В прошлом году мы рассказали про информационные риски в производстве (промышленные киберриски), связанные с использованием информационных технологий для подготовки и проведения кибератак, представляющих новую растущую угрозу для промышленных систем1. Однако целевые атаки становятся все более сложными и непредсказуемыми, считают эксперты в области кибербезопасности, и во избежание неожиданных или непредвиденных экономических потерь при использовании ИТ настоятельно советуют построить модель угроз для своих АСУ ТП, внимательно изучить уязвимые места с точки зрения новых векторов атак, выстроить систему защиты, разработать необходимые меры реагирования ключевых сотрудников компании и выработать процедуру расследования киберинцидентов на предприятии. Для этого важно знать, как меняется ландшафт угроз с учетом методов и средств современных «кибермошенников» и какую информацию учитывать компаниям при принятии решения об инвестировании в защиту. Что предлагают специалисты по кибербезопасности в данной области, рассказывает Андрей Суворов, директор по развитию бизнеса, направление — безопасность критической инфраструктуры, «Лаборатория Касперского».
Информационные технологии несут не только новые возможности, но и могут быть потенциально опасным инструментом, если их используют в деструктивных целях (хищения, кибер-вымогательства (ransomware), атаки с целью нанесения ущерба или репутации и др.), что может повлечь потерю непрерывности бизнеса, включая нарушение физической целостности активов компании.
Однако в ряде случаев мы сами во многом создаем для этого все основания, потому что не понимаем, как корректно вести себя в цифровом сообществе. И здесь есть один очень важный аспект.
Корректная работа с информацией повышает уровень защищенности
Чтобы подготовить кибератаку, проникнуть внутрь периметра предприятия, зачастую не нужны большие ресурсы и много денег. Попробуйте протестировать свою компанию по приведенному ниже алгоритму, который иногда используется для того, чтобы на практике показать важность корректной работы с информацией.
Возьмите ваш корпоративный веб-сайт. Проанализируйте, есть ли в нем раздел «Конкурсы» (или «Тендеры»). Если есть, посмотрите, какая информация публикуется в части компаний-победителей и деталей технического решения в области АСУ ТП или кибербезопасности АСУ ТП. А затем изучите, какая информация опубликована на сайте компании-победителя относительно решения для вашей компании и есть ли упоминания по конкретным производителям и моделям примененного решения.
Любая техническая детализация в привязке к вашему объекту автоматизации не является аргументом в пользу хорошей защищенности предприятия, а вот отсутствие такой информации в публичном доступе — скорее да. В интернете сейчас можно очень быстро найти информацию об уязвимостях конкретных моделей конкретных производителей и соответствующие им «эксплойты» (программы, которые эти уязвимости используют незаметно).
Наконец, завершающий этап картины. Понимая, кто заказчик, где у него находится завод и на каких элементах все построено, включая уязвимости и зная их, можно, используя определенного рода известные поисковые системы из того же интернета, найти такие «слабые звенья». Последнее исследование «ЛК», опубликованное в июле 2016 г., показало наличие 220 000 элементов АСУ ТП, которые видны из интернета (цифры глобальные). Более 33 000 из них являются ПЛК (программируемый логический контроллер), представляющим собой один из самых важных элементов киберфизической системы (упрощенно — к ПЛК подключаются такие исполнительные устройства, как турбины, центрифуги, доменные печи и др.).
Иначе говоря, очень много технической информации служебного характера публикуется в интернете и ее очень легко связать с уязвимостями и с эксплойтами, которые тоже можно найти там же. По сути дела, подготовка кибератаки практически ничего не стоит, кроме оплаты доступа к сети, и все можно сделать с удаленного компьютера злоумышленника.
Нужно понимать: те, кто занимается кибератаками, технически грамотны, умеют работать с информацией, последними технологиями (большие данные, геопозиционирование, интеграция приложений и др.), поэтому защита промышленных активов начинается с усложнения задачи получения технических деталей.
Что нужно делать в такой ситуации?
Прежде всего, обучить своих специалистов правильно работать с информацией о своей компании: о каких цифровых активах можно писать на сайте, а о каких — нельзя. Это вопрос даже не секретности, а культуры поведения в «цифровом пространстве».
В данном случае у всех субподрядчиков и партнеров должно быть четкое понимание о том, что не следует публиковать в открытом доступе никаких схем, никаких технических деталей о решениях, поставляемых заказчикам. А сотрудники должны понимать, какого рода информацию, фотографии, контакты могут быть предметом обсуждения на форумах и социальных сетях. Вроде все просто, а как в реальной жизни? Сделайте тест — увидите сами.
Как промышленные компании относятся сегодня к рискам вообще и киберрискам в частности?
На уровне руководства промышленных компаний, которые занимаются эксплуатацией крупных систем, конечно же есть подход к управлению рисками и в этом контексте есть понимание вероятности их происхождения, величины финансовых потерь после наступления. Их величина, как правило, складывается из:
-
фактической стоимости потерянного (вышедшего из строя) оборудования и\или
-
потерь производства вследствие остановки того или иного процесса (упрощенно: на какую сумму не выпущено продукции за время простоя).
В настоящее время наблюдается очень серьезное изменение отношения на промышленных предприятиях к киберрискам (вторая грань проблемы). Еще год назад мало кто знал про них, а если знали, то ничего не говорили, не обсуждали, не учитывали и не рассчитывали.
Приведу простой пример из текущей практики страхового бизнеса. Каждое промышленное предприятие имеет договор на страхование и в случае возникновения каких-то инцидентов его открывают для выяснения суммы, которую выплатит страховая компания в данном случае. Сегодня большинство индустриальных компаний мира не получают никакого денежного возмещения, если доказано, что причиной поломки оборудования или простоя бизнеса являлся киберинцидент. Условия договора страхования этого не предусматривают. Иначе говоря, если кибератака выводит из строя промышленную установку, которая может стоить от нескольких сотен тысяч до нескольких миллионов долларов, она не подлежит покрытию страховой компанией.
Подобные случаи могут иметь сильное потрясение для компаний, поскольку могут повлиять на их прибыльность, управляемость и репутацию. В такой ситуации у финансового директора компании, который читает, смотрит или слышит про киберугрозы (тема, которая, может быть, и не самая популярная, но очень часто цитируемая в последние месяцы), возникает вопрос: а если это случайно или намеренно произойдет в моей компании, что делать и кто будет покрывать потери?
Как минимум нужно понимать, что такие случаи не подлежат страховому покрытию. Поэтому необходимо очень быстро выстроить модель угроз с точки зрения потенциальных кибератак для конкретного завода и конкретного технологического процесса. Такая модель позволит выявить приоритеты в защите от нового типа атак, например, в первую очередь следует рассматривать АСУ ТП, которые отвечают за первичную обработку сырья или выпуск финального продукта.
В этой связи нужно обязательно выстроить и проанализировать вектор атак для различных технологических процессов и выделить приоритеты. При этом важно понять, какие существуют уязвимые места и каким образом может действовать атакующий. Иначе говоря, насколько модель угроз действительно реальна для данного завода, и исходя из этого строить защиту.
Практика показывает, что многие компании в настоящее время продолжают выстраивать механизмы защиты исходя из своих привычных действий, по аналогии. Например, как защищали офис, такие же схемы переносятся на производство. Но такие подходы отличаются так же, как отличается российский футбол от бразильского, — в данном случае компании защищают промышленное предприятие как могут и умеют, исходя из практики информационной безопасности офисного сегмента, а «темные силы» действуют так, как они хотят, потому что идут от уязвимых мест на уровне уникальных в промышленном контуре элементов (промышленные протоколы, ПЛК).
Необходима политика действий и процедуры принятия решений
Мы постоянно проводим исследования уязвимых мест в промышленных системах — таких элементах, как уровень контроллеров, промышленных протоколов и специализированного программного обеспечения, который управляет ходом технологического процесса (SCADA-системы), и за последние три месяца мы нашли более 60 уязвимостей «нулевого дня» — этот термин стал уже устойчивым. Что он означает?
Если на предприятии стоит какой-нибудь контроллер, компьютер с программой, то, как правило, ориентируются на его заявленные функциональные и нефункциональные (сюда попадает и безопасность) возможности. Но на самом деле внутри системы есть некоторая возможность повлиять на такое устройство, например, с помощью какой-то команды просто остановить процесс или перехватить информацию, которую это устройство передает. А поскольку считается, что такой команды нет, поэтому она и называется командой «нулевого дня» — она существует, но про нее в компании не знают и даже не догадываются, так как она не документирована и неизвестна даже разработчикам такого элемента.
Как правило, те, кто занимаются целевыми атаками, которые сегодня являются смыслом кибервойны, пытаются найти в системе то, про что не знают даже ее производители. При этом они совершают атаку определенным образом и выходят из нее так, чтобы никто на предприятии не понял, что это была атака, не почувствовал ее и не вспомнил про нее. Проведенная таким образом кибератака считается самой эффективной, а такие уязвимости «нулевого дня» очень опасны, поскольку никто не знает, как можно, по сути дела, воспользоваться системой способом, отличным от того, который прописан в руководстве по эксплуатации.
Действие таких новых атак направлено, как правило, на технологический процесс, а их результаты могут проявиться только через год. Например, предприятие может столкнуться с проблемой качества производимого продукта (алюминий из премиальной марки может в итоге превратиться в более низкий выходной продукт для строительства), будет терять деньги, увольнять технологов, думая, что специалисты не справляются, а на самом деле такие последствия могут быть элементом серьезной атаки. Есть много подтверждений тому, что известная целевая атака Stuxnet (Иран) (см. «ЭЖ», 2016, № 46) — компьютерный червь, который находился внутри системы более двух лет, и атака длилась очень долго. Но это не значит, что, если ее обнаружили и информацию опубликовали, стало известно, как действовать в таком случае. Возможно, через два года никому это уже просто не интересно. Важно то, что, как правило, серьезная кибератака, эксплуатирующая уязвимости «нулевого дня», может быть незамеченной, и вы про нее не знаете.
Кроме того, в прошлом году накопилось большое количество так называемых электронных вымогательств (ransomware), когда на экране компьютера всплывает окно с примерным сообщением о необходимости заплатить какую-то сумму денег, иначе приложение или система работать дальше не будет.
Последняя громкая история (в декабре прошлого года) произошла в Сан-Франциско, где заблокировали систему легкого транспорта, потребовали 70 000 долларов (это публичная информация). Муниципалитет города принял решение достаточно оптимальное, хотя оно стоило гораздо дороже выкупа, не идти на поводу у атакующих, и полтора дня возил всех жителей города и гостей бесплатно и за это время переустановил систему заново. Приведенный пример говорит о том, что на любом уважающем себя крупном предприятии должна быть выработана некая процедура, политика, как действовать в таких случаях. Однако на практике многие компании даже не обсуждают такой тип рисков, а он очень реален даже по статистике прошлого года.
Тем не менее первая задача крупных компаний — понять, какая модель угроз для них существует, и внести в нее управление рисками компании.
Как построить модель угроз
Одна из задач промышленной компании в области управления рисками состоит в том, чтобы провести внутреннее исследование, анализ для построения модели угроз — возможные действия при наступлении той или иной угрозы. Такие действия аналогичны составлению экономической модели предприятия, когда проводится анализ и разрабатываются возможные сценарии действия по схеме: что будет, если, например, цена на нефть упадет до 40 долл. за баррель и/или пос-тавщик поднимет цены на поставляемые ресурсы или не будет привозить их своевременно, по графику.
Точно такой же анализ следует проводить и по киберрискам.
Рекомендация для предприятий — выработать модель угроз, посмотреть вектор атак с учетом специфики отрасли и технологических процессов и внутри компании выработать действия по реакции на возможные инциденты. Модель выполняет аллегорически функцию зонтика, который можно брать с собой, тогда дождя не будет. А если зонтика нет, дождь обязательно пойдет.
Модель угроз составляется следующим образом.
На определенную схему производственных процессов и сети элементов компании накладываются очень условно красные точки — слабые, уязвимые места с точки зрения информационной безопасности. Почему это важно? На многих предприятиях так называемые сети технологического контура и сеть завода не разделены и находятся в одной плоской сети. Теоретически и практически сотрудник, работающий в конструкторском бюро, находится в той же сети, что и технологический компьютер конвейера. По сути дела, это означает некое ослабление защиты — простота доступа к такой системе, что для киберзащиты очень важно.
Может получиться и так, что, несмотря на разделение обеих систем специальными устройствами для защиты периметра, тем не менее находятся «привилегированные» пользователи или компьютеры, у которых есть доступ и к той и другой системам. И бывали случаи, когда такого рода устройства не были занесены в систему, что выяснялось только в режиме обследования.
При использовании карты с нанесенной на нее информацией в процессе анализа защищенности может выясниться, что существуют компьютеры, которые пытаются «достучаться» удаленно к поставщикам решений. Само по себе это не является нарушением, но, поскольку это не задокументировано и не проверялось, в самой схеме подключения могут быть слабые промежуточные звенья, они и являются явными «кандидатами» красной точки.
Подобных вещей достаточно много, а техники атак пополняются. Важно понимать и четко обозначать, что в данном случае речь идет о защите киберфизической системы — слабые места надо анализировать и в контуре технологической сети, и на уровне исполнительных устройств в цехах. И по каждой такой выявленной красной точке нужно оценить вероятность кибератаки, возможные потери, а дальше уже расположить их по приоритетности как обычные риски исходя из финансовых и других показателей. Затем нужно выбрать наиболее высокие риски и принять по ним решения. Например, от одного типа рисков можно сделать защиту, от другого — застраховаться, а третий — передать внешнему поставщику. Здесь нужно действовать согласно теории и практике управления рисками.
К сведению
По данным исследования Cost of Cyber Crime Study: Global, 2015, ежегодные затраты (прямые и косвенные) на устранение последствий кибератак в компаниях выросли в среднем на 65% с 2012 по 2015 гг. Максимальные расходы в 2015 г. составили 65 млн, а минимальные — почти 308 млн долл.
Самый большой среднегодовой ущерб от кибератак на организацию в США составляет 15,4, что на 82% больше, чем шесть лет назад. При этом на ликвидацию последствий кибератак требуется в среднем 46 дней (за шесть лет этот срок увеличился почти на 30%), причем на устранение последствий каждой из них компании тратят в среднем по 1,9 млн долл.
В российских компаниях такие расходы пока самые низкие — 2,37 млн долл. Для сравнения, в Германии — 7,5 млн, Японии — 6,8 млн долл.
В отраслевом разрезе самые высокие среднегодовые затраты на устранение последствий кибератак в сфере финансовых услуг — 8,5 млн; энергетике и коммунальных услугах — 6,5 млн; коммуникационных компаниях — 6,3 млн; сфере услуг — 5,5 млн и промышленности — 5,2 млн фунтов стерлингов. Более низкие затраты в организациях, занимающихся технологиями — 3,0 млн; транспортом — 2,4 млн; СМИ — 2,3 млн; розничной торговле — 2,2 млн; гостиничным бизнесом — 2,0 млн; в общественном секторе, а также образовании и исследовании — 1,6 млн фунтов стерлингов. Существенное увеличение таких затрат в энергетике и коммунальных услугах на 25%, сфере услуг на 57% и промышленности почти на 37% произошло в 2015 г.
1 Об основных группах промышленных рисков и направлениях их воздействия читайте в интервью с Андреем Суворовым в «ЭЖ», 2016, № 46, с. 18—19.