О том, с чем связан рост бюджетов в сфере инфобезопасности, "РГ" рассказал руководитель направления Kaspersky Industrial CyberSecurity Георгий Шебулдаев.
Почему промышленники готовы тратить больше на инфобезопасность?
Георгий Шебулдаев: Наше исследование проводилось глобально и показало, что в целом осведомленность о киберрисках именно для промышленных инфраструктур растет. Промпредприятия модернизируются, становятся более цифровыми, более интегрированными с корпоративными сетями и интернетом. Из-за этого они становятся больше подвержены рискам, растет число киберинцидентов. Как следствие - увеличиваются инвестиции в системы защиты.
Это тренд по всему миру. Россию же отличает то, что у нас в 2018-м появился закон, который обязывает промышленные предприятия внедрять системы безопасности для критических информационных инфраструктур. Он предполагает, в частности, категорирование объектов, проектирование систем защиты и т.д. Это станет отдельным драйвером для увеличения бюджетов в сфере кибербезопасности.
Как вы оцениваете уровень защищенности автоматизированных систем управления технологическими процессами (АСУ ТП) российских промпредприятий?
Георгий Шебулдаев: Он колоссально отличается от предприятия к предприятию. Это зависит в том числе от того, как долго оно работает. Как правило, новый завод, построенный в 2010-х годах, уже обладает комплексной системой защиты. Также есть предприятия, в которых традиционно сильна функция кибербезопасности: построены периметры промышленных инфраструктур, промышленные сети отделены от корпоративных, правильно организована их интеграция.
Если говорить о средних показателях по стране, к сожалению, Россия не может похвастаться высокими достижениями. У нас в среднем срок службы системы автоматизации больше, чем, скажем, в Западной Европе. Там промышленные инфраструктуры постоянно обновляются, они находятся под сервисными контрактами крупных интеграторов или поставщиков систем автоматизации. Производители сами заинтересованы в том, чтобы своевременно устанавливать обновления: чем система новее, тем ее проще обслуживать, и тем больше в ней предусмотрено уже встроенных средств защиты.
В чем слабые места в системах защиты российских промышленных сетей?
Георгий Шебулдаев: В России после приобретения систем автоматизации, как правило, с поставщиками прощаются. Остается гарантийное обслуживание, а сервисная составляющая - на самой промышленной организации. У нас много квалифицированных кадров, и, например, нефтеперерабатывающий завод вполне способен поддерживать системы автоматизации своими силами. Система может отвечать нормам качества, даже если она была внедрена 15 лет назад, она работает и не ломается. Но с точки зрения кибербезопасности - это бомба замедленного действия.
Сломать устаревшую систему гораздо проще, чем защитить. Яркий пример - обновления операционных систем. Например: АСУ ТП была внедрена в начале нулевых, когда самой новой была Windows XP. Она до сих пор работает, но не поддерживается с точки зрения безопасности. А уязвимости в ней как были, так и есть. Обеспечить должный уровень защищенности уже невозможно.
Насколько адекватно компании оценивают киберриски?
Георгий Шебулдаев: Сегодня, наверное, не найти главного инженера, который бы отрицал существование самих рисков кибербезопасности. Если же говорить о количественных оценках, то мешает отсутствие статистики. И, к сожалению, вряд ли она появится в ближайшее время. Чтобы нарабатывать статистику по промышленным сетям, должны существовать регламенты и технические системы мониторинга и регистрации событий информационной безопасности. Сейчас все заканчивается на барьере, который отделяет промышленную сеть от корпоративной. Что там внутри происходит, практически нет шансов узнать людям извне даже в рамках одной компании - функции информационной безопасности промышленных и корпоративных сетей, как правило, подчинены разным департаментам.
По нашим данным, в прошлом году каждая пятая российская промышленная компания хоть раз столкнулась со сложной целевой атакой. Злоумышленникам становится сложнее атаковать корпоративные сети, т.к. киберзащита в них уже очень зрелая. Поэтому преступники ищут новые способы заработать, а промышленные инфраструктуры защищены меньше и оказываются под угрозой.
Какие системы киберзащиты инфраструктуры промпредриятий сейчас применяются?
Георгий Шебулдаев: Чаще всего применяются межсетевые экраны и различные средства ограничения периметра технологических сетей. Отделить промышленные сети от корпоративных важно, это ограничивает возможность случайного и целевого попадания в технологическую сеть извне, но этого недостаточно. Сегодня многие компоненты промышленных систем связаны с конкретными компьютерами в корпоративной сети - для передачи данных, оптимизации процессов и т.д. Это значит, что, закрепившись в корпоративной сети, можно обходить все барьеры, которые разделяют сети между собой.
На промпредприятиях часто работают подрядчики, которые приносят свое оборудование: ноутбуки, инженерные станции, то есть инфопериметр никогда нельзя считать замкнутым. Крайне важно защищать конечные узлы: промышленные серверы, рабочие станции инженера, пульты оператора. Именно эти компоненты наиболее уязвимы и понятны потенциальным злоумышленникам - с их точки зрения, это по-прежнему такие же компьютеры на базе Windows и Linux, как и в корпоративных средах. Средства защиты - специализированный антивирус, средства ограничения программной среды (белые списки ПО), ограничение доступа внешних устройств. Это практически исключит вероятность случайного заражения и серьезно затруднит возможность проникновения злоумышленника. Кроме того, трендом на рынке становится внедрение систем пассивного мониторинга. Они позволяют обнаруживать нелегитимное воздействие на контроллеры, которое может привести к сбоям.
Крайне важно проводить обучение сотрудников. Практика показывает, что даже минимальные инвестиции в образовательные программы повышают кибербезопасность предприятия больше чем на треть.