Промышленная инфраструктура получила рецепт безопасности

Специалисты "Крок" составили чек-лист по сетевой безопасности технологической инфраструктуры. Эксперты компании, основываясь на проектном опыте, описали пошаговый алгоритм действий, способный обезопасить ИТ-инфраструктуру предприятия.

Чаще всего, как отмечают в "Крок", атаковали предприятия нефтегазовой отрасли, машиностроения и энергетики. При этом злоумышленники использовали для нападения элементы инфраструктуры, которые подключены к публичному интернету, вредоносное ПО на внешних носителях, а также почтовые вложения.

Менеджер по развитию бизнеса, направление защиты промышленных инфраструктур, "Лаборатории Касперского" Александр Познякевич в своем выступлении на конференции AM Live "Актуальные вопросы сетевой безопасности технологических сетей АСУ ТП" приводил схожие данные: "Как следует из отчета нашего ICS CERT о ландшафте киберугроз в АСУ ТП за первое полугодие 2021 г., во всем мире порядка 32% промышленных ARM-серверов подвергаются тем или иным атакам. В России этот показатель выше - порядка 40%. Как правило, это типовые угрозы, связанные с интернетом: запуск сторонних скриптов, перенаправление на вредоносные ресурсы. На втором месте - подключение USB-устройств и связанные с этим атаки троянов, вирусов, программ-шифровальщиков. На третьем - вредоносные почтовые вложения". При этом количество атак на промышленную инфраструктуру, как показывает статистика "Лаборатории Касперского", с каждым годом увеличивается. Счет таких атак уже идет на десятки. Как правило, речь идет о серьезных APT-группировках.

Технический директор InfoWatch ARMA Игорь Душа на той же конференции обращал внимание также и на то, что многие киберпреступные группировки активно пытаются шантажировать промышленные предприятия с помощью привычных инструментов, прежде всего шифровальщиков: "Мы наблюдаем, что значительная часть группировок переходят в экономическую сферу и стремятся заработать деньги. Поэтому количество шифровальщиков, целенаправленно доставленных в промышленную инфраструктуру, растет не только в России, но и за рубежом. Достаточно вспомнить атаку на трубопроводную систему Colonial Pipeline. Нужно отметить, что такие инциденты довольно резко изменяют отношение к информационной безопасности со стороны предприятий". К слову, атаку на Colonial Pipeline, наряду с заражением зловредами аналогичного класса облачного провайдера Kaseya и его 1000 пользователей, консультант по информационной безопасности Cisco Алексей Лукацкий в своем блоге назвал в числе наиболее значимых инцидентов 2021 г.

Чек-лист по сетевой безопасности АСУ ТП, разработанный в "Крок", включает в себя комплекс мероприятий. Прежде всего это внедрение эшелонированной защиты при сопряжении технологического и корпоративного контуров: обеспечение сегментации сети и фильтрации трафика с помощью промышленных межсетевых экранов. Объекты промышленной автоматизации должны быть оснащены компонентами централизованного мониторинга, а также системами обнаружения и предотвращения вторжений. Доступ с удаленных рабочих мест необходимо осуществлять с помощью настройки VPN-клиента, двухфакторной аутентификации, антивирусной защиты, средств контроля абонентских устройств и действий пользователей. Данный набор инструментов и алгоритмов действий позволит создать замкнутую безопасную среду, в которой все объекты на сетевом уровне взаимодействуют через защищенные и контролируемые каналы связи.

При этом в "Крок" обращают внимание, что подключение промышленных автоматизированных систем к корпоративной сети может приводить к угрозам перехвата управления технологическим процессом без непосредственного физического доступа. При этом, как показывает реальная практика, злоумышленники для подключения к технологическому сегменту могут воспользоваться даже такими элементами инфраструктуры, как вендинговые автоматы. Так что даже физическая изоляция, или "воздушный зазор", не является полной гарантией от доступа к промышленной сетевой инфраструктуре извне. Тем более что часто этот самый воздушный зазор по факту существует лишь на бумаге вследствие того, что инфраструктура меняется, при этом контроль за соблюдением норм по изоляции отсутствует. Не стоит забывать и о действиях инсайдеров. Для того чтобы не допустить подобного, необходимо проведение регулярного аудита безопасности и внедрение инструментов для контроля сетевой инфраструктуры. Эксперты "Крок" рекомендуют выстроить комплексную систему защиты информации, включающую современные программные средства защиты, все регламенты и политики безопасности, а также компетентный персонал, обученный администрированию и поддержке системы в актуальном состоянии.

Инновации в области сетевых технологий позволяют не только обеспечивать расширенную защиту от угроз, но и гибко масштабировать и изменять сеть, а также адаптировать экосистему АСУ ТП к меняющимся требованиям бизнеса, таким как поддержка удаленной и гибридной работы. Особенности проектирования систем межсетевого экранирования для производственных предприятий связаны со сложной иерархической структурой, в которой существует множество промышленных протоколов. Ландшафт АСУ ТП затрагивает критически важные информационные ресурсы организаций, поэтому стратегически важно построить отказоустойчивую и масштабируемую ИТ-архитектуру", - отметил руководитель направления информационной безопасности "Крок" Андрей Заикин.

"Российский рынок АСУ ТП адаптировался к существованию в условиях санкций и в течение последних пяти лет существенно вырос благодаря крупным инфраструктурным проектам, в том числе в нефтегазовой и химической промышленности. Возрастают и требования регуляторов к безопасности АСУ ТП объектов критической инфраструктуры (КИИ). В связи с необходимостью объектам КИИ реализовать предписанные меры защиты и обеспечивать взаимодействие с центрами ГосСОПКА, для большинства промышленных предприятий становится все более очевидной необходимость внедрения систем централизованного мониторинга, анализа и управления информационной безопасностью", - поделился мнением директор по развитию бизнеса ИТ-компании "Крок" в нефтегазовой и химической промышленности Игорь Зельдец.