Зачем хакеры пытаются взломать сети промышленных компаний?
Александр Познякевич: Говоря об информационной безопасности предприятий, важно определить ключевые сегменты. В любой индустриальной компании условно их два - корпоративный и промышленный. В первом происходят стандартные офисные процессы, а во втором функционируют автоматизированные системы управления технологическим процессом (АСУ ТП). Эти среды принципиально отличаются - имеют разные протоколы связи, специфичные системы, специализированные средства защиты.
В последние пять-десять лет обе среды начали взаимодействовать теснее: например, для анализа, прогнозирования и принятия эффективных решений бизнесу необходимы данные о функционировании объектов с уровня АСУ ТП, а обрабатываются они в корпоративном сегменте или даже в сторонних ИТ-организациях. По этой причине киберугрозы, характерные для первого сегмента, - вирусы, шифровальщики, троянцы и т. п., стали актуальны и для производственной среды. Только в сегменте АСУ ТП цель злоумышленников - дестабилизировать или даже полностью остановить работу предприятия.
Злоумышленники стали действовать более изощренно?
Александр Познякевич: Да, ландшафт киберугроз продолжает усложняться: растет и количество атак, и их сложность. В 2021 году решения "Лаборатории Касперского" обнаруживали в среднем около 380 тысяч новых вредоносных файлов в день. Нынче их не просто стало больше - мы видим рост целенаправленных атак. Злоумышленники подготовлены: они заранее изучают инфраструктуру "жертвы", специфику объекта, чтобы нанести максимальный ущерб. Этим занимаются целые кибергруппы. Такие атаки отличаются многовекторностью, например, преступники запускают DDoS-атаку (создание потока трафика на онлайн-ресурс с целью довести его до отказа. - Прим. "РГ"), нацеленную на корпоративный сегмент, и под ее прикрытием ищут "ключ" к промышленной сети. Поэтому важно комплексно защищать всю инфраструктуру, для этого, в частности, мы предлагаем сервис "Аптечка ИБ АСУ ТП".
Каким образом "Аптечка" поможет отразить кибератаки?
Александр Познякевич: Это комплекс мероприятий, в рамках которых специалисты "Лаборатории Касперского" оценивают текущий уровень защиты АСУ ТП, формируют актуальную модель киберугроз и определяют потенциальных нарушителей для наиболее значимых объектов инфраструктуры заказчика. Кроме того, готовят отчет об актуальных для конкретной компании угрозах и, наконец, проводят обучение сотрудников, чтобы повысить их осведомленность в вопросах информационной безопасности. Также по итогам выполнения работ мы предоставляем экспертную консультацию, которая, по сути, помогает выстроить план развития системы кибербезопасности предприятия. Все это и помогает компании в короткие сроки подготовиться к отражению атак.
Наверное, у каждой компании есть уязвимые места в системе информбезопасности. Увеличил ли их количество уход зарубежных поставщиков ПО?
Александр Познякевич: Да, это привело к ослаблению систем безопасности: из-за отсутствия обновлений защитные технологии перестают блокировать переходы по вредоносным ссылкам, реагировать на вирусную активность в Сети и т. д. Многие предприятия вынуждены в срочном режиме перестраивать свои системы кибербезопасности. Но надо понимать, что в процессе перехода на новое программное обеспечение могут проявиться слабые места в инфраструктуре, уязвимые для постороннего вмешательства. Наш сервис позволяет их оценить и предложить набор компенсирующих средств защиты и другие организационно-технические меры.
Что в первую очередь необходимо предпринять бизнесу, работающему на иностранном софте?
Александр Познякевич: Провести аудит инфраструктуры и перейти к проектированию средств защиты. Этот процесс может занять длительное время, в некоторых случаях больше года, особенно если компания имеет распределенную сеть в регионах. Однако подготовить план действий для обеспечения информационной безопасности критических объектов (речь идет не обо всем предприятии) реально за несколько месяцев. Именно для этого мы и выпустили "Аптечку ИБ АСУ ТП".
До 2025 года всю критическую инфраструктуру в России предстоит перевести на отечественный софт. Это добавит вам работы?
Александр Познякевич: Промышленный сегмент и раньше использовал не так много зарубежных продуктов в сфере информбезопасности, ведь к ним российское законодательство предъявляет жесткие требования - в частности, необходима сертификация в Федеральной службе по техническому и экспортному контролю (ФСТЭК России). А вот если говорить о системах автоматизации, то здесь импорта действительно много, и отечественные решения будут очень востребованы. К слову, наши решения для обеспечения информационной безопасности промышленного сегмента в совокупности с организационными мерами позволяют реализовать более 80 процентов мер, предписываемых законодательством и приказами ФСТЭК России для защиты критической инфраструктуры.
Как сегодня в компаниях налажена система реагирования на киберугрозы?
Александр Познякевич: В некоторых работают специальные подразделения. Но поскольку квалифицированных кадров не хватает, многие функцию расследования киберугроз и реагирования отдают сторонним организациям, предоставляющим такой сервис. Есть и гибридная схема, когда внутренняя служба оперативно реагирует на инциденты, а исследуют их эксперты профильной компании. Но подчеркну: вне зависимости от специализации сотрудников их квалификацию в вопросах информбезопасности необходимо повышать, для этого наш центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности (Kaspersky ICS CERT) подготовил набор специализированных тренингов по ИБ АСУ ТП.