Уровень цифровизации нефтегазовой отрасли растет, а значит, увеличивается поверхность атаки на предприятия и их активы. В России в каждом квартале за последние полтора года каждый шестой компьютер АСУ в этом секторе хотя бы однажды встретился с киберугрозой.
По данным Kaspersky ICS CERT, на протяжении последних полутора лет показатель компьютеров АСУ нефтегазовой отрасли, встретившихся с киберугрозами, составлял каждый квартал от 16 до 18 % – это угрозы, которые были остановлены продуктами «Лаборатории Касперского» и не стали причиной инцидента.
Киберугрозы в АСУ ТП: реальная опасность
Объективное наблюдение показывает, что различные типы киберугроз так или иначе добираются до систем автоматизации в отрасли – как минимум до значимой их части. Да, угрозы, которые мы посчитали, предотвращены. Но очевидно, что никакая защита не безупречна – рано или поздно она может дать осечку.
Эксперты знают, что защита надежна только тогда, когда она эшелонирована. На сегодняшний день это значит, что защищено все – и IT-, и OT-системы, и все каналы связи между ними, и сами системы при этом – имунны к атакам, и возможные последствия атак как можно более полно митигированы средствами противоаварийной защиты (ПАЗ), причем желательно вообще не имеющими при этом программной логики. Известны инциденты, в которых целью атаки были как раз средства ПАЗ, например, Triconex. И, конечно, весь персонал должен быть обучен, а все процессы на предприятиях – выстроены надлежащим образом, с учетом потребностей информационной безопасности.
Ландшафт угроз для предприятий отрасли в России имеет свою специфику. В первую очередь, для организаций в России не так высок риск атак вымогателей, как в некоторых других странах. А ведь атаки вымогателей – киберугроза номер 1 для промышленных предприятий во многих странах!
С точки зрения масштаба и тяжести последствий, таких как потеря контрактов, остановка производства или отгрузки продукции и возможный киберфизический урон, для предприятий сектора в России наиболее опасными мы считаем следующие типы нарушителей:
- Хактивисты – хакеры, поддерживающие своими действиями какое-либо протестное движение с заявленной политической, экологической, социальной повесткой или действующие под любыми другими лозунгами. Они выбирают мишенью нефтегазовую отрасль, так как инциденты на предприятиях отрасли имеют хорошие шансы на широкое освещение в прессе и способны вызвать большой резонанс. Могут выполнять как политический заказ, так и работать по заказу нечестных конкурентов. Хактивисты, выбирающие мишенью объекты промышленной инфраструктуры, становятся все более «зубастыми», а их атаки – все более опасными: раз за разом они демонстрируют способность добираться до слабо защищенных систем АСУ, их атаки все чаще достигают цели и приводят к остановкам работы промышленных объектов.
- APT – высококвалифицированные злоумышленники, действующие в интересах того или иного государства. Надолго закрепляются в инфраструктуре атакованной организации, используют присутствие для кражи конфиденциальной информации и продвижения в системы других организаций, включая государственные. Наибольший урон приносят их действия в поддержку нечестной конкуренции на международной арене. В результате утечки информации можно потерять как выгодный контракт, так и целый рынок.
- Инсайдеры – на предприятии нефтегазовой отрасли трудятся тысячи людей, включая сотрудников и доверенных подрядчиков. Исключать возможность самостоятельных злонамеренных действий кого-то из них или сознательного вовлечения в операции двух предыдущих типов злоумышленников в текущих условиях никак нельзя.
Что касается векторов целевых атак, то к наиболее популярным нужно отнести целевой фишинг и атаки на доступные из интернета системы и сервисы. Наиболее опасными с точки зрения сложности обнаружения, безусловно, остаются атаки через производителей используемых на предприятии продуктов и доверенных поставщиков услуг (Supply Chain и Trusted Partner). Сейчас они особенно актуальны для российских организаций из-за сложившейся внешнеполитической обстановки. Ситуация дополнительно усложняется разным уровнем зрелости в сфере информационной безопасности разработчиков продуктов, приходящих на смену ушедшим с рынка.
Каким должно быть решение для защиты предприятия?
Современное решение должно надежно защищать как корпоративную сеть, так и технологический сегмент предприятия. Оно должно митигировать наиболее значимые для предприятия риски кибербезопасности и надежно функционировать с учетом всех специфических для организации сложностей. В России оно также должно максимально помогать автоматизировать выполнение требований регулятора по киберзащите объекта и при этом соответствовать требованиям, предъявляемым к средствам защиты – ведь многие системы предприятия отрасли могут быть отнесены к критической информационной инфраструктуре (КИИ).
Своевременное обнаружение сложных многоходовых целевых кибератак и эффективное противодействие им невозможно без централизованного мониторинга всей инфраструктуры – множества объектов, включающих как IT-, так и OT-системы.
Решение должно поддерживать устаревшее оборудование и ПО, исключая при этом возможность негативного влияния на системы технологической сети: не потреблять много вычислительных ресурсов, не использовать потенциально опасных для стабильности системы технологий и быть успешно протестировано на совместимость с АСУ.
В 2022 году «Лаборатория Касперского» представила Kaspersky OT CyberSecurity – целый арсенал продуктов и сервисов, достаточный для построения эффективной защиты промышленных предприятий. Решение отлично зарекомендовало себя в России и за рубежом в различных секторах. Оно успешно применяется на предприятиях нефтегазовой отрасли, в металлургии, энергетике (включая атомную), на горно-обогатительных, химических предприятиях, на объектах транспорта и логистики. В основе Kaspersky OT CyberSecurity – промышленная XDR-платформа Kaspersky Industrial CyberSecurity: ключевые компоненты в виде решения для защиты конечных узлов KICS for Nodes и ПО для анализа трафика промышленной сети KICS for Networks усилены технологией EDR. Последняя обеспечивает расширенное обнаружение инцидентов на рабочих станциях и серверах, централизованное и оперативное реагирование на угрозы, а также повышает эффективность расследований.
Другой важный компонент – SIEM-система Kaspersky Unified Monitoring and Analysis Platform. Именно она делает возможным отражение киберугроз на пересечении IT- и OT-сред. Для этого система в режиме реального времени собирает и анализирует информацию о состоянии как промышленной, так и корпоративной инфраструктуры, – как от продуктов «Лаборатории Касперского», так и сторонних поставщиков, – и предупреждает о возможных
