Кибербезопасное производство
Зачем атакуют промышленность и как этому противостоять?
Российские предприятия — энергетики, нефтехимии, металлургии, машиностроения, пищевой промышленности и прочих отраслей — инвестируют в цифровизацию бизнеса, но вместе с плюсами в виде повышения эффективности производства получают рост числа киберинцидентов, поскольку процесс построения их защиты происходит крайне медленно. Постоянная активность блокирующих работу производств вирусов-шифровальщиков и количество утечек данных создают впечатление, что злоумышленники нашли слабое звено среди отраслей, а на предприятиях еще далеко не все осознали важность кибербезопасности.
Фото: Юрий Мартьянов, Коммерсантъ
Фото: Юрий Мартьянов, Коммерсантъ
Что угрожает российской промышленности
В 2024 году промышленность стала одной из самых атакуемых отраслей в России, обогнав IТ и финансовый сектор. Около трети (31%) от общего числа всех атак, а также 28% от общего числа высококритичных атак велись на предприятия данной отрасли, подсчитали в компании RED Security.
При этом кибератаки на промышленные предприятия, в отличие от многих других отраслей, приводят не просто к «лежащим» сервисам, а часто имеют намного более серьезные последствия. В 2022 году кибератака на три иранских сталелитейных завода привела к остановке технологических процессов, причем на одном предприятии атакующим предположительно удалось опрокинуть ковш с жидким чугуном и вызвать пожар в цехе. О способе проникновения хакеров на эти заводы тогда не сообщалось.
Аналогичные инциденты были и в России. В том же году хакеры атаковали колбасный завод «Тавр». Посредством установки вредоносного ПО были атакованы рабочие станции, серверы и информационные системы предприятия, что временно парализовало его работу. По сообщению представителя компании, атака нанесла большой экономический ущерб. Среди громких киберинцидентов можно вспомнить и диверсию в отношении Венесуэлы, которая привела к проблемам с электроснабжением в столице и 20 штатах.
«Последствия успешных атак весьма чувствительны. В первую очередь речь про финансовые потери, которые оцениваются в миллионы рублей. Также нельзя забывать и об утечке персональных данных, краже интеллектуальной собственности и коммерческих тайн»,— сказал инженер лаборатории «Специальные технологии» ПИШ МГТУ им. Н. Э. Баумана Вадим Истомин.
Промышленные предприятия действительно входят в число наиболее атакуемых отраслей, подтвердил ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. За 2024 год совокупное число инцидентов информационной безопасности в этом секторе выросло в 2,5 раза по сравнению с предыдущим годом, привел данные эксперт. Основные секторы-мишени, по его словам,— энергетика, машиностроение и нефтегазовая отрасль.
«Среди причин роста числа атак — геополитическая напряженность и санкции, которые усиливают интерес хактивистов и государственных хакерских групп к промышленным данным. Ситуацию усложняет цифровизация промышленности без усиления защиты и недостаток квалифицированных специалистов в области индустриальной кибербезопасности»,— сказал Алексей Козлов. «Также увеличение количества атак на заводы можно объяснить слабой защитой подрядчиков, имеющих доступ к системам предприятий промышленного сектора, и устаревшей IТ-инфраструктурой, чем активно пользуются злоумышленники»,— добавил Вадим Истомин.
Слабые места в защите заводов
Целью кибератак на промышленные предприятия в прошлом году чаще всего был шпионаж. Так, вредоносное ПО, используемое в ходе этих кибератак, в 38% случаев имело функционал для кражи учетных данных и шпионажа, и только в 19% случаев — для шифрования данных, подсчитали в RED Security.
По словам Алексея Козлова, в тройку основных угроз для сектора промышленности входят вирусы-вымогатели (например, BlackCat, LockBit), которые шифруют данные с требованием выкупа, APT-атаки, в результате которых хакеры могут внедриться в инфраструктуру для шпионажа или саботажа (пример — Triton, который использовался при атаке на нефтезавод в Саудовской Аравии), а также фишинг и социальная инженерия. «В последнем случае речь идет о краже учетных данных для доступа к системам управления (SCADA). Также среди угроз — DDoS-атаки на внешние сервисы и уязвимости в стороннем ПО (например, в обновлениях контроллеров)»,— продолжил эксперт.
Кроме того, на производствах растет использование IoT-устройств, которые часто не имеют встроенных средств защиты, что делает их легкой мишенью для хакеров. «Более того, злоумышленники могут скомпрометировать организацию не только для того, чтобы зашифровать инфраструктуру и вымогать деньги, а еще и для того, чтобы использовать заряженные IoT-устройства как часть ботнета для более крупных атак»,— предупредил Алексей Козлов.
«Динамику по числу успешных атак на российские заводы ИБ-специалисты объясняют прежде всего уязвимостями АСУ ТП. Срок жизни автоматизированных систем составляет примерно 15–30 лет. При этом некоторые системы разрабатывались десятилетия назад и имеют неисправленные уязвимости, о которых могут знать киберпреступники»,— заметил директор департамента расследований T.Hunter Игорь Бедеров. «Более того, многие АСУ ТП работают на Windows XP/NT и SCADA-системах без поддержки, что делает их уязвимыми для эксплойтов»,— добавил Вадим Истомин.
По мнению Алексея Козлова, также среди проблем — отсутствие мониторинга аномалий в реальном времени за счет SIEM-систем, что чревато остановкой производственных процессов, утечкой технологических данных (ноу-хау, патенты) и даже созданием угрозы для жизни сотрудников. Например, в случае взлома систем безопасности газовых или нефтяных клапанов.
Как должна выстраиваться киберзащита
Обычно киберзащита на заводе выстраивается на трех уровнях — речь про защиту периметра (файрволы, IPS-системы для предотвращения вторжений), внутренних сетей (сегментация сетей, визуализация активов) и оборудования (антивирусы, бэкапы). По данным исследования Trend Micro, среди наиболее часто применяемых на фабриках технических контрмер оказались резервное копирование (52% опрошенных), развертывание антивируса для оборудования и проверка USB-носителей перед подключением к сети OT (operational technology — операционные технологии) — 50%.
В качестве средств защиты периметра на заводах обычно применяют межсетевые экраны и системы предотвращения вторжений (IPS), на 49% и 48% предприятий соответственно. Причем, как ни парадоксально, различные средства защиты применяются только в половине случаев — количество внедривших их предприятий варьируется от 39% до 52%.
При этом, по мнению опрошенных экспертов, для минимизации рисков промышленным предприятиям необходимо внедрять именно комплексные меры кибербезопасности. «Из обязательных компонентов защиты — межсетевые экраны в связке с антибот-системами, которые будут предварительно фильтровать трафик. Еще один обязательный компонент защиты на заводе — круглосуточный SOC (Security Operations Center, центр мониторинга киберугроз) для детектирования аномалий и реагирования на инциденты. Причем как SOC для корпоративной компьютерной сети, так и для мониторинга АСУТП на основе SCADA-систем»,— сказал Алексей Козлов.
«Для построения эффективной киберзащиты также необходима сегментация сетей, то есть изоляция OT-сетей от корпоративных и интернета, регулярное обновление промышленного ПО и ОС и резервное копирование данных»,— добавил Вадим Истомин.
«На мой взгляд, необходимо обязательное проведение расследований произошедших инцидентов с целью выявления слабых мест и возможных сценариев будущих атак. Несмотря на то что стандартные меры безопасности и защитное ПО играют важную роль в данном вопросе, проведение расследований киберинцидентов также позволяет повысить уровень защиты предприятия»,— заметил Воронин.
«Разумеется, одной киберзащиты может быть недостаточно, и в этом случае ее могут дополнить меры физической безопасности. Речь, например, о контроле доступа в зоны с критическим оборудованием. Физические меры безопасности также должны предполагать использование видеонаблюдения и датчиков движения, защиту серверных и коммуникационных узлов от перегрева, пожаров и физических повреждений, а также ограничение использования съемных носителей в производственных сетях»,— добавил Игорь Бедеров.
Также, по его словам, минимум раз в год или каждый раз после значительных изменений в инфраструктуре предприятия требуется проводить аудиты безопасности.