Алексей Мартынцев, «Норильский никель»: Целый ряд мер защиты от киберугроз неприменим в промышленности
На промышленные предприятия направлена каждая десятая кибератака. При этом последствия кибератак в этом сегменте могут иметь чрезвычайно тяжелые последствия. О том, какова специфика ИБ-защиты промышленных предприятий, на каких направлениях надо сосредоточиться и как оценить эффективность принятых мер, в интервью CNews рассказал Алексей Мартынцев, директор департамента защиты информации и ИТ-инфраструктуры ГМК «Норильский никель».
CNews: Как вы можете охарактеризовать изменения в сфере кибербезопасности в России, произошедшие за последние 1-2 года?
Алексей Мартынцев: Существенные изменения в ландшафте киберугроз начали происходить еще во время пандемии. Они были связаны с резко ускорившимися процессами цифровизации, развитием удаленной работы, перестройкой бизнес-процессов. Даже преимущественно традиционные бизнесы в этот период наращивали свое цифровое присутствие и были вынуждены изменить подходы к работе.
Масштабная диджитализация привела к увеличению зависимости компаний от киберустойчивости информационных систем и сервисов. Особенно остро эта проблема встала перед промышленными холдингами, управляющими критической информационной инфраструктурой, которые оказались под двойным ударом c начала 2022 года: число кибератак многократно возросло, а зарубежные производители оставили российский бизнес без лицензий, технической поддержки и обновлений программного обеспечения (ПО). Процессы обеспечения технологической независимости получили новый мощный импульс, причем потребовалось скорректировать и сроки, и масштабы импортозамещения — важность этой задачи, также как и необходимость обеспечения безопасности российской информационной инфраструктуры, были подчеркнуты на законодательном уровне.
Отражение кибератак, поддержка пока еще работающих зарубежных средств защиты информации (СЗИ) и ПО своими силами, оперативный переход на отечественные решения привели к повышению нагрузки на ИБ-подразделения, которые были вынуждены решать еще один важнейший вопрос — кадровый. Нехватка специалистов в области защиты информации была очевидна и до пандемии, а в последующие годы стала буквально критической.
Отечественный рынок кибербезопасности действует в условиях крайне ограниченных ресурсов и уникальных вызовов: организованные группы хактивистов и киберпреступников непрерывно тестируют на прочность киберустойчивость множества российских компаний, внезапно лишенных привычных средств защиты.
CNews: Какие киберугрозы сейчас наиболее актуальны для промышленного сектора?
Алексей Мартынцев: Работа промышленного сектора во многом определяет экономическую стабильность и безопасность всей страны. При этом на промышленные предприятия направлена, по разным данным, каждая десятая кибератака, а производственный сектор стабильно входит в пятерку наиболее интересующих злоумышленников отраслей. Это неудивительно, учитывая масштабы цифровизации реального сектора экономики, где вместе с широким применением информационных технологий неизбежно увеличивается и поверхность атаки, повышается зависимость производственных и технологических процессов от надежности ИТ/OT-инфраструктуры.
Финансово мотивированных атакующих интересует коммерческая тайна, внутренняя конфиденциальная информация, персональные данные сотрудников, клиентов и контрагентов, а также доступ к email-сообщениям и учетным данным пользователей — всё это хорошо монетизируется и может быть использовано либо для шантажа приостановкой деятельности или разглашением полученной информации, либо для развития успешной кибератаки на инфраструктуру компании.
Для реализации подобных атак используется вредоносное ПО (ВПО) — трояны удаленного доступа, вирусы-вымогатели, основным методом доставки которого традиционно является фишинг и всё более сложные методы социальной инженерии, например, комбинация звонка якобы от руководителя с применением технологии создания дипфейков с одновременной отправкой вредоносного файла и требованием его открыть.
Кроме финансово мотивированных атакующих, особую активность с весны 2022 года проявляют организованные группы хактивистов, цели которых продиктованы политической позицией, социальными и религиозными взглядами. Они осуществляют DDoS-атаки и дефейсы сайтов промышленных компаний, а также запускают вирусы-вайперы для безвозвратного удаления информации с целью нанесения максимального ущерба инфраструктуре предприятий.
В текущих условиях разрушительное воздействие вредоносного ПО на ИТ/OT-инфраструктуру промышленной компании означает не только приостановку корпоративных, производственных и технологических процессов, но и вероятные сложности с оперативной заменой импортной техники, оборудования и компонентов.
CNews: Обеспечение кибербезопасности в технологических сегментах имеет свои особенности. Можете о них рассказать?
Алексей Мартынцев: Исторически системы автоматизации производства (АСУТП) мало напоминали информационные системы общего применения — они были изолированы от ИТ-инфраструктуры, в них использовались специализированное оборудование, проприетарные операционные системы и протоколы взаимодействия. Со временем стала наблюдаться интеграция и унификация систем и протоколов. Так, широкое распространение в АСУТП получили операционные системы (ОС) на базе Windows и протоколы сетевого взаимодействия Microsoft. Отдельно стоит отметить, что широкое распространение получила и интеграция классических АСУТП с системами управления производством (MES-системами), компоненты которых размещаются в ландшафте за пределами технологической сети передачи данных (ТСПД). Такая интеграция принесла не только значительное повышение уровня цифровизации технологических процессов, но и новые киберриски, которые лишь возросли с последующей конвергенцией ИТ и OT инфраструктур и внедрением на производстве технологий беспроводной связи.
В настоящее время основными особенностями OT-инфраструктуры, которые следует учитывать при обеспечении ИБ, являются более длительные сроки полезного использования программного и аппаратного обеспечения, приоритет непрерывности и безопасности технологических процессов, доступности и отказоустойчивости систем над конфиденциальностью обрабатываемой информации, высокие требования к производительности и режимам работы компонентов инфраструктуры (например, при использовании систем реального времени), а также зависимость функционирования оборудования и систем от поставщиков, обеспечивающих поддержку и обновление.
Главной и очевидной характеристикой кибербезопасности в промышленности является кардинально иной уровень негативных последствий в результате киберинцидента, таких как ущерб жизням и здоровью людей, негативное влияние на экологию, прекращение оказания необходимых услуг и производства жизненно важных товаров, причинение ущерба экономике страны.
Для ответа на актуальные вызовы кибербезопасности на производстве нужны соответствующие процессы, персонал и технологии. Процессы должны учитывать указанные выше актуальные промышленные киберугрозы и особенности OT-инфраструктуры, а у работников должны быть специальные компетенции для понимания сути производственных и технологических процессов и их влияния на физическую среду, грамотного взаимодействия с производственным персоналом и понимания работы всего предприятия в целом.
При выборе СЗИ для защиты OT-инфраструктуры важно помнить, что наложенные решения должны поддерживать используемые протоколы коммуникации элементов АСУТП и «понимать» логику технологических и производственных процессов, но при этом не должны негативно влиять на работу защищаемого объекта, а совместимость конкретного оборудования из сегмента АСУТП и наложенного СЗИ должна быть проверена производителем защитного решения.
CNews: На производстве уже достаточно широко применяются системы автоматизации, устройства промышленного интернета вещей. Как обеспечить их безопасное функционирование?
Алексей Мартынцев: Действительно, для увеличения эффективности и повышения безопасности производства современное предприятие изобилует разнообразными высокотехнологичными решениями: распределенные системы управления производством, SCADA-системы, цифровые двойники производственных активов, а также множество «умных» IoT-устройств, программируемых логических контроллеров, человеко-машинных интерфейсов, рабочих станций инженеров и операторов.
Сами элементы OT-инфраструктуры представляют из себя специфичные программно-аппаратные комплексы, обслуживание которых осуществляется непосредственно производителем. В связи с этим усложняются такие классические ИБ-процессы, как инвентаризация, управление уязвимостями и конфигурациями. Например, процесс сканирования на наличие уязвимостей может нарушить работу элементов АСУТП, а установка обновлений возможна только в строго определенные технологические окна. Кроме того, есть сложности с эксплуатацией решений, которые были разработаны без учета современных требований кибербезопасности и обновления для которых уже не выпускаются. Обнаружение уязвимостей и последующий выпуск патчей производителями происходят небыстро, а получить и установить обновления самостоятельно, особенно ввиду ухода зарубежных вендоров из России — бывает невозможно.
CNews: Как корректно выстроить процесс управления киберинцидентами в промышленном секторе?
Алексей Мартынцев: Управление киберинцидентами в промышленности имеет определенные особенности: это специфика самой OT-инфраструктуры, тонкости зависящих от неё производственных процессов, а также регуляторные требования по реагированию на инциденты ИБ. Так, промышленные предприятия отличаются географически распределенной ИТ/OT-инфраструктурой, возникает необходимость получать события с нестандартных, труднодоступных устройств (датчики, механизмы, контроллеры).
При реагировании на киберинциденты крайне важно не нарушить производственные и технологические процессы. Таким образом, ряд действенных контрмер становится неприменим, например, без тщательной оценки последствий нельзя выполнить сетевую изоляцию устройства, заблокировать учетную запись, остановить сервис или завершить процесс, перезагрузить устройство.
Одновременно в технологических сетях есть и ряд преимуществ, которые можно выгодно использовать для решения задач ИБ. Прежде всего, это определенная статичность OT-инфраструктуры, в которой новые устройства, приложения и объекты появляются достаточно редко, а также упорядоченность сетевого трафика, в котором относительно легко можно выявить аномалии, при условии поддержки сетевыми анализаторами применяемых протоколов.
Используемые нами решения для автоматизации процессов ИБ (Security Vision SGRC) и реагирования на инциденты (Security Vision SOAR) обеспечивают управление активами, уязвимостями, конфигурациями с учетом особенностей нашей ИТ/OT-инфраструктуры.
CNews: Какие метрики можно использовать для оценки эффективности выстроенных процессов ИБ?
Алексей Мартынцев: Для оценки состояния ИБ требуется не только получать релевантные входные данные с различных СЗИ, но и понимать состав и покрытие процессов информационной безопасности, текущие роли участников и, самое важное, ожидаемый результат от исполнения таких процессов. Необходимо разработать способы интерпретации получаемых данных и шаблоны отчетов для предоставления содержательных и читаемых результатов оценки эффективности, сформировать план реагирования на полученные результаты. Для оценки состояния системы управления информационной безопасностью (СУИБ) можно использовать сведения об инцидентах и события ИБ, отчеты о сканированиях на наличие уязвимостей, статистику по пройденным awareness-тренингам, результаты внутренних и внешних аудитов, пентестов и киберучений, результаты тренировок по обеспечению непрерывности деятельности и восстановлению работоспособности.
Если говорить о примерах конкретных метрик для оценки эффективности выстроенных процессов ИБ, то можно отметить следующие показатели: количество необработанных за определенный период времени киберрисков, процент выполненных в срок организационных мероприятий по ИБ, процент устраненных вовремя уязвимостей, охват матрицы MITRE ATT&CK средствами защиты, средняя длина графа кибератаки, количество инцидентов ИБ с нарушенными требованиями, общий ущерб от произошедших инцидентов ИБ за период времени, процент инцидентов ИБ, которые привели к пересмотру и устранению недостатков процессов СУИБ, процент сотрудников, прошедших обучение на тренингах по ИБ, результаты проведения учебных фишинговых рассылок.
CNews: Импортозамещение — один из значимых драйверов российской ИБ. Как идут проекты по импортозамещению в вашей компании?
Алексей Мартынцев: Несмотря на то, что о необходимости импортозамещения разговоры шли уже давно и на самом высоком уровне, еще до недавнего времени у зарубежного ИТ/ИБ-бизнеса были сильные позиции на российском рынке.
Сейчас проекты по импортозамещению естественным образом ускорились, и в первую очередь это касается обеспечения кибербезопасности. В этой сфере важна надежность решений, репутация производителя и непрерывность оказания услуг (техническая поддержка, предоставление обновлений, сигнатур, патчей). Российский рынок ИБ сейчас достаточно активно развивается, и несмотря на то, что простор для роста остается достаточно большим, уже сейчас можно отметить ряд конкурентоспособных решений ИБ, которые позволяют достаточно эффективно решать задачу импортозамещения. С такими компаниями мы подписываем стратегические соглашения о сотрудничестве, направленные на развитие сферы ИБ в целом. Среди примеров – компания «Интеллектуальная безопасность» (бренд Security Vision), «Лаборатория Касперского» и другие. В этом году практику подписания стратегических соглашений планируем продолжить.
CNews: Многие представители отечественного бизнеса отмечают, что текущий дефицит кадров — сложнейший вызов. Вы согласны?
Алексей Мартынцев: Нехватка квалифицированных специалистов в области кибербезопасности наблюдается уже несколько лет, но именно в последние полтора года она стала критической. Совсем недавно мы выносили эту проблему на обсуждение в рамках Клуба «Безопасность информации в промышленности» и выслушали позицию учебных заведений, компаний-заказчиков и компаний-производителей решений ИБ.
Ведущие российские вузы уделяют подготовке ИБ-специалистов большое внимание. Тем не менее, выпускников приходится дообучать уже непосредственно на рабочем месте, в том числе на срочных задачах — это неизбежно. Поэтому компаниям важно развивать сотрудничество с вузами и колледжами, привлекать студентов для прохождения практики с последующим трудоустройством талантливых ребят. Одновременно стоит обратить внимание на внутренних кандидатов: зачастую в ИБ переходят сотрудники инженерных и ИТ-подразделений, а также работники из непрофильных направлений, у которых есть желание развиваться в кибербезопасности. Сфера информационной безопасности требует постоянного обновления знаний и развития навыков. Свою эффективность показывают внутренние киберучения и участие в киберсоревнованиях. В качественных кадрах заинтересованы как компании-заказчики, так и компании-производители решений ИБ, именно поэтому важно объединять усилия для решения этой проблемы. В рамках стратегических партнерств мы в том числе рассматриваем варианты совместных проектов на этом направлении.
CNews: Какие еще актуальные задачи стоят перед руководителями ИБ-подразделений в промышленности?
Алексей Мартынцев: Ландшафт киберугроз меняется всё быстрее, однако принципиально новые вызовы связаны со стремительным развитием технологий искусственного интеллекта, которые, как и все новые технологии, применяются для совершенствования и мер защиты, и способов атак. Так, злоумышленники уже используют вредоносные системы генеративного искусственного интеллекта для создания сложного ВПО, правдоподобных фишинговых рассылок, дипфейков для реализации атак социальной инженерии. Еще один тренд киберпреступности — атаки на цепочки поставок и атаки через доверительные отношения. В контексте импортозамещения, выходит на первый план выходит значимость безопасной разработки и выстраивания процессов DevSecOps.
В части развития средств защиты наметилась тенденция на широкое применение технологий обработки больших данных, машинного обучения, искусственного интеллекта — автоматизация большинства процессов ИБ с помощью подобных систем поможет оперативно реагировать на вызовы в киберпространстве и отчасти компенсировать острый дефицит кадров в отрасли.
На отечественном рынке СЗИ также отчетливо виден тренд на построение производителями своих экосистем взаимосвязанных продуктов, и это может привести потребителей к так называемой «привязке к поставщику» (vendor lock-in), означающей зависимость всей СУИБ компании от одного вендора, который может, например, неожиданно продать бизнес более крупному игроку и поставить под вопрос развитие всей линейки продуктов. В этом отношении более предпочтительными видятся решения ИБ, которые имеют возможность широкой интеграции с различными продуктами и не замыкаются на свою экосистему.
CNews: Ваши рекомендации коллегам из ИБ?
Алексей Мартынцев: Сфера ИБ очень динамична. Специалистам в этой области нужно быть готовыми быстро реагировать на имение ландшафта угроз и технологий.
Для того, чтобы идти в ногу с актуальными трендами, важно внимательно подходить к своему обучению и повышению квалификации. Невозможно быть экспертом во всем, поэтому стоит сконцентрироваться на определенной области профессиональных интересов в ИБ и развивать свои уникальные компетенции.
■ erid:LjN8KWc9rРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/