Дмитрий Даренский, Positive Technologies: Для кибербеза в промышленности нужны единые стандарты

Промышленные предприятия гордятся тем, что смогли защитить себя от массовых кибератак в 2022 году. Сегодня они активно открывают собственные центры мониторинга и реагирования на инциденты ИБ (Security Operation Center, SOC) и делятся кейсами цифровизации.

Однако изнутри все выглядит не так просто. Кибербезопасность в промышленности все строят по-разному, отрасль живет стереотипами и только сейчас постепенно начинает двигаться в правильном направлении. Подробностями с Cyber Media поделился Дмитрий Даренский, руководитель направления по развитию продуктов промышленной безопасности Positive Technologies.

Cyber Media: Что сегодня целесообразнее: создавать универсальные ИБ-инструменты для всех отраслей или разрабатывать разные отраслевые решения?

Дмитрий Даренский: Каких-то универсальных инструментов не существует. Более того, отдельным отраслям промышленности они чаще всего не нужны. Целесообразнее создавать ИБ-решения, которые учитывают специфику каждой конкретной отрасли – энергетики, нефтегаза, металлургии, машиностроения и т.д. Но сейчас это не главная задача. Прежде чем перейти к созданию таких решений, в отраслях потребуется развивать экспертизу в области кибербезопасности, а также выстраивать регулирование и стандартизацию ИБ. Именно этого пока и не хватает в России.

Cyber Media: Но есть госрегуляторы, которые отвечают за кибербезопасность государства и его критической инфраструктуры. Этого недостаточно?

Дмитрий Даренский: Конечно, нет. Для примера, за рубежом, помимо регуляторов, есть отраслевые стандартизирующие организации. Пример – API (Американский институт нефти) или NERC (Cеверо-Американский стандартизирующай орган в области электроэнергетики), ENISA в Европе, которые занимаются развитием экспертизы и созданием руководящих документов по кибербезопасности в нефтегазе, электроэнергетике, транспортной отрасли и т.д.

В России сегодня существует только государственное регулирование ИБ. Регуляторы разрабатывают стандарты, законы и методические документы, которые, в основном, обязывают отраслевые предприятия обеспечивать защиту только части инфраструктуры, относящейся к КИИ.

Cyber Media: Почему вы считаете, что нужно создавать именно отраслевые решения?

Дмитрий Даренский: Каждое предприятие живет в рамках своей отраслевой нормативной базы и особенностей собственной инфраструктуры, типичной для предприятий отрасли. Поэтому приходить с универсальными решениями нет большого смысла. Их все равно придется дорабатывать с учетом отраслевой специфики. Но как это делать – отдельный вопрос. Нередко приходится полагаться на ожидания и представления конкретного предприятия или даже отдельных специалистов.

Другое дело – когда есть принятые отраслью рекомендации, гайдлайны или лучшие практики. Тогда и само предприятие, и исполнитель, и поставщик отраслевых решений по кибербезу могут опираться на них. Остается только сделать, по сути, расчет стоимости проекта и договориться о деталях.

Cyber Media: Под «отраслевыми решениями» вы имеете в виду комплекс продуктов, которые применяются в отрасли?

Дмитрий Даренский: Безусловно, в основе лежит комплексное техническое решение, которое состоит из нескольких продуктов. Но в него также входят архитектура решения, процессная или операционная модель, которую нужно выстроить на предприятии, требования к персоналу и т.д. Мало просто купить и внедрить продукты, их еще нужно обслуживать, с их помощью реализовать функции и процессы управления, автоматизировать их. И отраслевые решения должны закрывать такие задачи тоже.

Cyber Media: Получается, отраслевые решения – это и есть best practice. Как их объединить с государственным регулированием? Какой формат должен быть у такой организации – CERT как в случае с ФинЦЕРТом Центробанка, саморегулируемая организация (СРО) или что-то еще?

Дмитрий Даренский: Тема еще обсуждается в отраслевых и ИБ-комьюнити. Так, например, есть инициатива по созданию Energy CERT при Минэнерго. Другие министерства также обсуждают такие форматы, как отраслевой центр экспертизы и центр киберустойчивости. В каждой отрасли может быть свой вариант.

Интересно, что крупные игроки готовы сами создавать методические документы для своей отрасли. В частности, они хотят делиться требованиями к системам управления производства в части обеспечения их кибербезопасности с другими участниками.

В любом случае, объединяться отраслевым компаниям нужно вокруг чего-то. Будет ли это министерство, проектный институт или крупный игрок рынка, время покажет. Главное – сформировать повестку, которую разделяют все отраслевые предприятия и субъекты. Иначе, если предприятия пассивно примут какие-либо отраслевые стандарты, то получится как электроэнергетикой при разработке 187-ФЗ. В период его создания представители компаний не вовлеклись в активное обсуждение и внесение предложений. Сейчас же у предприятий отрасли много вопросов к регуляторам в части исполнения положений этого закона. Многие из этих положений им не совсем понятны или труднореализуемы.

Cyber Media: Прошедший год, по мнению ряда специалистов, стал «бесплатным непрерывным пентестом» для российских компаний. Насколько актуален этот тезис для российской промышленности в 2023 году?

Дмитрий Даренский: Каждая десятая кибератака в стране, по нашим данным, приходилась именно на промышленные предприятия, а отрасль в течение четырех лет входит в пятерку самых атакуемых. В некоторых сферах промышленности ИБ-специалисты даже гордятся тем, что их предприятия смогли устоять. Они предприняли меры, которые защитили от серьезных атак. Однако у этой победы есть обратная сторона.

Высокий уровень защиты ИБ-службы обеспечивали путем масштабной изоляции ИТ-инфраструктуры. Для производственных систем, которые управляют выпуском продукции, такой подход не страшен. Они чаще всего работают локально. Однако это решение сказалось на системах, которые управляют поставками, отгрузками и другими бизнес-процессами. Отсутствие в них актуальных данных от уровня производства, например объёма и качества сырья, складских запасов готовой продукции, изменения режимов работы основного производственного оборудования, теперь приводит к снижению эффективности управления предприятием в целом.

Другой важный момент – компании не отказались от курса на цифровизацию, даже несмотря на события 2022 года. Все по-прежнему говорят, что им нужны облачные платформы, machine learning и т.д. Многие покупают приватные или гибридные облачные системы, строят data lakes и прочее. Но парадокс в том, что все это опять же невозможно создать без актуальных данных производства.

Получается, с одной стороны, некоторые компании устояли. Не было какого-то армагеддона. Но с другой – бизнес-управление у них начинает потихоньку проваливаться. Что с этим будут делать? Начнут настраивать доверенное, защищённое взаимодействие между производственными и бизнес-системами в рамках производственной ИТ-инфраструктуры, пересматривать затраты и бизнес-стратегии. Цифровизацией и защитой при этом займутся, но на других, более жестких условиях.

Cyber Media: На кибербитве Standoff в 22 году было не много успешных атак на промышленные компании, и в основном неуспешные. В 23 году результат противоположный, промышленные системы много и успешно атаковали. Какие выводы из этого можно сделать в отношении реальной ситуации с кибератаками?

Дмитрий Даренский: Не стоит настолько однозначно ставить знак равенства между Standoff и реальностью. Реальный производственный контур, как правило, страдает от подготовленных, целенаправленных атак, которые могут готовиться месяцами. На Standoff такого количества времени на подготовку у команд нет. Плюс на кибербитве в 2022 году не было команд, специализировавшихся именно на промышленных системах. В этом году они сделали выводы и прокачались относительно того, как устроены и работают АСУ ТП в различных отраслях промышленности.

Реальная ситуация с уровнем ИБ в отраслях сложная. Одна из причин – жесткий дефицит кадров. У нас есть вузы, где обучают специалистов в области ИБ. Но выпускники выходят на рынок с одинаковыми и довольно общими компетенциями. Они знают общую нормативную базу: постановления правительства, ГОСТы, приказы регуляторов и т.д. Но когда молодой специалист попадает в промышленную компанию, он впадает в ступор от количества нюансов, которые надо знать и уже уметь делать руками, а не только иметь багаж знаний в голове.

Второй важный момент – промышленные компании все чаще строят свои Security Operation center (SOC) и заявляют, что обеспечили безопасность всего предприятия. Но по факту для большинства SOC технологическая инфраструктура остается серой зоной. Как правило, их деятельность захватывает только корпоративные и бизнес-системы. А производство ИБ-сервисами не покрывается. Поэтому и кажется, что промышленные предприятия развиваются в части кибербезопасности, но на самом деле процесс идет медленно.

Cyber Media: Кто и зачем атакует промышленный сектор?

Дмитрий Даренский: Атаки на промпредприятия обычно бывают двух видов. Либо это массовая эпидемия, как WannaCry, либо это таргетированная APT-атака.

При этом 2022 год кардинально изменил картину. Основные атаки на промышленность раньше были с применением шпионажа и чаще всего финансово мотивированными, но в прошлом году на промпредприятия обрушились хактивисты. Их основная цель – причинение максимального вреда и ущерба предприятиям без собственной коммерческой мотивации. На первый план у них вышли цели: заметнее, громче заявить о себе и о своей социальной или политической позиции.

Большую часть шума за последний год наделали именно они. На самом деле ситуация 2022 года чем-то напоминает историю, когда в многоквартирный дом врывается толпа хулиганов и начинает дергать ручки всех подряд дверей. Туда, где оказалось открыто, вломились, пошумели, а закрытые двери пропустили мимо, не утруждая себя сложными или длительными атаками. Но вместе с такими малоквалифицированными хулиганами пришли и более подготовленные ребята, которые знали, куда и за чем именно они идут.

Cyber Media: Какие разногласия есть у тех, кто занимается непосредственным обслуживанием промышленной инфраструктуры, и тех, кто обеспечивает ее безопасность? И насколько они оправданы, на Ваш взгляд?

Дмитрий Даренский: К сожалению, у производственников в отношении кибербезопасности сложилось много стереотипов. Один их них: АСУ ТП (автоматизированная система управления технологическим процессом) очень сложна и взломать ее тяжело. На самом деле это не так, и на практике атакующие делают это без особых усилий, например, с помощью шифровальщика. Частенько злоумышленнику несложно попасть в технологический контур предприятия: были случаи, когда компрометация производственной инфраструктуры делалась буквально за один ход.

Это связано с тем, что считается, будто промышленный сегмент ИТ-инфраструктуры на предприятиях изолирован и ему ничего не угрожает. Это еще один миф. Например, расскажу вполне реальный случай: на одном из энергопредприятий была установлена система управления турбиной и однажды она начала подключаться к интернету, причем сразу к множеству IP-адресов и с явно выраженной периодичностью (пыталась установить TCP-сессию и замолкала). Когда начали разбирать адреса, выявили, что она пыталась установить связь с государственными органами и банками различных стран. Что само по себе очень странно. Далее, выяснилось, что несколькими неделями ранее сервисный инженер от зарубежного вендора обновлял софт и попутно обновил Windows, но забыл отключить автообновление. Операционная система стала подключаться к IP-адресам серверов Microsoft для обновления. Но история в том, что к этому времени компания Microsoft уже отказалась от некоторых адресов и они были перераспределены по другим организациям в разных странах, где у вендора были серверы обновлений. С ними-то и устанавливалось соединение системы управления турбиной. И таких кейсов много. Поэтому не нужно считать, что физической изоляции системы в плане ИБ достаточно. Это один из главных стереотипов.

Причина существования мифов кроется в отсутствии все тех же стандартов и рекомендаций в отрасли. Каждое предприятие решает задачи кибербезопасности по-своему.

Cyber Media: Какие типовые ошибки в промышленном кибербезе вы можете выделить? Какие рекомендации дали бы специалистам?

Дмитрий Даренский: Сотрудники службы безопасности считают, что АСУ ТП – наиболее критичная система в плане ИБ. И они правы – если ее не защищать, то предприятие остановится, случится авария, даже могут пострадать люди и т.д. Поставщики решений приходят с тем же посылом.

Однако ключевая ошибка ИБ-специалистов перед коллегами на производстве в том, что злоумышленник может остановить деятельность предприятия атакой не только на АСУ ТП. Реальных примеров множество. В 2021 году крупнейшая трубопроводная компания США Colonial Pipeline пострадала от атаки на систему отгрузки. В результате предприятие остановило деятельность, на всем Восточном побережье США нельзя было купить топливо, на него выросли цены, а компания понесла огромные репутационные и финансовые потери.

Поэтому будет большой ошибкой считать, что нужно обезопасить только конкретную систему. И в этом случае речь может идти о защите целого процесса на каждом его этапе. Также надо составить список по приоритетам, а потом уже решать, какой продукт или решение поможет в выстраивании результативной промышленной кибербезопасности. К слову, внедрению ИБ-продуктов часто мешает лоскутная автоматизация на предприятии. Она не позволяет централизованно защищать всю ИТ-инфраструктуру и выстраивать сквозные ИБ-процессы.

Еще одна ошибка – формализованный подход, когда некоторые безопасники защищают производственные системы как объект КИИ по требованиям регулятора. При этом стараются сэкономить бюджет, закрыть задачу организационными мерами и документацией. Регулятор «бьет за такое по рукам», так как в большинстве случаев только организационных мер недостаточно, и требует реализовывать технические меры, внедрять средства защиты, выполнять дополнительные настройки безопасности в системах. Конечно, производственники часто остаются недовольны такой позицией регулятора, потому что требования бывают сложно реализуемы и предполагают дополнительное финансирование. Например, контроль операций в системах управления производством. Благодаря ему известно, когда и какой пользователь совершает какие-то неправомерные действия в прикладном программном обеспечении. Безопасники с формальным подходом не могут предоставить решения под такие задачи – нет типовых инструментов для того, чтобы выявлять такого рода инциденты. Варианта тут два: либо сильно дорабатывать то, что уже есть, или искать на рынке что-то принципиальное новое.

Cyber Media: А что скажете по поводу технических ошибок? Какие стоит учесть?

Дмитрий Даренский: Прежде всего, это отсутствие контроля действий пользователей в системе и коммуникаций сетевого обмена. К слову, классические SOC и ИБ-продукты мало ориентированы на то, как устроены процессы на производстве. Они работают на стандартных сетевых стеках, операционных системах и т.д. В промышленном секторе классических инструментов и методов недостаточно. Чтобы адекватно защитить промышленную инфраструктуру, нужно разобраться в ПО и оборудовании на прикладном уровне.

Если говорить в целом, то отраслевая ИБ – это история не про технологии защиты, а про экономику всего государства. Непрерывная деятельность отдельных предприятий влияет на устойчивое функционирование отрасли и индекса промышленного производства, от которого, как мы помним, напрямую зависит ВВП страны. Если крупная нефтегазовая или энергокомпания уходит в простой, начинают падать показатели всей отрасли. Вместе с ней страдают и другие, от нее зависимые индустрии – транспортная, ритейл и т.д.

Поэтому киберустойчивость – это прежде всего решение конкретных задач в отраслях и на предприятиях, создание ИБ-рекомендаций для них. Стандартизирующий орган поможет компаниям добиться непрерывности производства в промышленности. Более того, такой институт даст возможность предприятиям защитить свой бизнес и избежать банкротств, а также закрытий предприятий, которые могут случиться в результате кибератак. Мировая практика в области стандартизации, к сожалению, базируется во многом на подобном негативном опыте. Но именно поэтому она и является наиболее эффективной.