Развитие и повышение конкурентоспособности компаний во многом зависят от технологических факторов, новых информационных и коммуникационных технологий. Однако их использование связано не только с преимуществами, но и имеет теневую, оборотную сторону, связанную с киберрисками, представляющими быстрорастущую опасность, угрозу для промышленных систем. Чтобы быть готовыми к таким рискам, бизнесу необходимо понимать их природу, знать, как выстраивать защиту, и действовать проактивно. Сегодня это задача высшего руководства компании, в том числе финансовых директоров и руководителей департаментов управления рисками, а не только ИТ-специалистов. Об основных направлениях воздействия таких угроз и возможных способах управления новыми рисками «ЭЖ» поговорила с Андреем Суворовым, директором по развитию бизнеса, направление — безопасность критической инфраструктуры, «Лаборатория Касперского».
«ЭЖ»: Каковы последние тенденции в сфере киберрисков? Какую угрозу они представляют для бизнеса в настоящий момент?
Андрей Суворов: Сегодня, как правило, уже все говорят о киберугрозах и даже кибервойнах. В процессе трансформации современных корпораций их зависимость от технологий и коммуникации выросла драматически. Уже даже законодательство, волатильность рынка и другие традиционные факторы, влияющие на решения директоров, уступают место вопросу анализа киберугроз и последствий возможных атак.
Согласно результатам одного из ежегодных исследований (Allianz Risk Barometer) важность данной темы стала очевидна с 2013 г., когда вопросы киберугроз были на 13‑м месте. В 2016 г. они переместились на третье место.
Одним из факторов такого резкого роста, безусловно, является увеличение рынка киберпреступлений, доход от которых, по данным некоторых источников, составил 400—500 млрд долл. США в 2015 г. Высокая отдача от небольших вложений на создание кибератак стимулирует расширение области внимания «технологических пиратов». В настоящее время мы наблюдаем миграцию в сторону промышленных систем.
По данным американской организации ICS CERT1, на промышленных объектах по всему миру произошло 295 инцидентов за 2015 г. Эти данные взяты из отчетов, предоставленных заказчиками, изъявившими желание поделиться такой информацией.
Дефицит обмена информацией по инцидентам, количество которых фактически превышает результат отчета US ICS CERT, диктует необходимость срочных мер в данной области. Позитивный момент заключается в том, что во многих странах Европы, Америки и Азии очень быстро меняется законодательство и требует обязательной отчетности в случае, если такой инцидент произошел на промышленном предприятии, его расследования на предмет киберсоставляющей. За сокрытие такой информации руководители организаций несут ответственность. Мы ожидаем в ближайшее время, что статистика по этой тематике будет серьезно обогащена.
Практическим вкладом нашей компании в данную проблематику было создание в октябре 2016 г. самостоятельного международного органа KL ICS CERT, целью которого является агрегация информации и обмен опытом в области расследования киберинцидентов. На текущий момент экспертами центра выявлено и зафиксировано более 60 уязвимостей элементов АСУ ТП.
Один из сегодняшних трендов — в том, что промышленные системы становятся все более связанными внутри корпорации и с внешним миром, а значит, повышается их уязвимость. Тренд двунаправленный — руководство бизнеса борется за снижение времени принятия решений, а поставщики решений промышленной автоматизации предлагают «умные» элементы на уровне АСУ ТП. Таким образом, информация, возникающая на уровне какого‑либо полевого датчика или сенсора, должна поступать не только в систему управления технологическим процессом, но и сразу в систему управления ресурсами предприятия и в аналитическую систему принятия решений.
В успешных компаниях такая бесшовная интеграция между контуром промышленной системы и корпоративным контуром, как правило, уже реализована в той или иной мере. Этого требует совет директоров, руководство компании: им нужно быстро понимать, сколько и чего производить, какие делать дополнительные закупки, своевременно нужно знать и о ремонтах оборудования, которые стоят очень дорого.
В контексте новых трендов и рисков одно из направлений — защита, безопасность критической инфраструктуры.
«ЭЖ»: Что вы под ней понимаете?
А. С.: К критической инфраструктуре относится то, что может влиять на дееспособность бизнеса и даже на жизнеобеспечение граждан. В международной терминологии это очень широкое понятие, включающее, например, и центральный банк государства, и транспортные коммуникации. Для нас — это контур промышленной компании: нефтеперерабатывающие заводы, компании, производящие и доставляющие электроэнергию, заводы по производству химических материалов, тяжелого машиностроения, другие крупные промышленные компании, остановка или перерыв бизнеса которых влияет на экономику или жизнь за пределами отдельной компании.
В отличие от традиционных компьютерных систем здесь мы имеем дело с киберфизической системой. Это киберкомпьютерное решение, наличие вычислительной инфраструктуры, включающей сервера и компьютеры, плюс программное обеспечение (ПО), управляющее логикой работы исполнительных механизмов. Физическая часть такой системы — конвейеры заводов, турбины гидроэлектростанций. Одна турбина стоит сотни миллионов долларов. Подобная система — очень сложный механизм, и оператор системы может управлять им «с клавиатуры». При этом можно не отчет сформировать, не документ послать на принтер, а скорректировать режим работы центрифуги атомной станции, который может отличаться от основного регламента работы. Похожее поведение явилось причиной серьезного инцидента на станции в Иране в 2010 г. Эта целевая атака известна специалистам под кодовым названием Stuxnet.
С одной стороны, технологии несут блага, с другой — если ими пользуются со злым умыслом или совершаются ошибки из‑за человеческого фактора, они могут нанести вред, в том числе активам компании. Проблема зеркальна по отношению к технологиям, которые развиваются и приносят пользу. Точно так же технологии могут быть использованы и во вред — такие же алгоритмы такого же уровня сложности применяют в «антимире» для хищений и создания целевых атак.
«ЭЖ»: Каковы основные группы промышленных рисков сегодня, на что следует обратить внимание?
А. С.: На сегодняшний день есть три основных вектора воздействия, или три группы рисков. Первая и наиболее распространенная — человеческий фактор. В силу усталости, перегрузки или по другой причине специалист может выполнить действие, несовместимое с регламентом управления киберфизической системой.
Приведу показательный пример из одного нашего проекта. Очень опытный инженер сопровождает сложные дорогие системы на объектах. Ему доверяют и на каждом промышленном предприятии обеспечивают подключение к киберфизической системе для проведения определенных регламентных операций, например обновления ПО для технологических процессов. На одном из заводов в ходе такой операции он совершил ошибку, случайно, — запустил для обновления ПО другой версии, с другого завода. К счастью, до реального обновления дело не дошло, сработала защита в виде установленного специализированного решения нашей компании, которое и выявило попытку работы с технологическим процессом с несоответствующей эталону версией ПО. Такой случай наименее рискованный, сигнал был зафиксирован, действие вовремя обнаружено, и инцидент предотвращен. Примеров рисков по причине человеческого фактора очень много.
Второй вектор — это вопросы промышленного мошенничества, промышленного фрода (англ. fraud). Сегодня никого не удивить тем, что воруют деньги с банковских счетов, корреспондентских счетов банков и даже центральных банков, о чем говорит последний случай кражи 89 млн USD со счета ЦБ в Бангладеш. В последнее время похожие случаи начали происходить в контуре промышленных компаний — только предметом такого фрода являются уже физические активы компаний. На последней конференции «ЛК» в Иннополисе в октябре 2016 г. было представлено три доклада на данную тему, например, один из них — как использовать знания АСУ ТП для хищения светлых нефтепродуктов.
Третий вектор (целевые атаки, в том числе на промышленные объекты) является самым ущербным, по сути дела, направлением, хотя и занимает менее 1% атак. Целей может быть несколько, от чисто прагматических, то есть наживы, чтобы завладеть активами компании, до организованных политических акций либо со стороны государств, либо со стороны конкурентов. В таких случаях важны не деньги, а факт потерь.
Целевые атаки направлены на конкретно взятое предприятие, конкретный набор имеющихся компонентов. Цель простая — выбрать компанию, пытаться понять, что внутри, и организовать атаку с определенными намерениями. Это может быть либо промышленное мошенничество, либо какой‑то инцидент с целью вывода из строя оборудования или снижения качества продукции.
«ЭЖ»: Как своевременно распознать и противодействовать таким рискам, выстроить защиту?
А. С.: Прогресс невозможно остановить или отменить, важно научиться правильно пользоваться технологиями с точки зрения промышленной безопасности. Нужно сфокусироваться на трех основных областях, которые могут серьезно снизить эффективность всех киберкриминальных составляющих, в том числе человеческого фактора.
Первая область — образовательная.
Тема кибербезопасности в промышленных системах абсолютно новая. В крупных компаниях порой недооценивают такие риски и относятся к ним фрагментарно, исходя из опыта и профилирования сотрудников в корпоративном сегменте и сегменте АСУ ТП. Например, многие специалисты, отвечающие за производственные системы, продолжают убежденно верить, что их система изолирована и самое главное для них — надежность оборудования и функциональная надежность SCADA-систем, которые они эксплуатируют. При этом они совершенно не подозревают, насколько легко перехватить управление такой системой удаленно, и сделать это может человек, месторасположение которого даже трудно определить. Июльский отчет «ЛК» выявил более 220 000 элементов АСУ ТП, видимых из интернета, из которых 33 000 составляют контроллеры.
Вторая область — проведение анализа защищенности, для этого нужны квалифицированные кадры и практики экспертов.
И третья — новый тип решения — системы кибербезопасности, умеющие «слушать» и «понимать» происходящие события внутри промышленной системы, а не по ее контуру. Поясню.
Раньше оборудование работало на аналоговых технологиях, которые сами по себе на полевом уровне (основа для работы исполнительных устройств, это датчики, двигатели, клапаны, насосы, турбины) были элементом защиты. Сегодня все это становится цифровым. И это означает, что информация с полевого уровня поступает в один из компьютерных элементов. Значит, такую информацию можно подменить, перехватить либо дать команду на это устройство и таким образом влиять на процесс, который затрагивает полевой уровень либо исполнительное устройство.
Традиционно пытаются защитить периметр промышленной системы, образно говоря, построить «хорошие забор и ворота» для доступа приложений и пользователей как в АСУ ТП, так и из нее. Однако современные хакеры, выдающие себя за бизнес-пользователей или субподрядчиков, легко обходят такие «заборы». Получив доступ, они заходят в систему и могут делать, что хотят, хозяева такой системы «уехали надолго».
Защита по периметру является лишь одним из компонентов решения, а основу составляет, по сути дела, мониторинг активности, действий внутри промышленной системы. Мониторинг аномального поведения на уровне элементов технологического процесса — это уже не вопрос традиционных вирусов и антивирусов, а вопрос поведения. И оно может быть отслежено именно с точки зрения аномального поведения кого‑то в системе, либо очень опытного сотрудника, который ошибся, либо реальной попытки целевой атаки.
Например, если во время работы электролизных ванн при производстве алюминия злоумышленник получит доступ к алгоритмам управления оборудованием — анодами, дозаторами, напряжением электролиза, то это может повлечь риск снижения качества выходного продукта и даже возможность хищения ноу-хау компании. Любая попытка подобного рода должна фиксироваться системой защиты, как аномальная.
Приведенные три компонента должны быть частью комплексной защиты промышленного объекта. Распознать и решать такие вопросы помогают специалисты, специальные решения и сервисы.
«ЭЖ»: Для промышленных предприятий — это риски, а для других — дополнительный бизнес. Много ли компаний работают в данной области и каков ваш опыт?
А. С.: Область новая. В первом отчете по кибербезопасности промышленных систем, опубликованном Гартнером (Gartner) в мае 2016 г., названы около 40 компаний, большую часть которых представляют стартапы с обоснованной надеждой получить финансирование и сделать нечто большее. Мы тоже похожи на стартап, но внутри очень сильной компании, которая нас финансирует, и для нас это расширяющаяся сфера деятельности. Но в отличие от других, у нас создана культура разработки и поддержки программных решений, поскольку работает серьезная фабрика с утра до вечера в три смены. Кроме того, мы выводим на рынок не только ПО, а сопровождаем его тренингами и командой экспертов, которые занимаются внедрением, анализом и осуществляют глобальную поддержку, чтобы заказчики получили серьезный уровень сервиса.
Наше восхождение в мир кибербезопасности началось с традиционной защиты корпоративных решений — ЦОДы (центры обработки данных), бизнес-приложения, критичные системы для компаний с точки зрения сохранности информации. Дальше мы шли от того, что нужно рынку и корпоративным заказчикам, которых у нас в мире более 270 000. От них мы получаем обратную связь и информацию о потенциальных угрозах в режиме реального времени. Видя при этом негативную тенденцию в одной части света и локализуя ее, мы тут же делимся такой информацией с нашими заказчиками по всему миру.
«ЭЖ»: А какие преимущества связаны с промышленным интернетом для крупных и малых компаний?
А. С.: Они связаны с изменением логики технологических процессов и бизнес-моделей. Все сводится к вертикальной и горизонтальной интеграции. Вертикальная интеграция подразделений внутри компании означает, по сути, что производство какого‑то компонента (сборка) на конвейере крупного автомобильного завода должно сразу же сопровождаться выпуском какого‑то документа в департаменте продаж, который отправляется клиенту. И чем это будет сделано качественнее и «без швов», тем эффективнее будет работать компания.
Сейчас АСУ ТП стали частью бизнес-процесса компании. Раньше был небольшой технологический процесс внутри АСУ ТП, и информация чаще всего перебивалась или передавалась в системах полуавтоматическим образом, что влекло за собой ошибки, затраты времени, задержки. Далее процессы выполнялись на уровне управляющей компании.
Теперь сотрудники конструкторского бюро могут инициировать бизнес-процесс, который автоматически запускает часть технологического процесса через специализированные программы (сервисы), информация о котором попадает в корпоративную систему в реальном режиме времени, например, для оценки качества другими сотрудниками. Формируется единый бизнес-процесс (workflow) с вовлечением так называемого полевого уровня, чего раньше не было. Такой подход несет выгоды по вертикальной интеграции, но и предъявляет новые требования к надежности, безопасности, масштабируемости — время производства «продукта» в компании сокращается вместе с затратами.
Если при проектировании системы с такой бесшовной интеграцией вопросы кибербезопасности были учтены, она будет защищенной. Если же в фокусе стояла только функциональная часть интеграции — стандартные риски остаются.
Горизонтальная интеграция дает возможность компании влиться в работу с поставщиками, заказчиками, регулятором — речь идет уже о технологической платформе взаимодействия. Например, ряд лидирующих банков уже декларируют, что они хотят стать финансовой технологической платформой, а не финансовой организацией. Если предприятие может ее обеспечить, к нему потянутся совершенно новые поставщики новых технологических сервисов и решений. Если у компании есть платформа горизонтальной интеграций и возможность дать недорогой и качественный интерфейс к производственным мощностям завода, то к ней придут внешние конструкторские бюро, университеты, которые будут генерировать идеи помимо стандартных поставщиков и внутренних команд.
А если у малого предприятия есть хорошие идеи, но нет своих производственных активов и оно вливается в тему промышленного интернета, то получает возможность очень быстро произвести прототип на крупном заводе и заплатить только за это время, которое будет использовать мощности большого предприятия (например, литейное производство или конвейер). Это очень эффективно и подстегнет развитие экономики в целом. Но при этом не нужно забывать о правилах промышленной безопасности.
«ЭЖ»: Что посоветуете компаниям для обеспечения промышленной безопасности?
А. С.: Первое — организовать встречу на предприятии, куда пригласить специалистов из финансового блока, которые занимаются рисками рыночными, маркетинговыми, операционными, и специалистов, традиционно занимающихся рисками и безопасностью, и службу эксплуатации АСУ ТП, службу эксплуатации технологических процессов и поговорить на эту тему, обсудить вопросы и программу действий. Киберриски становятся частью этой программы. Это важно, поскольку недостаток информации в общении часто является одной из серьезных тем уязвимости и незащищенности.
Второе — пробовать современные способы защиты, смотреть, какая польза может быть от их внедрения.
Самый простой рецепт — найдите время пообщаться с экспертами в этой области.
1 ICS CERT (industrial control systems computer emergency respond team) — команда компьютерного реагирования на чрезвычайные ситуации.