Андрей Суворов: «Компании традиционно пытаются построить «хорошие забор и ворота» для доступа приложений и пользователей. Однако хакеры легко обходят такие «заборы»
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

19.12.2024

«ГенИИ» завершили год разговором о главной технологии FinTech

Читать далее 

17.12.2024

РДТЕХ внедряет новый премиальный стандарт сервисной поддержки

Читать далее 

17.12.2024

Минцифры усиливает подготовку ИТ-специалистов

Читать далее 

13.12.2024

Рынку индустриального ПО нужна стратегия развития Итоги III Конференции по матмоделированию

Читать далее 

07.12.2024

Avanpost FAM/MFA+ стали еще безопаснее: вышла обновленная версия системы аутентификации

Читать далее 

показать все 

Статьи

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

Читать далее 

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

Читать далее 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

показать все 

Андрей Суворов: «Компании традиционно пытаются построить «хорошие забор и ворота» для доступа приложений и пользователей. Однако хакеры легко обходят такие «заборы»

Главная / Интервью / Андрей Суворов: «Компании традиционно пытаются построить «хорошие забор и ворота» для доступа приложений и пользователей. Однако хакеры легко обходят такие «заборы»


Андрей Суворов:
«Компании традиционно пытаются построить «хорошие забор и ворота» для доступа приложений и пользователей. Однако хакеры легко обходят такие «заборы»

Как можно противостоять киберугрозам? Каковы тренды развития информационной промышленной безопасности? Что важно для защиты промышленных систем?

На эти и другие вопросы «БИТа» отвечает директор по развитию бизнеса безопасности критической инфраструктуры «Лаборатории Касперского»

Андрей Суворов

– Какие основные угрозы для промышленной информационной безопасности вы видите в 2017 году?

– В современном мире развитие и повышение конкурентоспособности компаний во многом зависят от технологических факторов, новых информационных и коммуникационных технологий, которые может использовать бизнес. Однако новые возможности имеют и обратную сторону, связанную с киберрисками, представляющими быстро растущую опасность, угрозу для промышленных систем. Чтобы быть готовыми к таким рискам, бизнесу необходимо понимать их природу, знать, как выстраивать защиту, и действовать проактивно. Сегодня это задача высшего руководства компании, в том числе финансовых директоров и руководителей департаментов управления рисками, а не только ИТ-специалистов.

Приведу немного статистики. По результатам одного из ежегодных исследований (Allianz Risk Barometer) важность данной области очевидна – с 2013 года, когда вопросы киберугроз были на 13-м месте, в 2016-м они переместились на 3-е место. По данным американской организаций ICS CERT, на промышленных объектах по всему миру произошло 290 инцидентов за 2016 год. Эти цифры взяты из отчетов, предоставленных заказчиками, изъявившими желание поделиться такой информацией.

Один из трендов состоит в том, что сегодня промышленные системы становятся все более связанными внутри корпорации и с внешним миром, а значит, повышается их уязвимость.

Тренд двунаправленный – бизнес борется за снижение времени принятия решения, а поставщики решений промышленной автоматизации предлагают «умные» элементы на уровне АСУ ТП (таким образом, информация, возникающая на уровне какого-либо полевого датчика или сенсора, должна не только поступать в систему управления технологическим процессом, а сразу в систему управления ресурсами предприятия и в аналитическую систему принятия решений).

Сегодня есть три основные группы рисков. Первая и наиболее распространенная – человеческий фактор. В силу усталости, перегрузки или по другой причине специалист может выполнить действие, несовместимое с регламентом управления киберфизической системой. Приведу показательный пример из одного нашего проекта. Очень опытный инженер сопровождает сложные дорогие системы на объектах. Ему доверяют и на каждом промышленном предприятии обеспечивают подключение к киберфизической системе для проведения определенных регламентных операций, например обновления ПО для технологических процессов.

На одном из заводов в ходе такой операции он совершил ошибку и случайно запустил для обновления ПО другой версии с другого завода. К счастью, до реального обновления дело не дошло, сработала защита в виде установленного решения «Лаборатории Касперского», которое выявило попытку работы с технологическим процессом с несоответствующей эталону версией ПО. В результате сигнал был зафиксирован, действие вовремя обнаружено и инцидент предотвращен. Примеров рисков по причине человеческого фактора на практике очень много.

Второй вектор – это вопросы промышленного мошенничества, промышленного фрода (анг. fraud). Сегодня никого не удивить тем, что воруют деньги с банковских счетов, корреспондентских счетов коммерческих банков и даже в центральных банках, о чем говорит последний случай кражи 89 млн USD со счета ЦБ в Бангладеш. В последнее время похожие случаи начали происходить в контуре промышленных компаний – только предметом такого фрода уже являются физические активы компаний. На последней конференции «Лаборатории Касперского», проходившей в Иннополисе в октябре 2016 года, было представлено три доклада на данную тему (например, как использовать знания АСУ ТП для хищения светлых нефтепродуктов).

Российский рынок сегодня не сильно отличается от международного с точки зрения дефицита знаний, опыта и решений по промышленной кибербезопасности

Третья область – целевые атаки, в том числе на промышленные объекты, занимает менее 1% атак, но чревата самыми высокими рисками и последствиями. Целей подобных атак может быть несколько – от чисто прагматических, то есть наживы, чтобы завладеть активами компании, до организованных политических акций либо со стороны государств, либо со стороны конкурентов. В таких случаях важны не деньги, а факт потерь.

Целевые атаки направлены на конкретно взятое предприятие, конкретный набор имеющихся компонент. Цель простая – выбрать компанию, пытаться понять, что внутри, и организовать атаку с определенными намерениями. Это может быть либо промышленное мошенничество, либо какой-то инцидент в целях вывода из строя оборудования или снижения качества продукции.

– Какие есть возможности у отечественных информационных систем, чтобы противостоять этим угрозам?

– Прогресс невозможно остановить или отменить, важно научиться правильно пользоваться технологиями с точки зрения промышленной безопасности. Нужно сфокусироваться на трех основных областях, которые могут серьезно снизить эффективность всех киберкриминальных составляющих, в том числе человеческого фактора.

Первая область – образовательная. Тема кибербезопасности в промышленных системах абсолютно новая. В крупных компаниях порой недооцениваются такие риски и относятся к ним фрагментарно исходя из опыта и профилирования сотрудников в корпоративном сегменте и сегменте АСУ ТП. Например, многие специалисты, отвечающие за производственные системы, продолжают верить, что их система изолирована и самое главное для них – надежность оборудования и функциональная надежность SCADA-систем, которые они эксплуатируют. При этом они совершенно не подозревают, насколько легко перехватить управление такой системой удаленно, и сделать это может человек, месторасположение которого даже трудно определить. Июльский отчет «Лаборатории Касперского» выявил более 220 000 элементов АСУ ТП, видимых из интернета, из которых 33 000 составляют контроллеры.

Вторая область – проведение анализа защищенности, для этого нужны квалифицированные кадры и практики экспертов.

И третья – внедрение систем кибербезопасности, умеющих «слушать» и «понимать» происходящие события внутри промышленной системы, а не по ее контуру.

Раньше оборудование работало на аналоговых технологиях, которые сами по себе на полевом уровне (основа для работы исполнительных устройств, это датчики, двигатели, клапаны, насосы, турбины) были элементом защиты. Сегодня все это становится цифровым. И это означает, что информация с полевого уровня поступает в какой-то из компьютерных элементов. Значит, такую информацию можно подменить, перехватить, либо дать команду на это устройство и таким образом влиять на процесс, который затрагивает полевой уровень либо исполнительное устройство.

Традиционно пытаются защитить именно периметр промышленной системы, образно говоря, построить «хорошие забор и ворота» для доступа приложений и пользователей в (и из) АСУ ТП. Однако современные хакеры, выдающие себя за бизнес-пользователей или субподрядчиков, легко обходят такие «заборы». И, получив доступ, заходят в систему, где могут делать, что хотят.

Защита по периметру является лишь одним из компонентов решения, а основу составляет, по сути дела, мониторинг активности, действий внутри промышленной системы. Мониторинг аномального поведения на уровне элементов технологического процесса – это уже не вопрос традиционных вирусов и антивирусов, а вопрос поведения. Это может быть отслежено именно с точки зрения аномального поведения кого-то в системе, им может быть очень опытный сотрудник, который ошибся, либо это может быть реальная попытка целевой атаки.

Например, если во время работы электролизных ванн при производстве алюминия злоумышленник может получить доступ к алгоритмам управления оборудованием – анодами, дозаторами, напряжением электролиза, то это может повлечь риск снижения качества выходного продукта и даже возможность хищения ноу-хау компании. Любая попытка подобного рода должна фиксироваться системой защиты как аномальная.

Приведенные три компонента должны быть частью комплексной защиты промышленного объекта. Распознать и решать такие вопросы помогают специалисты, специальные решения и сервисы.

Развитие отечественных систем по информационной промышленной безопасности будет идти в сторону создания специализированных решений и сервисов

Российский рынок сегодня не сильно отличается от международного с точки зрения дефицита знаний, опыта и решений по промышленной кибербезопасности. Пожалуй, в области проведения аудита контура АСУ ТП есть ряд игроков, которые обладают экспертизой, хотя она в основном сосредоточена на ИТ-инфраструктуре, а не на понимании потенциальной модели угроз киберфизической системы. В вопросах образовательных и в роли поставщиков решений для защиты промышленных объектов мы можем говорить об очень ограниченном количестве игроков.

– Есть ли различия между нашими системами по информационной промышленной безопасности и западными? Если да, то какие?

– Ответ на данный вопрос основан на подходе «Лаборатории Касперского», который заложен в платформу KICS (Kaspersky Industrial CyberSecurity). Несмотря на то что в большинстве своем системы промышленной автоматизации проектируются и строятся на базе международных стандартов и поставщиков (включая российские компоненты), эффективная система защиты должна учитывать три аспекта, которые могут отличаться:

  1. Соответствие нормативам локального рынка. Это включает наличие сертифицированной версии решения и возможностей, которые позволяют удовлетворять требованиям документов в области безопасности критической инфраструктуры (в нашем случае требования приказа №31 ФСТЭК).
  2. Возможность анализа целостности технологического процесса, что требует от решения способности анализировать команды внутри технологического процесса и наличия специального инструмента поведенческого анализа (с помощью такой системы можно, например, обнаруживать попытку хищения светлых нефтепродуктов путем подмены данных на уровне АСУ ТП на ранней стадии).
  3. Способность системы промышленной кибербезопасности интегрироваться в комплексное решение на уровне крупной компании или национального центра управления. Это дополнительно требует технологической совместимости и отработки интеграционных сценариев, включая корреляцию событий.

– Что предлагает «Лаборатория Касперского» для защиты предприятий?

– «Лаборатория Касперского» приобрела статус доверенного партнера и поставщика решений безопасности для ведущих промышленных предприятий, которые много лет пользуются ее защитой от вредоносного ПО.

Кроме того, компания сотрудничает с крупнейшими поставщиками решений для промышленной автоматизации (Emerson, Rockwell Automation, Siemens и др.), чтобы обеспечить взаимную совместимость, а также создать специализированные процедуры и платформы сотрудничества, которые позволят защитить промышленные среды от существующих и возникающих киберугроз (в том числе комплексных целенаправленных атак).

«Лаборатория Касперского» развивает свой набор специализированных решений, удовлетворяющих специфические потребности промышленного сектора экономики. Эти решения обеспечивают защиту от киберугроз на всех уровнях промышленных систем (в том числе серверов SCADA, человеко-машинного интерфейса, рабочих станций, ПЛК и сетевых соединений), не влияя на непрерывность работы и стабильность технологического процесса.

Решение для защиты критической инфраструктуры Kaspersky Industrial CyberSecurity соответствует стратегии многоуровневой защиты, созданной «Лабораторией Касперского», и использует сочетание разных методов защиты. Помимо технологий и сервисов, защищающих систему на всех этапах, Kaspersky Industrial CyberSecurity обеспечивает безопасность за счет целого ряда средств, включая контроль целостности, предотвращение вторжений, а также оценку уязвимостей и защищенности от вредоносного ПО.

Набор экспертных сервисов, предлагаемый «Лабораторией Касперского», составляет важную часть решения Kaspersky Industrial CyberSecurity. В него входят обучение сотрудников, анализ защищенности промышленных сетей, интеграция решения, подготовка предложений по улучшению системы безопасности и расследование инцидентов безопасности.

– Каковы перспективы развития отечественных систем по информационной промышленной безопасности?

– Развитие отечественных систем по информационной промышленной безопасности будет идти в сторону создания специализированных решений и сервисов. В настоящее время мы наблюдаем очень серьезное изменение отношения на промышленных предприятиях к киберрискам. Еще год назад мало кто знал про них, а если знали, то ничего не говорили, не обсуждали, не учитывали и не рассчитывали их.

Приведу простой пример из текущей практики страхового бизнеса. Каждое промышленное предприятие имеет договор на страхование, и в случае возникновения каких-то инцидентов они открывают этот договор, чтобы выяснить, что выплатит страховая компания по данному случаю. Сегодня в большей части индустриальные компании мира не получают никакого денежного возмещения, если доказано, что киберинцидент являлся причиной поломки оборудования или простоя бизнеса. Условия договора на страхование этого не предусматривают.

В такой ситуации у финансового директора компании, который читает, смотрит или слышит про киберугрозы, возникает вопрос: а если это случайно или намеренно произойдет в моей компании, что делать и кто будет покрывать потери? Как минимум нужно понимать, что такие случаи не подлежат страховому покрытию. В случае если кибератака выводит из строя промышленную установку, которая может стоить от нескольких сотен тысяч до нескольких миллионов долларов, оно не подлежит покрытию страховой компанией.

Подобные случаи могут стать сильным потрясением для компаний, ведь они могут повлиять на их прибыльность, управляемость и репутацию. Поэтому заказчику нужно очень быстро понять модель угроз с точки зрения потенциальных кибератак для конкретного завода и конкретного технологического процесса. Такая модель позволит выявить приоритеты в защите от нового типа атак (например, в первую очередь следует рассматривать АСУ ТП, которые отвечают за первичную обработку сырья или выпуск финального продукта).

Поэтому нужно обязательно выстроить и проанализировать вектор атак для различных технологических процессов и выделить приоритеты. При этом важно понять, какие существуют уязвимые места и каким образом может действовать атакующий. Иначе говоря, насколько модель угроз действительно реальна для данного завода, и исходя из этого уже строить защиту.

Наш опыт показывает, что многие компании в настоящее время продолжают выстраивать механизмы защиты исходя из своих привычных действий, по аналогии. Например, как защищали офис, такие же схемы переносятся на производство. Новые решения должны быть нацелены на специфические элементы, которые присущи только промышленным системам – промышленные протоколы, контроллеры, панели оператора и др.

«Лаборатория Касперского» проводит регулярные исследования таких элементов, уязвимых мест в промышленных системах и специализированном программном обеспечении, которое управляет ходом технологического процесса (SCADA-системы), и за последние три месяца мы нашли более 60 уязвимостей «нулевого дня» – этот термин стал уже устойчивым. Что он означает?

Если у вас стоит какой-нибудь контроллер, компьютер с программой, и вы ориентируетесь на его заявленные функциональные и нефункциональные (сюда попадает и безопасность) возможности. А на самом деле внутри системы есть некоторая возможность повлиять на это устройство, например, с помощью какой-то команды просто остановить этот процесс или перехватить информацию, которую это устройство передает. Однако вы считаете, что такой команды нет, поэтому она и называется командой «нулевого дня» – она существует, но про нее в компании не знают и даже не догадываются, поскольку она не документирована и не известна даже разработчикам этого элемента. Такой сервис сегодня уникален и будет очень востребован, а значит, его следует ожидать от поставщиков решений.

Действие подобных новых атак направлено, как правило, на технологический процесс, а ее результаты могут проявиться только через год. Например, предприятие может столкнуться с проблемой качества производимого продукта (алюминий из премиальной марки может в итоге превратиться в более низкий выходной продукт для строительства) – будет терять деньги, увольнять технологов, думая, что специалисты не справляются, а на самом деле это может быть элементом серьезной атаки.

В перспективе системы нового поколения должны оперировать терминами логики технологического процесса, быть обучаемыми, т.е. накапливать информацию о корректной работе участников производства и обнаруживать малейшие отклонения.

В начало⇑

Выпуск №07 (140) 2024г.
Выпуск №07 (140) 2024г. Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика