмотреть в резервных планах на случай полного вывода из строя IT-систем. Это интервью станет полезным для всех, кто отвечает за безопасность стратегически важных объектов.
С ростом цифровизации и усложнением автоматизированных систем, промышленная безопасность в нефтегазовой отрасли становится ключевым приоритетом. Перед компаниями стоит задача не только защищать критически важные объекты от киберугроз, но и минимизировать риски аварий, вызванных как техническими, так и человеческими факторами. Как компании справляются со всеми вызовами? Своим мнением поделился директор департамента автоматизации производства и ИТ АО «Эмбамунайгаз» Болат Нсанбаев.
– Как вы оцениваете текущее состояние промышленной безопасности в нефтегазовой отрасли, и какие меры предпринимает ваша компания для защиты производственных систем от киберугроз?
– Современное состояние промышленной безопасности в нефтегазовой отрасли можно охарактеризовать как стабильное, но требующее постоянного внимания из-за увеличения сложности автоматизированных систем, развития цифровизации, интеграции производственных систем с корпоративными и растущими киберугрозами. Основные вызовы включают обеспечение безопасности критически важных объектов, предотвращение аварий, вызванных человеческими и техническими факторами, а также повышение защищенности от кибератак.
В нашей компании структурные подразделения, отвечающие за ИТ и ИБ, в лице департамента автоматизации производства и информационных технологий, а также службы корпоративной безопасности, регулярно проводят мероприятия, направленные на повышение устойчивости кибербезопасности, и реализуют следующие меры по защите автоматизированных производственных систем от киберугроз:
1. Использование современных технологий кибербезопасности:
− Эксплуатация систем обнаружения и предотвращения вторжений (IDS/IPS);
− Эксплуатация программного обеспечения для защиты промышленных систем (SCADA-системы, станции операторов, Программируемые логические контроллеры (PLC);
− Подключение промышленных систем к оперативному центру информационной безопасности (ОЦИБ), где в режиме онлайн осуществляется мониторинг, анализ и реагирование на инциденты информационной безопасности в режиме реального времени.
2. Сегментация сетей:
− Разделение производственных и корпоративных сетей для снижения рисков распространения угроз на уровне межсетевых экранов, включая создание IDMZ зон для обеспечения безопасного обмена данными между корпоративными ИТ-сетями и производственными (технологическими) сетями.
3. Проведение регулярных аудитов безопасности:
− Анализ текущих рисков, проверка соответствия нормативным документам и внутренним регламентам, устанавливающим требования к настройке аппаратных и программных средств, предназначенных для обеспечения кибербезопасности.
4. Резервное копирование и аварийное восстановление:
− Регулярное резервное копирование данных для оперативного восстановления в случае кибератаки или технического сбоя
5. Разработка нормативных внутренних документов:
− Разработка и регулярная актуализация внутренних регламентов и процедур, обеспечивающих организацию защиты производственных систем, управление инцидентами, контроль за соблюдением требований, а также разработку плана аварийного восстановления и других необходимых мер.
– Как ваша компания управляет рисками безопасности при внедрении новых автоматизированных решений и ИТ-систем на производстве, и какие практики обеспечивают их надежную защиту?
– Наша компания управляет рисками безопасности при внедрении новых автоматизированных решений и ИТ-систем на производстве за счет комплексного подхода. Основные меры включают:
1) Предварительная оценка рисков.
− На начальном этапе каждого проекта проводится тщательный анализ потенциальных угроз и уязвимостей. Это позволяет выявить слабые места и предусмотреть соответствующие меры защиты в архитектуре решений.
2) Соответствие требованиям и стандартам.
− Соблюдение нормативов и корпоративных стандартов безопасности. Все новые системы проходят проверку на соответствие внутренним и внешним регламентам перед запуском в эксплуатацию.
3) Защита на уровне IDMZ.
− Производственные сети изолируются от корпоративных ИТ-систем через промышленную демилитаризованную зону (IDMZ), что обеспечивает дополнительный уровень контроля и минимизирует вероятность угроз извне.
4) Постоянный мониторинг и тестирование после ввода в эксплуатацию.
− Применение систем IDS/IPS для выявления и предотвращения угроз;
− Постоянное наблюдение, анализ и оперативное реагирование на инциденты через оперативный центр информационной безопасности;
− Периодическое проведение проверок на проникновение и аудит безопасности для своевременного обнаружения и устранения уязвимостей.
Олег Биль, руководитель направления по исследованию вредоносного кода Seven Hills of Kazakhstan, поделился своим мнением о том, как адекватно оценить существующие планы реагирования на инциденты? С какой периодичностью проводить аудит безопасности промышленной инфраструктуры? Какие меры предпринять, чтобы минимизировать ущерб при кибератаках?
– Как узнать, что существующие планы реагирования на инциденты в промышленном секторе адекватны растущим угрозам?
– Повышать квалификацию. Причем, как с помощью курсов, так и с помощью чтения открытых и, по возможности, закрытых (платных) отчетов о деятельности современных группировок, как, предположительно, спонсируемых государствами и занимающихся, преимущественно, шпионажем и захватом контроля над ресурсами, так и финансово-мотивированных группировок (шифровальщики-вымогатели, группировки, ворующие деньги у банков/крипто-проектов и их крупных клиентов). На мой взгляд, эти группировки часто берут на вооружение инструменты и методы друг друга и то, что актуально и действенно в одной сфере – часто будет через время использовано в другой. Часто специалисты, работающие в сфере безопасности, находятся в плену стереотипов и не осведомлены о существующих возможностях атакующих (бесфайловые атаки, атаки без использования вредоносного кода, преодоление «воздушного зазора» (очень актуально для промышленного сектора) и др.). Иногда это не позволяет таким специалистам адекватно оценивать применяемые ими методы защиты.
– Как часто должны проводиться аудиты кибербезопасности в промышленной инфраструктуре?
– Мне трудно сказать, так как я не являюсь пентестером или red-тимером. Но мне кажется, что для ответа на этот вопрос надо учитывать следующие факторы:
*Привлекательность защищаемого объекта для атакующих (как правило, она определяется масштабом организации, воздействием на отрасль (для шпионажа и контроля) и окружающую среду (для саботажа) и финансовыми возможностями (для вымогательства)). В последние несколько лет на этот фактор сильно влияет геополитическая обстановка. Часто эта обстановка может сделать организацию, которая ранее была неинтересной для атаки, одной из важнейших целей. Это влияет на размер выделяемых атакующими ресурсов и резко повысить вероятность успешной атаки. Это обязательно нужно учитывать в планировании.
*Реальная связанность с глобальными сетями. Существуют объекты, которые ранее имели реальное разделение сетей («воздушный зазор»), но позднее, в силу развития технологий и требований вендоров по получению телеметрии, фактически, получившие связь с интернетом. Да, в таких случаях используются средства программного или аппаратного управления сетями, но злоумышленники могут получать доступ к таким средствам и менять их настройки. Помимо действий атакующих, связать сеть с интернетом могут сотрудники организации, с целью повышения удобства администрирования (например, для решения проблем при нахождении сотрудника в отпуске или командировке). После подобных действий назвать такие сети изолированными уже трудно и нужно иметь процедуры верификации настроек и прочие методы, подтверждающие неизменность архитектуры сетей и других важных настроек.
*Механизмы контроля инструментов (флеш-диски, ноутбуки, компьютеры, маршрутизаторы и др.), которые перемещаются между открытой и изолированной сетью, а также – вносятся в нее для постоянной работы (при покупке нового оборудования).
*Оснащенность объекта цифровыми технологиями и обеспеченность кадрами. Возможность организации внутреннего процесса пентестов или red-тиминга. Это влияет на частоту заказа внешнего.
При качественной внутренней команде и развитой ИТ инфраструктуре организации, как мне кажется, достаточно проведения внешних пентестов один или два раза в год (в зависимости от указанных выше факторов)
– Как подготовить промышленный объект к ситуации, если злоумышленники выведут из строя IT-системы?
– К сожалению, полностью подготовить объект к такому сценарию не всегда возможно. Если у вас имеется доменная печь, то, скорее всего, существует некий компьютер, который ей управляет без дублирования (или с таким дублированием, на которое, при наличии прав, можно повлиять). Если атаковать его и не будет полностью независимой системы защиты (желательно — основанных на физических принципах (давлении, уровнях жидкости, температуре и др., но не просто альтернативном компьютере)) — то противодействовать вмешательству будет очень затруднительно.
Но, конечно, общие правила резервирования, дублирования (там, где возможно), разделения доступа (и сетей), применения средств защиты, которые применяются в защите важных ИТ систем — позволяют существенно снизить (разделение и средства защиты) вероятность успешной атаки и смягчить (резервирование и дублирование) последствия атак, а также — упростить восстановление, если атака, всё-таки, произошла. Также важно применять специализированные средства защиты промышленных (АСУ ТП) сетей. Они позволят выявить аномалии в управлении механизмами и это повысит вероятность обнаружения атаки до того, как последствия станут опасными или необратимыми.
– Какие подходы вы рекомендуете для обучения сотрудников промышленного предприятия в области кибербезопасности?
– Если парой слов, то «комплексный» и «постоянный».
Они должны касаться всех (в том числе — руководителей отделов информационной безопасности, сетевого администрирования и рядовых операторов). Также желательно противодействовать ощущению «звездности» у любых сотрудников — часто это приводит к недооценке как возможностей атакующей стороны, так и ее мотивации к атаке («да мы никому не нужны»). Причем, эффективность фишинговых учений я бы не переоценивал. К сожалению, реальная атака подготовленного злоумышленника отличается от учений, на которых акцент делается на наличии признаков атаки в письме.
Такие учения полезны и действительно позволяют поднять планку усилий злоумышленников, необходимых для проведения успешной атаки. Но, при этом, не нужно создавать у коллектива чувства ложной безопасности и чрезмерной уверенности в своей неуязвимости после таких учений. Это часто является первым шагом на пути к успешной атаке.
Мне часто доводилось находить вредоносные объекты на компьютерах администраторов и специалистов по безопасности, которые были абсолютно убеждены в неприступности своих систем.
– Что искать при аудите кода, чтобы выявить уязвимость, ставшую причиной кибератаки на объект КВОИКИ, и какие инструменты для этого лучше использовать?
– Начинать можно с отличий от эталонных образцов кода или исполняемых модулей (если такие доступны), файлов, с неожиданными датами изменений (например, по документации, файл последний раз изменялся год назад, но реальная дата изменения файла — месяц назад), обращать внимание на файлы или ссылки на файлы, которые не существуют в эталонных образцах.
Но нужно помнить о возможностях атакующих, и квалифицированные атакующие могут сделать многое для противодействия криминалистическому анализу (изменение дат файлов; модификация эталонных файлов; взлом сторонних хранилищ и подмена доверенных файлов, с целью их включения в проект; взлом (или социальная инженерия разработчиков) проектов с открытым исходным кодом, широко используемых в инфраструктурных инструментах (например, недавняя атака на проект архиватора, используемого во многих дистрибутивах Linux). Также нужно учесть, что злоумышленники могут внедрять вредоносный код в зависимости проекта (в том числе, в заголовочные файлы, используемые при его компиляции). Также злоумышленники могут применять бесфайловые технологии атак, технологии использования для атак легитимного ПО, встроенного в операционную систему (так называемые атаки Living off the land). Поэтому процесс криминалистики и реагирования при сложной атаке — это всегда сложное мероприятие, требующее высокой квалификации и хорошей координации действий между командой экспертов по криминалистике и специалистов в области ИТ и ИБ пострадавшей организации.
Список инструментов, в большинстве случаев, не сильно отличается от стандартных инструментов, используемых в компьютерной криминалистике (это инструменты для получения и анализа дампов оперативной памяти, образов жесткого диска, инструментов дизассемблирования / декомпилирования исполняемых объектов (при реверс-инжиниринге подозрительных или вредоносных объектов) и иные вспомогательные инструменты). Также, при работе с нестандартным оборудованием, специализированным программным обеспечением, могут потребоваться инструменты для извлечения информации с оборудования и декодировщики специализированных форматов файлов. Но это всё сильно зависит от конкретной ситуации и необходимость использования будет определяться в ходе расследования инцидента.
Современные промышленные объекты — это сложные экосистемы, где пересекаются старое оборудование, новейшие разработки и уникальные архитектуры систем. Но как проводить аудит безопасности таких инфраструктур? Об этом и не только – эксперт по кибербезопасности Евгений Суханов.
– Как вы рекомендуете проводить тестирование и аудиты безопасности на промышленных объектах, особенно если они имеют разнообразные и сложные системы, включающие старое оборудование и новые разработки?
– Как известно, в мире нет ни одной одинаковой технологической инфраструктуры на промышленных объектах. Каждая архитектура уникальна и используемые в ней решения тоже. Учитывая риски, которые возникают при компрометации критической инфраструктуры к вопросу организации аудитов защищенности и тестирования на проникновение мы относимся с особым вниманием к деталям.
Стандартные модели тестов на проникновение white / black / grey box должны быть дополнены анализом уязвимостей в системах технологического управления, включая проприетарные протоколы взаимодействия технологических систем, а также анализом кода технологических приложений, так как зачастую они «самописные», либо устаревшие и не поддерживаются производителем.
Само собой, программа кибербезопасности для промышленных объектов должна включать такие комплексные аудиты безопасности на регулярной основе, поскольку «разовые акции» не влекут за собой системного подхода и не гарантируют снижения существующих рисков для производства.
– Как подготовить план действий для защиты промышленного объекта от кибератак?
– В любой работе по защите информации важно определить – что мы защищаем и от чего. Детальные ответы на эти простые вопросы позволяют проработать комплексный подход по реализации и дорожной карте действий.
Начать необходимо с проведения аудита защищенности промышленного объекта (либо его части – технологической сети или объекта критической инфраструктуры). Результатом аудита должна стать карта рисков, с перечнем ИТ активов, текущим состоянием системы кибербезопасности, процессов управления кибербезопасностью (регламенты и процедуры), а также уровнем защищенности объекта и осведомленности персонала в вопросах защиты информации.
Исходя из результатов аудита, на каждый риск должно быть сформировано компенсирующее мероприятие – это может быть модернизация или внедрение средств защиты, актуалиазция руководящего документа и процесса, повышение осведомленности. На основании значимости каждого риска мы получаем приоритезацию каждого шага в дорожной карте. Далее мы можем оценить бюджет выполнения всех мероприятий, соотнести с нашей инвестиционной программой и выходить на защиту дорожной карты у руководства.
– Кто несет ответственность за защиту от киберугроз в случае, если объект КВОИКИ передан на аутсорсинг или его защищают сторонние подрядчики?
– Это довольно тонкий момент на сегодняшний день. В законадательной базе в явном виде указано, что ответственность за защищенность несет владелец объекта, то есть предприятие, на балансе которого данный объект критической инфраструктуры находится. При этом в цепочке поставок вопрос обеспечения кибербезопасности при проведении проектных работ, либо полностью – может отдаваться на аутсорс. На мой взгляд, у нас сейчас нет большой судебной практики в этой области, и решающую роль в определении ответственности будут играть качественно сформулированные документы о взаимоотношениях и областях ответственности с подрядчиками.
– Какие инновации в области киберзащиты могут в ближайшее время улучшить безопасность объектов КВОИКИ?
– В ходе нарастающих темпов цифровизации мы видим и возрастающие тренды киберугроз для промышленности. Стандартные средства защиты уже не могут гарантировать полноценную защиту и нужен более комплексный подход.
На мой взгляд, инновации можно разделить на 2 больших направления: выстраивание эшелонированной защиты на предприятии и применение механизмов защиты, основанных на машинном обучении, поведенческом анализе и искуственном интеллекте.
Эшелонированная мультивендорная модель позволяет выстраивать многоуровневую защиту, подобно системам управления в самолетах, которые многократно резервируются. А новые классы систем защиты, использующие поведенческий анализ конечных устройств в сети и анализующие трафик на аномалии – позволяют защищать инфраструктуру от атак «нулевого дня» и минимизировать последствия возможной атаки за счет раннего реагирования.
Таким образом,защита критически важной инфраструктуры (КВОИКИ) требует комплексного подхода. Это мониторинг, своевременное обновление систем и обучение персонала. В случае кибератаки важно действовать оперативно: быстро выявить инцидент, локализовать угрозу и следовать заранее разработанному плану реагирования. На сегодня это ключевые элементы обеспечения киберустойчивости.