ИТ, ИИ, ИБ: от акронима до стратегии
Хакеры хотят больше. Как не потерять «новую нефть»: курс на киберзащиту данных в нефтегазе
С развитием цифровых технологий информационная безопасность в нефтегазовой отрасли становится всё более приоритетной задачей. В последние годы эта тема приобрела особую актуальность на фоне громких инцидентов, которые продемонстрировали уязвимость отрасли перед киберугрозами. В интервью с президентом TSARKA Group Олжасом Сатиевым мы обсудили, как изменились подходы к безопасности, какие проблемы остаются нерешёнными и что необходимо для усиления защиты критической инфраструктуры в будущем.
– Какие угрозы для информационной безопасности сейчас наиболее актуальны для нефтегазовой отрасли?
– Основные угрозы для информационной безопасности нефтегазовой отрасли на текущий момент разнообразны. В первую очередь, это традиционные риски, такие как уязвимости внешнего периметра, которые могут быть использованы для атак. Однако, более специфичными остаются угрозы, связанные с инсайдерской деятельностью и злоумышленниками, получившими внутренний доступ к инфраструктуре.
Важными целями остаются сервисы, доступные из внешней сети, поскольку злоумышленники могут атаковать их напрямую. Методы социальной инженерии также продолжают быть эффективными способами получения доступа, дополняя использование известных уязвимостей (CVE) и ошибок конфигурации. Например, некорректные настройки сервисов или тестовых сред становятся точками входа для атак.
– Какую угрозу для SCADA-систем и промышленной инфраструктуры представляют современные кибератаки?
– Для промышленной инфраструктуры, включая SCADA-системы, главной угрозой остаётся доступность этих систем. Бывали случаи, когда критически важные данные оказывались в открытом доступе, что повышает вероятность их компрометации. Другой важный момент – это когда сервисы SCADA становятся доступны из внешней сети, что открывает дополнительные векторы атак на критические объекты. Важно, чтобы такие системы были надежно защищены и исключали случайный или намеренный доступ извне.
– Какую роль могут сыграть промышленные пентесты в повышении уровня безопасности?
– Промышленные пентесты – это мощный инструмент для повышения защищенности критической инфраструктуры. Они позволяют выявить слабые места, которые могут быть не обнаружены стандартными методами защиты. Пентестеры, обладая сторонним взглядом, способны находить уязвимости, которые могли быть упущены внутренними специалистами. Этот подход позволяет более объективно оценить эффективность существующих защитных мер и процессов реагирования на инциденты. Даже в условиях развитой системы информационной безопасности тестирование «со стороны» помогает глубже понять уязвимости и найти незамеченные слабые места.
– Какие уязвимости чаще всего остаются незамеченными в нефтегазовой отрасли?
– Одной из наиболее часто упускаемых уязвимостей остаются тестовые сервисы, развернутые разработчиками. Эти сервисы зачастую плохо защищены, но могут содержать важную информацию о рабочей инфраструктуре, что может быть использовано злоумышленниками. Еще одним распространённым сценарием является утечка данных через общедоступные источники, такие как специализированные поисковые запросы (DORK). Например, документация по API или конфиденциальная информация может оказаться в открытом доступе, что создаёт дополнительные риски для компании.
– В чем преимущество программ Bug Bounty в контексте нефтегазовой отрасли?
– Программы Bug Bounty предоставляют уникальные возможности для повышения безопасности. В отличие от традиционных методов тестирования, таких как пентесты или внутренние аудиты, Bug Bounty привлекает глобальное сообщество независимых исследователей, которые используют уникальные подходы и инструменты. Это позволяет выявлять уязвимости, которые традиционные методы могли бы не обнаружить.
В нефтегазовой отрасли, где инфраструктура сложная и многослойная, такие программы особенно актуальны. Программы Bug Bounty позволяют одновременно задействовать тысячи исследователей, которые проверяют системы с разных точек зрения, обеспечивая глубокий и всесторонний анализ.
– Как часто стоит проводить Bug Bounty программы для нефтегазовых компаний?
– Частота проведения Bug Bounty программ зависит от цифровой зрелости компании. Рекомендуется использовать два типа программ:
- Приватные программы: для тестирования новых объектов и систем до их внедрения. Эти программы подходят для ограниченного круга проверенных исследователей и гарантируют высокий уровень конфиденциальности.
- Публичные программы: для функционирующих систем и объектов. Они позволяют привлекать широкое сообщество исследователей и выявлять как очевидные, так и скрытые уязвимости.
Комбинированное использование обеих программ помогает компаниям поддерживать высокий уровень безопасности и оперативно выявлять угрозы.
– Как оценить эффективность Bug Bounty?
– Эффективность можно измерить по нескольким параметрам:
- Количество и качество выявленных уязвимостей – чем больше критических проблем будет обнаружено, тем выше эффективность программы.
- Снижение числа инцидентов – если после внедрения программы количество успешных атак уменьшается, это подтверждает эффективность.
- Финансовый эффект – затраты на Bug Bounty программу значительно меньше возможных убытков от крупных инцидентов, таких как остановка производства или утечка данных.
Кроме того, важно учитывать скорость реакции на уязвимости. Программы Bug Bounty позволяют быстро устранять проблемы и минимизировать риски.
– Какие сложности могут возникнуть при интеграции Bug Bounty программы в крупные компании?
– Основная сложность заключается в обеспечении конфиденциальности данных. В нефтегазовой отрасли информация о процессах и объектах часто является стратегически важной. Поэтому важный шаг – работа с локальными платформами для минимизации рисков утечек данных и обеспечения соответствия национальным требованиям по защите информации.
Кроме того, интеграция таких программ требует корректировки существующих процессов безопасности, обучения сотрудников и адаптации системы к новым методам тестирования.
– Инциденты в нефтегазовой отрасли: примеры и уроки для безопасности…
– В 2017 году Казахстан стал свидетелем кибератаки на компанию NCOC, оператора нефтяного проекта на Каспии. Злоумышленники использовали уязвимость, которая позволила проникнуть в сеть и заразить значительную часть устройств. Хотя атакующие не нанесли ущерба системе SCADA, восстановление после инцидента потребовало значительных усилий, что негативно сказалось на операционной деятельности компании.
На международной арене ярким примером стала атака на Colonial Pipeline в мае 2021 года. Хакеры использовали уязвимость, чтобы остановить работу трубопроводной системы на пять дней, что привело к чрезвычайному положению в США. Эти инциденты подчеркивают важность регулярного тестирования систем и повышения осведомленности сотрудников по вопросам кибербезопасности.
Безопасность в нефтегазовой отрасли требует комплексного подхода. Применение промышленных пентестов, программ Bug Bounty и других современных методов тестирования позволяет не только выявить уязвимости, но и значительно снизить риски для бизнеса. Важно понимать, что информационная безопасность – это не разовая задача, а непрерывный процесс, который должен быть встроен в культуру компании. Чем быстрее и эффективнее компании адаптируются к новым угрозам, тем больше шансов избежать разрушительных последствий кибератак.