Антон Елизаров, «Инфосистемы Джет»: В области атак на АСУ ТП чаша весов склоняется не к экономической выгоде, а к нанесению ущерба

Антон Елизаров руководит группой защиты АСУ ТП центра информационной безопасности в компании «Инфосистемы Джет». Он рассказал порталу Cyber Media, как российские предприятия справляются с угрожающими им кибератаками, без каких средств невозможно говорить о комплексной безопасности и станет ли импортозамещение благом для отрасли.

Антон Елизаров вместе с Лукой Сафоновым, техническим директором компании «Синклит», выступит на третий день онлайн-конференции CyberCamp 2022. Тема доклада — «Безопасность АСУ ТП: угрозы, подходы, практики».

Дата и время: 16 сентября, 11:00

Cyber Media: Насколько справедливо представление о том, что угрозы информационной безопасности актуальны только для глубоко цифровизированных предприятий?

Антон Елизаров: Сейчас все меньше становится предприятий с абсолютно автономными АСУ ТП, изолированными сегментами. Компании интегрируют АСУ ТП с системами управления предприятием, забирают из промышленного сегмента данные, чтобы дополнительно их обработать и повысить эффективность производства. Поэтому угроз становится больше, и они представляют опасность для широкого спектра промышленных организаций.

Нельзя говорить о том, что изолированную АСУ ТП невозможно атаковать — есть угрозы, которые распространяются и на автономные системы. На предприятиях работает персонал, у которого есть доступ к инфраструктуре. Всегда нужно проводить работы по обслуживанию и модернизации систем, и к этому зачастую привлекаются сторонние организации. Такие ситуации создают риск атаки, причем иногда даже непреднамеренной — кто-нибудь решил зарядить телефон, воткнул его в USB-порт, а устройство оказалось зараженным.

Cyber Media: Есть ли сейчас еще такое понятие, как «воздушный зазор»? Или цифровизация привела к тому, что данные могут перемещаться из корпоративного сегмента в промышленный?

Антон Елизаров: «Зазоры» были заложены еще в мировых практиках, но редко применялись. В большинстве случаев просто использовался межсетевой экран, который разделял технологическую и корпоративную сети.

Конечно, это нельзя назвать «воздушным зазором», и такого подхода к защите недостаточно. Появляется необходимость в построении более сложной демилитаризованной зоны с включением сервисов ИБ, компонентов информационных систем, которые принимают и передают данные. Тем самым компания исключает прямое соединение технологического сегмента с корпоративным. Межсетевые экраны устанавливаются по обе стороны сегмента, появляются дополнительные буферные зоны с сервисами ИБ для еще большей защиты.

То есть «воздушный зазор» становится более комплексным, а в дополнение к нему появляется еще несколько «зазоров» внутри корпоративной сети. Архитектурно схема напоминает слоеный пирог, и злоумышленнику нужно прорваться через множество уровней защиты, чтобы добраться до оборудования АСУ ТП.

Cyber Media: Какие атаки больше всего угрожают российским компаниям? Промышленный шпионаж, утечки данных, выход из строя оборудования — что в топе угроз?

Антон Елизаров: Самыми опасными являются таргетированные атаки, которые направлены на некую конкретную задачу. Такие атаки долго прорабатываются, развиваются на протяжении длительного времени. Их целью могут быть шпионаж, нанесение урона промышленному оборудованию или перехват управления, чтобы вызвать аварию или техногенную катастрофу.

Утечки данных тоже актуальная тема, но главная цель злоумышленников — это именно перехват контроля, поскольку технологический процесс — это в первую очередь процесс, который не должен останавливаться. Основной мотивацией злоумышленников остается нанесение ущерба, а следом идет экономическая выгода. Чаша весов склоняется не к экономической выгоде, а к нанесению ущерба.

Cyber Media: Как в общих чертах выглядит такая атака?

Антон Елизаров: Есть несколько вариантов. Самый частый — злоумышленники получают доступ к инфраструктуре через фишинг, закрепляются и начинают искать нужный им объект атаки. Затем доставляют вредоносное ПО и наносят удар.

Другой сценарий — подключение зараженных устройств. Так в сеть могут попасть самые разные зловреды, включая тех же самых шифровальщиков. В этом случае многое зависит от того, как построена архитектура сети, как она сегментирована, чтобы не позволить вредоносному ПО распространиться на всю компанию. Не забудем и про внутреннюю гигиену ИБ — насколько сотрудники знают правила и процедуры ИБ, внутренние регламенты и политики, насколько они осознают собственную ответственность за информационную безопасность.

Очень важный момент — подрядные организации, которые имеют доступ к системам предприятия. Установки нужно модернизировать, а ПО — обновлять. Да и само прикладное ПО может нести в себе недекларированные возможности, или же подрядчик подключит оборудование к своей инфраструктуре и заразит его. А потом зловред попадет в сеть предприятия. Причем, повторюсь, такие атаки могут быть случайными.

Комплексная система безопасности должна учитывать все эти угрозы. Необходимы регламенты для безопасной работы с подрядными организациями, обновления ПО и т. д.

Cyber Media: А как в российских промышленных компаниях обстоят дела с защитой? Можно ли говорить о том, что большинство организаций дозрело до обеспечения комплексной безопасности?

Антон Елизаров: Нельзя сказать, что информационной безопасности в нашей промышленной отрасли не было совсем. Многие предприятия используют средства ИБ в своих АСУ ТП. Да, это могут быть не самые продвинутые антивирусные системы, межсетевые экраны — не комплексная защита, но точно базовая защита АСУ ТП.

На текущий момент компании уже пересмотрели подходы, во многом благодаря и нормативно-законодательным требованиям, которые подталкивают к комплексному обеспечению безопасности. То есть не рассматривать каждый элемент технологического сегмента по отдельности, а выстраивать единый подход к защищенности — как в техническом плане, так и в организационном.

Заказчики, с которыми мы работаем, уже пришли к пониманию комплексной защиты. Они конструируют централизованные системы, которые максимально закрывают существующие для их организаций угрозы, выполняют требования внутренних регламентов и отраслевой нормативной базы.

Cyber Media: Как выглядят на практике минимальный и оптимальный наборы средств, которые обеспечат такую комплексную защиту?

Антон Елизаров: На практике все зависит от актуальных угроз и требований к защите конкретных объектов. Если говорить о минимальном наборе, то в него рекомендуется включать средства защиты конечных узлов, потому что не все угрозы можно закрыть встроенными механизмами операционной системы или прикладного программного обеспечения: решения для контроля подключаемых устройств, антивирусные системы, системы контроля целостности ПО, белые списки доступа, средства аутентификации, логирования.

Второй фактор — системы резервного копирования, которые в случае инцидента помогут быстро восстановить работоспособность.

При подключении АСУ ТП к сторонним информационным система/АСУ ТП необходимо использовать межсетевой экран, желательно NGFW. Он поможет сегментировать сеть, проводить глубокую инспекцию трафика, дополнять возможности антивирусной защиты.

Комплексная защита, направленная на выполнение требований нормативной базы и закрытие большего спектра угроз, уже может включать решения для анализа защищенности, которые будут в постоянном режиме отслеживать наличие уязвимостей в инфраструктуре. А SIEM-решение позволит комплексно собирать весь объем событий из всех источников и реагировать на них до наступления существенного ущерба. Эти решения в технологическом сегменте стали использоваться недавно — пришло понимание, что нужно контролировать события не только в корпоративной сети.

Cyber Media: А как компании подходят к проблеме человеческого фактора? Ошибка может свести к нулю положительный эффект даже продвинутых систем безопасности.

Антон Елизаров: Компании выстраивают комплекс организационных мер — создают политики и регламенты, с которыми сотрудники должны ознакомиться. Многие проводят специальное обучение, в том числе по специфическим темам, которые нужно знать работникам тех или иных подразделений.

Растет популярность киберучений, которые дают сотрудникам практические навыки безопасности. По растущему количеству запросов к нашему сервису киберучений на платформе Jet CyberCamp мы видим, что тема актуальна.

Cyber Media: Какую долю защитных решений могут обеспечить отечественные разработчики?

Антон Елизаров: Уже сейчас большинство потребностей по защите АСУ ТП закрываются отечественными решениями. С аппаратными комплексами — я бы сказал, около половины. Уже сейчас на предприятиях используются отечественные системы защиты конечных устройств, системы резервного копирования, межсетевые экраны, системы анализа защищенности и мониторинга событий ИБ. Конечно, на многих предприятиях остаются решения зарубежных вендоров, которые со временем необходимо будет заменить.

Ситуация изменилась, и российские разработчики смогут занять доминирующие позиции. Уже сейчас многие решения находятся на уровне зарубежных и имеют хорошие дорожные карты развития. Отечественные вендоры наращивают функционал своих решений, выстраивают экосистемы сервисов, в которых одно решение дополняет и обогащает возможности другого.

Cyber Media: Если говорить о развитии, какие тренды вы могли бы выделить в области защиты АСУ ТП?

Антон Елизаров: Один из трендов — создание экосистем. Экосистема позволяет максимально покрыть весь набор угроз, которые актуальны для заказчика, а взаимная интеграция разных элементов экосистемы повышает удобство эксплуатации.

Импортозамещение, несомненно, останется важным трендом. Причем нужно понимать, что это связано не только с ИБ — заместить предстоит и оборудование, с которым работают предприятия. Этот процесс растянется на годы, будет множество шагов, начиная с проектирования и заканчивая тестовой эксплуатацией и промышленным внедрением.

При этом ускорение цифровизации производства будет постоянно расширять спектр угроз для промышленности. Это будет усложнять сами процессы обеспечения ИБ и повышать требования к системам безопасности. В технологическом сегменте будут появляться средства защиты, которые до этого могли быть для него неактуальны.

Ну и наконец, проблема нехватки ИБ-кадров. Предприятиям нужны специалисты, которые будут заниматься эксплуатацией систем, поддерживать инфраструктуру в актуальном состоянии, прорабатывать взаимодействие с подрядными организациями, филиалами. Здесь потребуются программы в вузах, вендорские инициативы, обучающие курсы. В том числе нужно будет заинтересовать специалистов, которым сейчас область АСУ ТП может быть незнакома.

Cyber Media: Какие навыки и знания нужны, чтобы стать профессионалом в этой области?

Антон Елизаров: Нужно хорошо разбираться в технологиях АСУ ТП, знать подходы и практики ведущих производителей промышленного оборудования и систем. Специалист должен обладать широким кругозором в области построения комплексных систем защиты: разбираться как в средствах защиты, так и в самой инфраструктуре, на базе которой будет строиться система. Нельзя обойтись и без знания отраслевой нормативной базы, мировых стандартов и лучших практик. Главное для профессионала — владеть актуальной информацией и уметь использовать ее на практике.

Cyber Media: Может ли сервисная модель как-то решить проблему кадрового голода? И насколько российские предприятия готовы идти к провайдерам ИБ-услуг?

Антон Елизаров: Не все компании готовы отдавать свою инфраструктуру ИБ в руки сторонних сервисных компаний. В большинстве случаев заказчики рассматривают формирование внутренних штатных структур, которые будут выполнять эксплуатацию, поддержку и мониторинг систем ИБ. Конечно, таких заказчиков не абсолютное большинство, и есть те, кто рассматривает передачу своей инфраструктуры ИБ на внешний сервис.

Однако нужно понимать, что сервис — это завершающий этап после создания системы защиты и выстраивания процессов ИБ в организации. Чтобы использовать сервисную модель, нужно сначала построить у себя информационную безопасность. Компаний, которые были бы готовы к внешнему сервису, пока не очень много.