ТЭК держать: как развивается информационная безопасность в нефтегазе

Десять лет назад защищать от киберпреступников в ТЭК было почти нечего – топ-менеджеры только присматривались к решениям для автоматизации процессов. На многих предприятиях не было даже электронного документооборота.

С переходом на цифровые процессы ситуация кардинально изменилась. Теперь задач и сотрудников в ИБ-отделах на нефтегазовых предприятиях стало намного больше. С какими атаками и проблемами им приходится работать сейчас? И какие сложности предстоит решить в ближайшие годы? Мнения экспертов – в этой статье.

Новая нефть

За последние годы в ТЭК, как и во многих других отраслях, произошло минимум три изменения. Первое – здесь существенно ужесточили политики безопасности. Причины понятны: количество атак возросло, изменились методы киберпреступников и заметно усложнилась ИТ-инфраструктура предприятий.

Артем Бруданин

Руководитель направления кибербезопасности RTM Group

Организации ТЭК относительно недавно начали использовать плоды Индустрии 4.0: автоматизацию производства, применение IoT, внедрение технологий «больших данных», которые приводят не только к повышению эффективности производства, но и к эффективности таргетированных атак.

Видоизменение применяемых технологических решений, безусловно, повлияло и на политики безопасности. Теперь должны быть учтены новые угрозы и меры защиты от них.

Так, по словам эксперта, в нефтегазе стали активно обучать персонал азам кибербезопасности, использовать «умные» средства защиты информации, внедрять системы мониторинга и оперативного реагирования. Причем новое ПО интегрируют во все уровни информационной инфраструктуры. И даже – в технологические системы, которые долгое время оставались без защиты.

Дмитрий Кузин

Начальник управления ИБ АСУ ТП Cloud Networks

Если говорить про промышленные сети, то на мой взгляд, резкий рывок вперед случился в 2018-2020 годах. На первых порах большое внимание уделялось организационной составляющей – регламентированию правил и процедур, информированию работников, ужесточению контроля. Далее уже стали больше тратить на средства защиты.

За последние годы в ТЭК заметно обновилась архитектура ИБ. И это второе важное изменение. Теперь, с курсом на импортозамещение, стало больше отечественных средств защиты и систем обеспечения информационной безопасности.

Ужесточение мер кибербезопасности и обновление ПО привели к третьему важному изменению – росту расходов на ИБ. Тренд касается всех предприятий ТЭК, где активно решают задачи импортозамещения и выполняют требования регуляторов.

Виталий Фомин

Эксперт по информационной безопасности Лиги Цифровой Экономики

Расходы на информационную безопасность выросли, так как качественное программное и аппаратное обеспечение стоит не дешево. Российский рынок производителей становится более конкурентноспособным. Некоторые поставляют свои решения за рубеж, что подтверждает востребованность и качество их продуктов.

Указали сверху

На развитие ИБ в отрасли во многом повлияло государство – напоминают эксперты Cyber Media. Еще пять лет назад к кибербезу в нефтегазе не предъявляли столько требований, сколько есть сейчас. За это время в России приняли 187-ФЗ «О безопасности КИИ РФ» и его подзаконные акты. Затем появился Приказ Минэнерго России № 1015, который дополняет требования по обеспечению безопасности субъектов ТЭК. И наконец, в 2022 году основное влияние на отрасль оказали указы Президента РФ № 166 и 250. 

Евгений Баклушин

Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ

Они акцентировали внимание на ответственности руководителей за обеспечение кибербезопасности и на импортозамещении ПО и средств защиты, которые используются на объектах КИИ. Также они указали на необходимость постоянной оценки защищенности предприятий от кибератак.

В ближайшее время, по словам эксперта, изменится 256-ФЗ «О безопасности объектов ТЭК». Авторы поправок хотят ввести термин «оценка готовности субъекта ТЭК к противодействию целевым компьютерным атакам». В рамках того же закона в 2024 году в России планируют создать отраслевой центр ИБ. Новая организация займется оценкой готовности объектов и субъектов ТЭК, а также их тренировкой и координацией при противодействии кибератакам.

Атакуют успешно и случайно

По разным оценкам, количество ИБ-инцидентов в нефтегазовой отрасли ежегодно растет на 10-35%. Тенденция прослеживается по всему миру. Причем чаще атаки проводятся на офисную инфраструктуру, а не на промышленные объекты. 

Артем Бруданин

Руководитель направления кибербезопасности RTM Group

Есть гипотеза, что у злоумышленников до настоящего момента просто не хватало времени и ресурсов для полноценной атаки на критические объекты. Если просто – атаковали то, что могли и как могли. Без больших человеческих, технологических и финансовых ресурсов.

При этом эксперты отмечают, что еще три года назад среди инцидентов в ТЭК преобладали «случайные» атаки. Вредоносное ПО попадало в сеть из-за неквалифицированных действий персонала: непроверенная флешка, открытие фишингового письма, просмотр сомнительных сайтов. Но к текущему моменту все изменилось. Увеличилось число APT-атак, которые прежде всего нацелены на извлечение денежной выгоды.

Евгений Гуляев

Ведущий консультант ИБ в компании R-Vision

Среди основных мотивов атак на отечественные предприятиям ТЭК можно выделить получение финансовой прибыли, например, путем шантажа через выкуп (с использованием вирусов-шифровальщиков), кражи финансовых данных или мошенничества.

Кроме этого, в последние годы явно наблюдается усиление атак со стороны политических активистов. В некоторых случаях злоумышленники могут использовать кибератаки на предприятия ТЭК как часть гибридной войны между государствами.

Другие хактивистские группы атакуют нефтегазовые компании в рамках протеста. Например, они могут против негативного воздействия на окружающую среду – отмечает Евгений Гуляев. Но есть и обратная сторона ситуации – хакеры сами способны спровоцировать экологическую катастрофу. 

Виталий Фомин

Эксперт по информационной безопасности Лиги Цифровой Экономики

Сегодня актуальна защита именно АСУ ТП, ведь в случае с системами очистки, применяемыми в нефтегазовой отрасли, системами подачи газа по трубопроводам и поддержания давления остро стоит вопрос экологической составляющей и впоследствии социальной. Если злоумышленник попадет в систему, то вероятность перестройки контроллеров для реализации катастрофического сценария значительно увеличивается.

В некоторых случаях преступники атакуют нефтегазовые предприятия, чтобы испортить репутацию на рынке. Таких инцидентов в последние годы становится больше – отмечают собеседники Cyber Media.

Александр Щербаков

Заместитель коммерческого директора компании Innostage

В этом плане сейчас очень популярны атаки через подрядчиков, которые занимаются автоматизацией или сервисным обслуживанием компаний сферы ТЭК. Взломав или заразив ресурсы подрядчика, хакеры через их каналы получают доступ к контролерам, серверам.

Так, по словам Александра Щербакова, недавно получила огласку история с атакой сразу на несколько нефтяных компаний. Подтверждением стали скрины дашбордов с их серверов автоматизации.

Кейсы популярные и не очень

Инцидентов в нефтегазовой сфере немного, во всяком случае публичных. Однако многие из них демонстрируют, что кибербезопасность в ТЭК еще далека от высокого уровня. Один из таких примеров – история нефтегазовой компании Saudi Aramco, которая прозошла в 2012 году.

Виталий Фомин

Эксперт по информационной безопасности Лиги Цифровой Экономики

Тогда было заражено около 30 000 машин сотрудников неизвестным на тот момент вирусом. Чуть позднее сайт организации был под DDoS-атакой. Такой комплексный подход обезоружил киберэкспертов компании, так как атака не была нацелена только на один сектор предприятия. Пока специалисты восстанавливали один сегмент, второй крупный инцидент «зашел» с другой стороны.

В российской практике можно вспомнить атаку вирусом Petya на «Роснефть» в 2017 году. Тогда вирус зашифровал множество устройств сотрудников, и система защиты не помогла это предотвратить.

Самый упоминаемый экспертами кейс – атака на Colonial Pipeline в 2021 году. Из-за нее на 5 дней вышла из строя система снабжения всего восточного побережья США. В стране ввели чрезвычайное положение.

Лев Палей

Директор по ИБ компании «Вебмониторэкс»

Самый обычный вирус-шифровальщик, который скорее всего был доставлен через пользовательский доступ к системе, смог дойти до выделенного сегмента АСУ ТП, управлявшей трубопроводом. Причины – невнимательность и\или недоработка при построении инфраструктуры и связующих компонентов.

Цифровая беспечность тогда обернулась выплатой миллионного выкупа и ударом по экономике и населению США. В частности, из-за инцидента задержали авиарейсы по всей стране. 

Дефицит кадров и другие вызовы-2023

В ближайшие десять лет в информационной безопасности ТЭК будут решать сразу несколько проблем. И самая очевидная из них – кадровый голод.

Александр Щербаков

Заместитель коммерческого директора компании Innostage

Основным вызовом, как и в целом по отрасли ИБ, для ТЭК остается дефицит квалифицированных кадров. Узкопрофильные киберзащитники с компетенциями именно в сфере энергетики – и вовсе на вес золота.

Кроме того, в отрасли продолжится импортозамещение. А значит, предприятиям придется привыкать к отечественным ИБ-продуктам, которые пока часто уступают западным аналогам по функциональности и производительности.

В ближайшие годы нефтегазовые предприятия, вероятно, также начнут готовиться к подключению к единым центрам обработки инцидентов ИБ и передачи информации. Эксперты считают, что это требование может стать проблемой, так некоторые автоматизированные системы и их сегменты остаются изолированными от текущей инфраструктуры предприятия. Вот почему в первое время многим компаниям придется использовать «диоды данных» и другие безопасные технологии.

Резюмируем

ТЭК в России – одна из немногих отраслей, где развитие кибербеза проходит стремительно и без промедлений. Это подтверждает активность представителей нефтегаза в ИБ-сообществе и на крупнейших мероприятиях по информационной безопасности в стране.

Хотя многое в отрасли меняется под давлением государства, предприятия реально пересматривают отношение к кибербезу. Еще десять лет назад многие представители ТЭК предпочли бы защиту ресурсов на бумаге, а теперь они покупают дорогостоящие системы обеспечения информационной безопасности и готовы обучать кибергигиене своих сотрудников. Причем, судя по всему, тенденция сохранится. Инвестиции в кибербез будут только расти – считают собеседники Cyber Media.