Владимир Назаров: "Случаи массовых вирусных атак лишний раз показали, что отсутствие должного внимания к ИБ может привести к простою производства или авариям и вылиться в прямые убытки, исчисляющиеся миллионами долларов"
16.10.2017

Прогресс затрагивает все сферы экономики, с одной стороны, открывая перед компаниями небывалые возможности по управлению технологическими и бизнес-процессами, с другой – ​повышая уязвимость предприятий, которые все чаще попадают под прицел киберзлоумышленников. Руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров рассказал редактору "Стандарта" Ксении Прудниковой о комплексных подходах к обеспечению информационной безопасности промышленных предприятий и компаний ТЭК, а также о важности госрегулирования в сфере ИБ.

- В связи с развитием технологий и все более широким распространением промышленного Интернета вещей (IIoT) вопросы обеспечения информационной безопасности становятся как никогда актуальны. Насколько остро они стоят в российской промышленности? Чем это обусловлено?

- Еще несколько лет назад безопасность в промышленном секторе рассматривалась исключительно как физическая защита объектов производства. Теперь на первый план выходит безопасность информационная. Случаи массовых вирусных атак (WannaCry и NotPetya) лишний раз показали, что отсутствие должного внимания к ИБ может привести к простою производства или авариям и вылиться в прямые убытки, исчисляющиеся миллионами долларов. Например, это случилось с транспортно-логистической компанией Maersk Group, ущерб которой от действия шифровальщика NotPetya составил, по собственным оценкам компании, от $200 млн до $300 млн.

Внедрение и применение цифровых технологий предполагает оперативный сбор, обработку и анализ данных о работе ключевых систем, что в свою очередь позволяет злоумышленнику влиять на технологический процесс. В случае успешной атаки он сможет не только вывести из строя дорогостоящее оборудование и остановить производственный цикл, но и спровоцировать техногенную катастрофу. И для этого уже не нужен физический доступ к оборудованию – ​достаточно сетевого соединения.

IIoT по ряду причин пока не получил широкого распространения. В частности, до сих пор нет общего понимания, что представляет собой технология промышленного Интернета вещей и с каким оборудованием она совместима. Кроме того, промышленный сектор в принципе перенимает инновационные технологии с некоторым запозданием. Тем не менее предприятиям необходимо задуматься о безопасности заблаговременно, до того как технология станет мейнстримом и на каждом объекте промышленной инфраструктуры появятся решения класса IoT.

- Какие отрасли подвержены наибольшим рискам? Какие сегменты отечественной промышленности лучше других подготовлены к противостоянию современным киберугрозам?

- На данный момент во всем мире под прицелом кибертеррористов находится энергетическая отрасль. Во многом это объясняется стремлением злоумышленников к публичности: инцидент с атакой на энергетический объект в любом случае будет предан широкой огласке. Еще одна причина – ​отсутствие должного уровня защиты объектов и, как следствие, простота реализации атак. Например, злоумышленник, получивший сетевой доступ к оборудованию электрической подстанции, может нанести серьезный ущерб, даже не обладая высокой квалификацией. В прошлом году в рамках игрового полигона на форуме Positive Hack Days школьник вызвал короткое замыкание подстанции: ему удалось обойти защиту промышленных протоколов и спровоцировать замыкание на магистральной подстанции высокого напряжения (500 кВ), которое сопровождалось имитацией физического повреждения оборудования (возгорание кабелей). Кстати, структура многих производств включает в себя энергостанции, оборудование которых становится мишенью атак, так как это самый быстрый и эффективный способ нарушить работу предприятия. Проблема недостаточной защиты энергообъектов нашла отражение в прессе: в ряде публикаций был сделан акцент на том, что обнаружены специализированные программы, используемые для несанкционированных воздействий на электрические подстанции.

Передовые предприятия целенаправленно и внимательно изучают вопросы обеспечения безопасности автоматизированных систем управления технологическими процессами (АСУ ТП). Не последнюю роль в этом сыграли инциденты с массовыми вирусными атаками, затронувшие в том числе промышленный сектор. Дополнительными стимулами для российских предприятий стали 187‑ФЗ "О безопасности критической информационной инфраструктуры РФ" и создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

- Представители каких отраслей являются клиентами Positive Technologies в России? Расскажите о наиболее масштабных и уникальных проектах, реализованных для отечественных компаний за последний год.

- Среди наших клиентов – ​представители финансового и телекоммуникационного секторов, госучреждения, промышленные предприятия. Хотелось бы отметить такие компании, как ПАО "НП "Роснефть", ПАО "ЛУКОЙЛ", ПАО "Газпром", госкорпорация "Росатом". Только в прошлом году мы завершили более десяти крупных проектов по анализу защищенности АСУ ТП в электроэнергетических, транспортных, металлургических и нефтяных компаниях. В продолжение реализуем новый этап – ​пилотные внедрения собственных решений, предназначенных для управления инцидентами кибербезопасности в промышленных системах управления.

Среди реализованных Positive Technologies уникальных заказов нельзя не упомянуть проект по повышению киберзащищенности микропроцессорных систем управления движением поездов, применяемых на объектах РЖД. В проекте, реализованном при активной поддержке сотрудников РЖД, были задействованы наши эксперты, специалисты ООО "Бомбардье Транспортейшн (Сигнал)" и ОАО "НИИАС". Мы разработали комплексную систему, включившую в себя сенсор анализа сетевого трафика на базе системы управления инцидентами кибербезопасности PT Industrial Security Incident Manager и устройство кибербезопасного мониторинга CyberSafeMon. Проект стал первым в мире практическим опытом обеспечения безопасности микропроцессорных систем железнодорожной автоматики, а сам комплекс был высоко оценен экспертным советом по кибербезопасности РЖД.

- Как вы оцениваете уровень защищенности отечественных объектов ТЭК от киберугроз? Каково, на ваш взгляд, место страны по этому показателю в мировом рейтинге?

- Применяемое в сфере ТЭК оборудование имеет множество уязвимостей. В соответствии с нашими данными, только в 2016 году обнаружено более 100 уязвимостей в компонентах АСУ ТП основных производителей. При этом большая часть уязвимостей приходится на устройства диспетчеризации и мониторинга (HMI/SCADA), а 60 % – ​имеет критическую и высокую степень риска.

Наиболее распространенные уязвимости – ​удаленное выполнение кода, отказ в обслуживании и раскрытие информации. Результатами атаки через данные уязвимости могут стать: нештатный режим работы предприятия, выход из строя оборудования, остановка производственных процессов, что в конечном счете может привести к значительным финансовым потерям. В качестве наглядного примера вспомним недавний случай с программой Industroyer, позволявшей напрямую управлять выключателями и прерывателями цепи в сети электрических подстанций и поддерживавшей промышленные протоколы IEC 101, IEC 104, IEC 61850, OPC DA. Именно отсутствие механизмов защиты в данных протоколах позволило программе нарушить работу электрической подстанции.

К началу 2017 года мы зафиксировали более 160 тыс. компонентов АСУ ТП, имеющих подключение к Интернету. Больше всего таких компонентов – ​в странах с глубоким проникновением новейших технологий: в США (31 %), Германии (8 %) и Китае (5 %). В России процент доступных через Интернет компонентов составляет менее 1 % от их общего числа.

- В чем особенности киберзащиты промышленных сред? Какие пробелы компаниям стоит ликвидировать в первую очередь?

- Инструменты ИБ, разработанные для промышленности, не должны влиять на технологический процесс, сетевую инфраструктуру и промышленное оборудование – ​во избежание его отказа, снижения надежности и эффективности систем, других нежелательных последствий. Приоритет отдается непрерывности процесса, поэтому предпочтительно применение пассивных средств защиты – ​например, системы управления инцидентами кибербезопасности АСУ ТП. Такие решения обеспечивают непрерывный мониторинг сетевой активности и позволяют своевременно выявлять уязвимости промышленной сети предприятия и хакерские атаки на нее.

Обеспечение защиты АСУ ТП от киберугроз требует комплексного подхода. Прежде всего мы рекомендуем выявить типовые пробелы: в частности, те, что открывают злоумышленникам возможность проникновения в технологическую сеть. Часто в ходе анализа защищенности выясняется, что в организациях используются устаревшие версии ПО, незашифрованные протоколы, установленные по умолчанию пароли. Был случай, когда мы обнаружили подключенный к технологической сети принтер, который потенциально можно было использовать для атаки. Наиболее частое нарушение ― использование неактуальных версий ПО. Мы также нередко сталкиваемся с тем, что заказчики не в полной мере владеют информацией о собственной сетевой инфраструктуре, а ведь планирование атаки злоумышленники начинают с ее сканирования – ​чтобы определить все доступные устройства. Поэтому хорошая отправная точка – ​проведение инвентаризации. Для повышения общего уровня безопасности промышленных систем необходим регулярный анализ защищенности с целью выявления возможных векторов атак. Практика показывает, что эта процедура должна быть как минимум ежегодной, поскольку за этот период может произойти техническая модернизация, смена состава персонала, могут появиться новые угрозы.

- Считаете ли вы, что для эффективного противостояния киберугрозам необходимо внедрение отраслевых и государственных стандартов безопасности? Принимают ли специалисты Positive Technologies участие в разработке таких стандартов в России и мире?

- В течение последних лет большинство работ в области безопасности АСУ ТП в лучшем случае доходило до стадии проектирования общих технических решений. Плюс, могли внедряться отдельные элементы системы безопасности – ​в виде специализированного сетевого оборудования, межсетевых экранов. Сейчас мы наблюдаем попытки реализации комплексного подхода к обеспечению безопасности. И в связи с этим можно говорить о том, что развитие нормативной базы ведет к формированию рынка, и в этом процессе роль регуляторов крайне важна. Я уверен, что наличие отраслевых и государственных стандартов безопасности необходимо.

В первую очередь они должны применяться на предприятиях, от которых зависит функционирование социальной и государственной инфраструктур. Национальный регулятор должен устанавливать правила и жестко отслеживать их соблюдение: реалии таковы, что если нет единых обязательных требований к обеспечению ИБ, то ей не уделяется необходимого внимания. Так, владельцы промышленных объектов долгое время откладывали практическую реализацию требований 31‑го приказа ФСТЭК, носившего рекомендательный характер. Ситуация начала меняться только с выходом федерального закона о безопасности критической информационной инфраструктуры (КИИ), определяющего основные принципы обеспечения ее безопасности, а также обязанности и ответственность лиц, владеющих объектами критической инфраструктуры. К слову, закон предусматривает возможность лишения свободы владельцев КИИ на срок от пяти до десяти лет: в случае, если их деяния повлекли за собой тяжкие последствия или создали угрозу их наступления.

Мы на регулярной основе оказываем помощь в формировании требований безопасности: эксперты Positive Technologies входят в несколько технических комитетов Росстандарта, в рабочую группу Минэнерго РФ по разработке нормативных требований к обеспечению ИБ в рамках инициативы по цифровой трансформации электроэнергетики и конечно же принимали участие в разработке 31‑го приказа ФСТЭК, 187‑ФЗ.

Наша основная цель ― привнести в нормативные документы свой многолетний опыт анализа исходных кодов и тестов на проникновение, добиться, чтобы в итоге требования законодательства соответствовали реальному положению дел в сфере кибербезопасности. Наша компания поддерживает и международные инициативы. Эксперты Positive Technologies являются участниками рабочих групп Российского национального комитета международного совета по большим электрическим системам высокого напряжения (РНК СИГРЭ), занимающихся вопросами кибербезопасности систем АСУ ТП и релейной защиты автоматики.

- С учетом того, насколько быстро развиваются технологии, как правильно выстраивать регулирование в области ИБ, чтобы оно не тормозило развитие бизнеса и сохраняло актуальность требований на длительный срок?

- На наш взгляд, регуляторы выбрали правильную стратегию создания нормативных документов по обеспечению ИБ критических объектов. К разработке нормативной базы привлекаются игроки рынка информационной безопасности, производители систем промышленной автоматизации, нефтегазовые, электроэнергетические компании, оборонные предприятия и др. Кроме того, регуляторы активно перенимают глобальный опыт: отечественная нормативная база в области ИБ АСУ ТП создается с учетом международных стандартов и лучших зарубежных практик.

Долгое время обеспечение безопасности рассматривалось владельцами промышленных предприятий как статья расходов. Сейчас у них появился выбор, и они могут выстроить процесс таким образом, чтобы он не шел в разрез с коммерческими интересами: наряду с вариантом создания внутреннего подразделения, появилась возможность покупать услуги по обеспечению ИБ у сервис-провайдеров. Пока отечественные предприятия идут по стандартному пути – ​внедряют средства защиты и нанимают сотрудников для обслуживания решений.

Как только стало понятно, что федеральный закон будет принят, у Positive Technologies, к примеру, увеличилось количество запросов на решения для промышленных предприятий (несмотря на то, что пока нет понимания, какие именно компании будут занесены в реестр КИИ). Кроме того, все чаще появляются вакансии в сфере ИБ АСУ ТП. Правда, таких специалистов на рынке труда очень мало, поэтому многие предприятия пошли по пути обучения собственных сотрудников. Кстати, мы тоже получаем запросы на обучение экспертов в работе с отраслевыми решениями безопасности.

В Европе, напротив, распространена практика обращения к сервис-провайдерам. В обозримой перспективе интерес к сервисной модели в России, скорее всего, будет расти. Соответственно, можно выделить такие этапы развития модели: стартовав в ИТ-сфере, со временем она перешла в ИБ, а следующий этап ― распространение аутсорсинга в ИБ АСУ ТП.

- Positive Technologies взаимодействует с российскими вузами. Как строится данное сотрудничество? Какими навыками должны обладать будущие специалисты по ИБ?

- В России и странах СНГ мы сотрудничаем со 130 вузами, основная часть которых выпускает специалистов по информационной безопасности. В наших планах ― охватить и образовательные организации, готовящие специалистов для работы с АСУ ТП, так как необходимо уже на ранних этапах предусматривать безопасные подходы к проектированию и эксплуатации систем, управляющих промышленными объектами.

Рынок ИБ нуждается в кадрах, обладающих знаниями современного ландшафта угроз, новейших технологий и средств защиты, а также пониманием логики бизнес-процессов. Бытует мнение, что не все вузы готовы давать реальные знания и навыки, необходимые рынку. Мы хотим разрушить этот стереотип, поэтому в работе с высшими учебными заведениями делаем упор на приобретение практических навыков.

На наш взгляд, мало выдавать вузу лицензию на использование какого-либо решения для учебных стендов – ​нужно оказывать еще и методическую помощь. Преподаватели часто перегружены текущей работой и на освоение чего-то нового у них нет времени, поэтому мы стараемся предоставить сборники лабораторных работ и методические материалы, а также делимся собственными наработками. Кроме того, проводим мастер-классы и дополнительные занятия со студентами, помогаем им формировать темы курсовых и дипломных работ, приглашаем на стажировку. Такая работа уже приносит свои плоды: учащиеся, которые освоили наши продукты, получают свидетельства и сертификаты, подтверждающие их знания и навыки. Все это должно помочь будущим специалистам в трудоустройстве.

Статьи по теме