Куда движется ИБ в промышленности – главные угрозы и решения

Цифровизация промышленности сделала производственные процессы эффективнее и облегчила труд людей. Но она же создала совершенно новый уровень угроз диверсий, саботажа, утечек производственных секретов.

Сегодня в производственном секторе сложилось понимание, что информационная безопасность – не пустой звук. Причиной во-многом стало вступление в силу ФЗ-187, который определяет требования по защите к объектам критической инфраструктуры. А большинство крупных производств ими являются.

Пока закон – главный мотивирующий фактор. Но все чаще жизнь подкидывает аргументы в разговор, что защита ИТ-инфраструктуры и информации – это реальная необходимость, а не только «бумажное» требование.

Современные ИБ-угрозы способны не просто создать проблемы, а устроить настоящий хаос на производстве: остановить цеха, парализовать работу не только конкретного завода, но и целых индустрий. Это произошло в США в мае, где хакеры атаковали нефтепровод, что создало топливный кризис в стране, в штате Флорида введен режим ЧС.

Это не первый и уже, к сожалению, не редкий случай. Достаточно сказать, что первая хакерская атака была зафиксирована еще в СССР, хакером был сотрудник завода АвтоВАЗ Мурат Уртембаев. Из мести руководству он задумал ввести вирус в программу-счетчик, отмеряющую циклы подачи узлов на линию конвейера. По задумке сотрудник-диверсант должен был «героически» устранить проблему и выслужиться перед руководством. Но просчитался, вирус был пущен раньше времени. Конвейер остановился на три дня.

Ситуации, когда причиной атаки становится собственный сотрудник или сотрудник, действующий в связке с внешним злоумышленником, самые опасные. Человек с легитимным доступом к ИТ-инфраструктуре имеет бесконечные возможности для атаки: может останавливать станки, менять режим их работы, перепрограммировать датчики дыма и пр.

Действия злоумышленников в офисных сетях могут приводить к сливу, порче, удалению важной информации, махинациям с ресурсами на складах, документами, воровству денег и т.д. В конечном итоге все это также влияет на бесперебойную работу производств, создает проблемы с регулирующими органами.

Например, один из наших клиентов выявил, что сотрудник подделывал анализы стоков одного из контрагентов. Если бы факт не был обнаружен вовремя, это создало бы экологические риски для целого города, а предприятие понесло бы ответственность, предусмотренную законом. К счастью, ИБ-служба зафиксировала инцидент первой – стояло защитное ПО (DLP-система), которое фиксировало все переписки сотрудников и манипуляции с документами.

Динамика распространения такого защитного ПО положительная. По результатам нашего исследования промышленные предприятия, а особенно ТЭК, оснащены защитными решениями лучше, чем многие отрасли. Здесь чаще внедрены инструменты защиты информации. Это как ставшие привычными антивирусы и файрволы, так и более сложные сервисы: DLP-системы, программы защиты от спама, системы проактивного мониторинга и управления сетевым оборудованием, программным обеспечением и трафиком и т.д. Как я упоминал, появление ФЗ-187 очень сильно влияет на изменение ситуации.

Тем не менее даже этот подробный закон сосредоточивает внимание на защите от внешних угроз и недостаточно учитывает инсайдерские риски. Кроме того, без конкретного перечня защитных решений ИБ-службам бывает сложно обосновать необходимость закупки того или иного защитного ПО. Представители ФСТЭК слышат просьбы дать конкретный перечень, что облегчит ситуацию.

Истории про то, как злоумышленники смогут останавливать заводы и города с цифровизацией больше не фантастика. Такие примеры как атака на нефтяную компанию, остановка завода Garmin, ввод вредного вещества в водопровод и многие другие заставляют всерьез пересмотреть подход к защите. А это значит, ориентироваться на лучшие практики, о которых говорят эксперты, и требования регуляторов. Они, несмотря на недочеты в документах, дают хорошие ориентиры.

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

Читайте также: