Как защитить производство от киберугроз
Число и разнообразие кибератак в промышленном секторе растёт от года к году. Причём такие инциденты сегодня происходят на предприятиях любого размера и во всех отраслях. По статистике «Лаборатории Касперского», ежегодно более чем на 40% компьютеров автоматизированных систем управления технологическим процессом (АСУ ТП) выявляются те или иные вредоносные объекты.
Невидимые враги и реальные потери
Отчасти рост киберугроз связан с развивающейся цифровизацией производств, в том числе с появлением беспроводных сетей и интернета вещей, — благодаря им увеличивается число связей с внешней средой, следовательно, растут и риски. Другая причина — усиление защиты финансового сектора, который традиционно был мишенью кибератак, — это вынудило злоумышленников искать новых жертв. Третий фактор связан с повсеместным проникновением смартфонов в нашу жизнь : фактически каждый сотрудник имеет при себе портативный интернет-передатчик, потенциально заражённый вредоносным ПО.
На производстве киберинциденты приводят к вынужденным простоям, из-за них снижается качество продуктов и услуг, предприятия упускают прибыль, теряют доверие клиентов. Под угрозой даже здоровье и жизнь сотрудников. Тем не менее, некоторые производственники по сей день недооценивают важность киберзащиты. «Да кому я нужен?» — может беспечно думать директор небольшого предприятия, полагая, что молния бьёт только в высокие деревья. В конце концов, вот же — уже потратились на корпоративный антивирус и межсетевой экран в офисной части производства.
Однако уповать на такие меры, а также на программную или даже физическую изолированность АСУ ТП в эпоху четвёртой промышленной революции опрометчиво — эта обособленность становится всё более призрачной. Одного смартфона может быть достаточно, чтобы злоумышленники проникли в изолированную сеть, а директор предприятия и владелец смартфона об этом даже не подозревали.
Цифровые дыры в заводском заборе
Мир становится всё более цифровым — более удобным, но и более уязвимым. Потенциальную опасность для технологических процессов представляет не только неконтролируемый доступ сотрудников к интернету, но и съёмные носители (флеш-карты или смартфоны, подключаемые к рабочим компьютерам для подзарядки), почтовые клиенты, устройства интернета вещей, ошибки персонала, сервисных организаций или подрядчиков, действия инсайдеров и т. д.
Современные киберпреступники умеют находить слабые места производственных систем. Главная уязвимость — это неинформированные сотрудники, которые служат переносчиками всякой цифровой заразы между интернетом и производством. Если вдобавок на предприятии отсутствуют современные меры информационной безопасности, оно получает мину замедленного действия.
Корпорация монстров
Чаще всего производства сталкиваются с киберугрозами общего характера. Вредоносные программы могут незаметно паразитировать, отвлекая вычислительные мощности промышленных систем на посторонние задачи, такие как майнинг криптовалюты. Среди распространённых и чувствительных угроз — вымогатели-шифровальщики. Деятельность таких программ, шифрующих данные пользователя, а затем вымогающих деньги за восстановление доступа, также чревата серьёзными последствиями вплоть до остановки технологических процессов.
По данным Kaspersky ICS CERT, абсолютное большинство вредоносного ПО не нацелено на производства, а предназначено для корпоративного сегмента или частных пользователей. Но существуют вредоносы, разработанные специально под некий тип производства или производителя АСУ ТП. Попав в систему, они зачастую сидят незаметно и ждут своего часа. Самые известные и разрушительные кибератаки и эпидемии начинались именно с них.
Даже если такая программа создана для атаки на конкретное предприятие, в дальнейшем пострадать от неё может технологически подобный объект в любой стране. Такое вредоносное ПО способно шпионить, отсылая чувствительную информацию вовне. Ещё хуже, если вредонос, проникший в АСУ ТП, перехватывает управление технологическими параметрами производства — результатом может стать прерывание процессов, порча оборудования или даже опасность для людей и окружающей среды.
Кибербезопасность предприятия не сводится к защите от вредоносного ПО. К проблемам может привести и случайная ошибка сотрудника или подрядчика, получившего доступ к внутренней сети. Ведь сложность технологических процессов возрастает, и контролировать все возможные последствия случайных воздействий или конфликта ПО становится всё сложнее. Поэтому наличие не только межсетевого экрана, но и системы, «смотрящей» за тем, что происходит внутри производственного процесса, становится необходимым.
Угрозы, которые выявляет система комплексной защиты производственного процесса
- Человеческие ошибки, например незакрытый доступ, разрешённый когда-то для разовой наладки
- Нарушение коммуникаций между устройствами или подозрительные коммуникации
- Подверженность сети или элементов АСУ ТП (контроллеров, панелей операторов и т.д.) удалённому воздействию и распространению вредоносного ПО
- Появление сотрудника или подрядчика, выполняющего работы без согласования и разрешения
- Атаки и вредоносное ПО
Шаги на пути к безопасности
Любому предприятию нужно следовать общим правилам информационной безопасности.
- Защищать рабочие станции и сервера специализированным ПО для работы в промышленности. Будьте внимательны, оно отличается от корпоративного
- Сегментировать сеть на зоны, такие как промышленный и корпоративный сегмент и более мелкие, максимально разделяя доступ пользователей к различным элементам инфраструктуры
- Обеспечивать контролируемый удалённый доступ, используя актуальные решения, позволяющие максимально защитить учётные данные пользователей
- Анализировать, что происходит в промышленной сети: кто с кем общается, корректно ли выполняются команды, нет ли попыток неразрешённого удалённого подключения и распространения вредоносного ПО
Последний пункт особенно важен для современных предприятий, так как с промышленной сетью связано множество сервисных контрактов и подрядных организаций.
Особенности промышленной кибербезопасности
Подходы к кибербезопасности в корпоративном и производственном секторах различны. В офисе стратегии обеспечения IT-безопасности прежде всего ориентированы на защиту данных. На предприятии в автоматизированных системах управления технологическим процессом самое важное — непрерывность производства. Поэтому попытки приспособить на производстве решения, разработанные для корпоративной инфраструктуры, сталкиваются с трудностями.
Например, высокое потребление ресурсов, характерное для корпоративной киберзащиты, может угрожать стабильности производственных процессов. К тому же каждая промышленная среда уникальна, и её протоколы зачастую непонятны для офисных решений. Возникает необходимость тонкой установки, создания списка исключений, отключения ряда элементов защиты. В общем, можно потратить много сил и средств на адаптацию корпоративного решения к производству, но в результате так и не получить надёжной защиты.
Kaspersky Industrial CyberSecurity
Лучше всего доверить специалистам формирование оптимального комплексного решения по обеспечению информационной безопасности. Защиту компьютеров сегодня предлагают многие компании. Но безопасность промышленных систем — задача, во-первых, относительно новая, а во-вторых, как было показано выше, непростая, поскольку почти всегда требует глубокой адаптации к индивидуальной цифровой архитектуре производства. Чтобы отражать угрозы разных типов, не нарушая при этом технологических процессов, нужно иметь особые знания. На российском рынке такой экспертизой обладает «Лаборатория Касперского». Компания предлагает комплексный и адаптивный подход к цифровой защите производства.
Решение Kaspersky Industrial CyberSecurity (KICS) эффективно защищает все элементы АСУ ТП: серверы SCADA, операторские панели, рабочие станции инженеров, программируемые логические контроллеры и сетевые соединения.
Основные компоненты решения
- KICS for Nodes — обеспечивает безопасность серверов, человеко-машинных интерфейсов и рабочих станций от различных киберугроз, универсального вредоносного ПО, целевых атак
- KICS for Networks — функционирует на уровне сетевой инфраструктуры, анализируя промышленный трафик на предмет различных аномалий. Помогает находить ошибки пользователей, вызвавшие нештатную ситуацию, или саботаж
- Kaspersky Security Center — централизованное управление всеми решениями «Лаборатории Касперского», включая KICS
- Kaspersky Unified Monitoring and Analysis Platform — предоставляет возможность централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и своевременной их нейтрализации.
В качестве дополнительных элементов комплексной защиты современных производств «Лаборатория Касперского» предлагает тренинги для сотрудников разных уровней и экспертные сервисы, такие как оценка защищённости от киберугроз и анализ вредоносного ПО.
«Лаборатория Касперского» — признанный поставщик решений для обеспечения кибербезопасности промышленных систем. Среди клиентов компании не только крупные российские предприятия, такие как «Северсталь», НЛМК, «Татнефть», ОЭК, «Мосгаз», но и производства меньшего масштаба, заботящиеся о своей безопасности.
«Лаборатория Касперского» постоянно разрабатывает технологии, которые успешно противостоят угрозам для критически важных инфраструктур. Компания сотрудничает с крупнейшими поставщиками АСУ ТП (Emerson, Siemens, Schneider Electric, Yokogawa и др.), чтобы обеспечить совместимость, а также создать специализированные процедуры и платформы взаимодействия, которые позволят защитить промышленные среды от существующих и возникающих киберугроз.
Решение Kaspersky Industrial CyberSecurity обогащается данными Mitre Att&ck о тактиках и методах злоумышленников. Качество обнаружения угроз подтверждено оценкой MITRE ATT&CK в 2020 году.
Frost & Sullivan признали «Лабораторию Касперского» международной компанией года на рынке промышленной кибербезопасности в 2020 году.