«Кибербезопасность начинается с определения недопустимых событий»

Объекты критической информационной инфраструктуры (КИИ) находятся под постоянным давлением хакерских группировок. Одна из наиболее популярных их целей — предприятия топливно-энергетического комплекса. Летом компания—лидер результативной кибербезопасности Positive Technologies выявила новую волну кибератак опасной группировки Space Pirates: в России за год были атакованы по крайней мере 16 организаций, в том числе из отрасли энергетики. “Ъ” поговорил с руководителем практики промышленной кибербезопасности Positive Technologies Дмитрием Даренским об основных целях злоумышленников и о том, как выстроить результативную кибербезопасность на предприятии.

Выйти из полноэкранного режима

Развернуть на весь экран

— Отрасль энергетики — крайне сложный сектор экономики, при этом входящий в КИИ и обязанный в кратчайшие сроки переходить на российские IT- и ИБ-решения. Как вы сейчас оцениваете ситуацию с защищенностью компаний этой сферы?

— По нашей оценке, за последние годы уровень защищенности, или киберустойчивости, компаний энергетического сектора в целом вырос. Главным критерием этой оценки является то, что с февраля 2022 года в отрасли не было никаких серьезных инцидентов, которые привели бы к фатальным последствиям как для энергокомпаний, так и для потребителей. В отличие, например, от ситуации в Коста-Рике: в апреле 2022 года группа вымогателей лишила клиентов возможности оплачивать счета за электричество и интернет. Несмотря на постоянный рост кибератак на Россию (за первые три квартала 2023 года целевые атаки составили 73% от всех атак, что на 5% выше, чем годом ранее) и тенденцию к их усложнению, предприятия уже прошли долгий путь построения систем кибербезопасности, чтобы бесперебойно функционировать.

— Какие элементы IT-систем энергетического комплекса наиболее подвержены кибератакам?

— Если мы говорим в целом об энергетическом секторе: субъектах отрасли, вырабатывающих, распределяющих и поставляющих энергию потребителям, то это атаки на корпоративные и финансовые системы компаний. Целью злоумышленников может быть реализация следующего сценария: если организация не сможет даже небольшой промежуток времени управлять взаиморасчетами с контрагентами или, например, критичная информация о взаиморасчетах будет зашифрована или уничтожена, это может привести к коллапсу. Поэтому финансовый блок наравне с другими IT-системами компании (это огромное количество сетевых узлов, серверов, технологического оборудования) часто подвергается кибератакам.

— К каким недопустимым событиям может привести атака на крупное энергетическое предприятие?

— Недопустимые события можно разделить на три категории, и подходит такое распределение не только для энергетики. К первой категории относятся события, которые возникают в результате кибератаки на конкретное предприятие или организацию: простой, ведущий к крупным финансовым, материальным и репутационным потерям или даже угрозам для здоровья персонала. Вторая категория недопустимых событий, отраслевая, включает в себя риски для всех участников рынка и конечных потребителей услуг. Если произойдет сбой на предприятии, поставляющем свет и тепло соседнему объекту или целому населенному пункту, это может привести к еще более серьезным последствиям. И третья категория — угроза на государственном уровне — предполагает, что событие, возникшее в результате кибератаки, наносит ущерб государству. Например, сбой в работе критической инфраструктуры оператора единой энергетической системы и оператора оптового рынка электрической мощности может затронуть компании и людей в масштабе нескольких регионов. И в конечном итоге может сказаться на показателях индекса промышленного производства и внутреннего валового продукта страны. Этого допустить нельзя.

— Как компаниям, понимая это, оценить угрозы?

— Если предприятие создает систему кибербезопасности с практическим результатом и обеспечением своей устойчивой деятельности, необходимо начинать не с выбора продуктов и технических решений для защиты, а с определения, что для организации является недопустимым. И исходя из этого выстраивать на разных уровнях защиту от реализации того или иного недопустимого события.

— Как предприятиям и компаниям в сфере энергетики выбрать подходящий продукт? Или это всегда комплекс решений?

— Действовать нужно исходя из того, какие ключевые IT-системы необходимо защитить в первую очередь. Наш подход основывается на построении результативной кибербезопасности, когда создание системы идет с пониманием того, какой результат должен быть достигнут в итоге. Второй момент — это то, что решение и комплексные системы ИБ должны обеспечивать централизованное управление безопасностью предприятия и поддерживать процессы: управление уязвимостями, инцидентами, активами ИТ-инфраструктуры и др.

— В России уже есть независимые сильные решения для защиты инфраструктуры. Расскажите на примере своего продукта, какие задачи они закрывают?

— Централизованная система ИБ — это, например, центр мониторинга угроз и уязвимостей, в ядре которого традиционно находятся SIEM-системы. В случае с индустриальным сегментом важной составляющей будут системы мониторинга трафика промышленных сетей. Так как инструменты хакеров постоянно совершенствуются, мы регулярно проводим обновления PT ISIM, нашего продукта для анализа сетевого трафика в АСУ ТП. В его новой версии есть расширенный контроль сетевых коммуникаций на современных цифровых энергообъектах по стандарту МЭК-61850. В продукте появился новый microView Sensor, который устанавливается на компактные промышленные ПК и предназначен для использования на небольших автоматизированных объектах: подстанциях 6–10–35 кВ, тепловых пунктах, в отдельных цехах, инженерных системах ЦОДов, зданиях и сооружениях социального назначения, бизнес-центрах. Это решение призвано как раз взять на себя основные задачи блока информационной безопасности: постоянный мониторинг и анализ угроз безопасности предприятий.

Вместе с тем ключевые элементы информационной защиты компания должна определить сама, опять же исходя из понимания своих недопустимых событий.

— Сколько времени у крупной компании может занять процесс выстраивания стратегии и интеграции ИБ-решений?

— В одной из крупнейших компаний отрасли мы начали проект в 2020 году, план построения системы масштабной, комплексной безопасности был рассчитан на два года. За 2022–2023 годы на предприятии не произошло ни одного инцидента, несмотря на многочисленные попытки взлома. Но в целом срок перехода к результативной кибербезопасности зависит от уровня зрелости и цифровизации компании. Как правило, первый этап работ — от определения недопустимых событий до построения центра противодействия киберугрозам — может занять шесть-восемь месяцев. И далее компания решает, как масштабировать систему ИБ, в каких направлениях и на какие системы, а потом уже внедряет технологии и средства защиты.

— Возможно ли интегрировать российские ИБ-решения в контур предприятия, если оно пока не заместило другие иностранные IT-системы на 100%?

— Импортозамещение решений для кибербезопасности несильно зависит от замещения других целевых систем, которые используются в компании. На большинстве промышленных предприятий топливно-энергетического комплекса системы управления строились в основном на зарубежных продуктах и технологиях. Поэтому изначально компании российского рынка промышленной ИБ ориентировались на то, что их пользователи работают на иностранных продуктах. Например, PT ISIM появился еще в 2016 году и тогда задачей разработчиков было сделать его совместимым и с иностранными, и с российскими системами автоматизации. Поэтому никакой проблемы в интеграции нет. Последняя версия продукта включает в себя расширенную поддержку как российских технологий и протоколов, которые используются в промышленности, так и зарубежных.

— Выходят ли компании из сферы энергетики на Bug Bounty (тестирование информсистем «белыми хакерами»)?

— Выход на Bug Bounty с целью проверить возможность реализации недопустимых событий — это один из заключительных этапов построения результативной кибербезопасности предприятия. Зрелой с точки зрения защищенности компании выход на Bug Bounty поможет проверить, насколько используемая система безопасности может эффективно отражать атаки и обеспечивать киберустойчивость. Как это работает? С одной стороны, платформы Bug Bounty привлекают багхантеров, в том числе из других стран. С другой — такие платформы размещают Bug Bounty-программы организаций, которым необходимо проверить защищенность своих инфраструктур и процессов.

В России сегодня существует несколько площадок, например платформа Standoff 365 Bug Bounty, на которых любая компания из промышленности, финансового сектора, ритейла, может выставить часть своей инфраструктуры. А исследователи помогут проверить ее в «боевом режиме».

Энергетические компании сегодня уже активно идут в сторону проверки своего уровня защищенности: проводят киберучения и повышают уровень квалификации сотрудников в части обнаружения, мониторинга и реагирования. Например, в последней кибербитве Standoff участвовали две «синие» команды (защищающие инфраструктуру) из энергетики.

— Если промышленные компании еще не выходят массово на Bug Bounty, то что их останавливает? И что может их подтолкнуть к этому?

— Не всегда топ-менеджмент компании до конца понимает риски информационной безопасности и уже определил те самые недопустимые события, реализация которых может привести в результате кибератаки к нарушению основной деятельности предприятия. Или же это организации с низким уровнем цифровой зрелости. Но подобных примеров с каждым годом становится все меньше.

В энергетическом секторе цикл принятия решений и модернизации инфраструктур небыстрый, но компании осознают важность защиты предприятия и предъявляют требования защищенности и надежности к своим поставщикам, чьи продукты они используют. Поэтому для вендоров АСУ ТП выход на Bug Bounty может стать рыночным преимуществом. По итогам они либо смогут продемонстрировать свою безопасность и технологичность, либо увидеть остающиеся тонкие места и усилить киберзащиту.

Татьяна Исакова