Закон требует, чтобы владельцы критической информационной инфраструктуры (КИИ) проводили категорирование своих объектов и по его результатам обеспечивали их безопасность с помощью организационных и технических мер. Чтобы контролировать соблюдение закона, государство намерено проводить на значимых объектах КИИ плановые проверки раз в три года, а также внеплановые - в случае киберинцидентов.
В соответствии с изменениями, внесенными в Уголовный кодекс РФ, преступления, направленные против значимых объектов КИИ, влекут за собой суровые наказания как для злоумышленников, так и для ответственных лиц, в том числе лишение свободы на срок до десяти лет в случае особо тяжких последствий. Эти законодательные нововведения заставили владельцев КИИ по-новому взглянуть на промышленную кибербезопасность. Принятие надежных мер киберзащиты - теперь не только условие бесперебойной работы производственного оборудования, но и единственный способ для руководства избежать обвинений в халатности.
Многие российские предприятия уже столкнулись с хакерскими атаками и испытали на себе разрушительное действие вирусов типа WannaCry, Petya, Misha. Выяснилось, что специалисты, отвечающие за безопасность информационно-вычислительных сетей, не всегда могут обеспечить надежную защиту промышленных систем автоматизации, поскольку не до конца понимают специфику их работы. В свою очередь специалисты по АСУ ТП в прошлом практически не сталкивались с киберугрозами. До появления технологий промышленного интернета вещей и возникновения тренда на цифровизацию никто не уделял особого внимания компьютерной грамотности производственного персонала. Людей учили четко соблюдать требования охраны труда и промышленной безопасности, но никто не объяснял, что вставить USB-накопитель в компьютер, подключенный к АСУ ТП, может быть не менее опасно, чем голыми руками проникнуть в электрический щиток. Обычная флешка позволяет атаковать систему управления напрямую, а это может повлечь остановку производства, огромные финансовые потери и даже техногенную катастрофу.
Недавно Honeywell провела исследование, в рамках которого на 50 предприятиях нефтеперерабатывающей, химической, целлюлозно-бумажной и других отраслей сканировали USB-устройства. На 44 процентах из них был найден хотя бы один файл, угрожающий безопасности АСУ ТП. Причем 26 процентов выявленных угроз могли привести к серьезным сбоям в работе системы, вплоть до потери контроля за ходом технологических операций. Среди пойманных вирусов были широко известные TRITON и Mirai, а также червь Stuxnet - тип атаки, с помощью которого спецслужбы разных стран ранее вмешивались в работу промышленных объектов. Кроме того, стандартные средства антивирусной защиты не смогли обнаружить до 11 процентов угроз, выявленных в ходе исследования.
USB-устройства - не единственная опасность. Компьютеры могут заразиться вредоносными программами при посещении пользователем фишингового сайта или при открытии безобидного на вид файла, полученного по электронной почте. Рабочие станции АСУ ТП особенно уязвимы к таким угрозам, поскольку нередко работают на устаревших операционных системах - например, Windows XP. Какую защиту может обеспечить операционная система, созданная 17 лет назад, если новые угрозы возникают не просто ежедневно, а ежеминутно?
Риски, связанные с киберпреступлениями, невозможно полностью устранить, но можно свести к минимуму. Для этого вопросы промышленной кибербезопасности должны быть в зоне постоянного внимания высшего руководства, учитываться при планировании бюджета, инвестиционных программ и проектов цифровой трансформации. В качестве первого шага аудиты кибербезопасности позволяют далеким от ИТ-сферы управленцам правильно оценить степень уязвимости инфраструктуры предприятия.
Не менее важно разрушить барьер непонимания между ИТ-специалистами и производственниками: до тех пор, пока они будут находиться по разные стороны баррикад, добиться надежной защиты производственной инфраструктуры не удастся. А в идеале предприятиям необходим персонал, обладающий той и другой компетенцией и способный не просто реагировать на атаки, но и предвидеть вероятные угрозы. Правда, пока таких специалистов практически нет на рынке.
Сегодня каждая производственная компания, эксплуатирующая АСУ ТП, должна иметь программу в области промышленной кибербезопасности. Такую программу мало разработать - не менее важно добиться ее четкого выполнения. Множество проблем можно предотвратить, если строго выполнять базовые вещи: своевременно устанавливать патчи (пакеты исправлений) и обновлять антивирусные системы, управлять межсетевыми экранами и системами обнаружения вторжений, контролировать использование USB-устройств, регулярно создавать резервные копии данных и т.д.
Если собственный персонал в силу нехватки времени или квалификации не может принимать меры защиты, предприятию есть смысл задуматься о заключении договора с провайдером управляемых услуг обеспечения безопасности, что также даст возможность производственному персоналу сосредоточиться на своих задачах. Для крупных, территориально распределенных компаний хорошим решением может стать создание централизованной операторной, управляющей не только техпроцессами, но и кибербезопасностью и другими промышленными рисками.