Фокус номера: кибербезопасность в нефтегазовой отрасли
НазадМесто Казахстана в глобальной системе кибербезопасности
Специфика рынка информационной безопасности такова, что зачастую о самых актуальных угрозах рассказывают не те, кто с ними столкнулся, а те, кто их расследовал и останавливал. Сегодня в рамках нашего специального проекта мы беседуем с Евгением Питолиным, управляющим директором Лаборатории Касперского в Центральной Азии и Монголии.
– Евгений, все последние данные отчетов Лаборатории Касперского говорят о значительных пробелах киберзащиты в основных отраслях Казахстана, включая и нефтяную. Есть ли у вас ощущение, что на предприятиях энергетического сектора не относятся к масштабу проблемы серьезно?
– В прошлом году Казахстан занял седьмое место в мире по количеству атакованных промышленных компьютеров. В исследовании ICS CERT (центр промышленной кибербезопасности АО ЛК) мы давали данные, что за первое полугодие 2017 года атакам подверглись почти 46% систем промышленной автоматизации в Казахстане, во втором их количество только выросло. Конечно, пласт осведомленных компаний развивается, но киберпреступники всегда будут обгонять этот показатель своими действиями.
Также на многих предприятиях вопросы промышленной безопасности и защиты критической инфраструктуры рассматриваются в первую–и часто единственную!–очередь в контексте физической безопасности, разграничения уровня физического доступа, но этого, как мы видим на примере успешных атак, недостаточно для предотвращения всех угроз, особенно связанных с киберпреступностью.
– Насколько угрозы относятся к специфическим темам отрасли, к примеру, к защите АСУ ТП систем? И какие отрасли и системы наиболее затронуты?
– Если брать прошлый год, то в 2017 году общее число опубликованных на сайте Лаборатории ICS-CERT уязвимостей, выявленных в различных компонентах АСУ ТП, составило 322. В это число входят уязвимости в ПО общего назначения и в сетевых протоколах, которые также актуальны для промышленного ПО и оборудования. Они рассматриваются в обзоре отдельно.
Большая часть уязвимостей затрагивает автоматизированные системы, управляющие энергетикой (178), производственными процессами различных предприятий (164), водоснабжением (97) и транспортом (74). Наибольшее количество уязвимостей АСУ ТП было выявлено в SCADA/HMI-компонентах (88), сетевых устройствах промышленного назначения (66), ПЛК (52) и инженерном ПО (52). Среди уязвимых компонентов также РЗА, системы противоаварийной защиты, системы экологического мониторинга и системы промышленного видеонаблюдения.
– А что вообще двигает промышленным рынком? Каким образом ситуация меняется, допустим, в энергетическом секторе?
– Надо понимать, что рынок решения таких проблем, с точки зрения предложения, в РК пока еще формируется, и делает он это, исходя из нескольких точек восприятия и подачи информации.
С одной стороны, есть конкретные угрозы и векторы атак, о них все чаще пишут наши исследователи, и мы активно информируем предприятия о потенциальных угрозах, что инициирует диалог с обеих сторон. С другой стороны, производители промышленного оборудования часто сами видят уязвимости своих решений, часто на основе информации об успешных атаках и взломах (неважно, у себя или у других игроков на рынке). Они информируют своих клиентов, поднимают вопросы использования специального защитного ПО, сертификации его с промышленным оборудованием, и тут на сцену снова выходят производители защиты.
Кроме того, перманентные усилия по развитию и прокачке уровня осведомленности об угрозах, различные awareness-программы–эти шаги также дают рынку хороший толчок для движения вперед.
– Достаточно часто проблемы начинают решать уже постфактум, когда все произошло. Как быть на шаг впереди злоумышленников–и возможно ли это вообще?
– Сама возможность успешной атаки на промышленную систему–это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем, производителей средств защиты. Они, по большей части, удивительно медлительны и нерасторопны, что в сложившейся ситуации грозит опасными последствиями.
Помимо этого, подход производителей промышленного ПО и оборудования к исправлению уязвимостей и ситуацию с устранением известных уязвимостей на предприятиях нельзя назвать обнадеживающими. Подавляющее большинство промышленных предприятий годами остаются уязвимыми к компьютерным атакам. Это имеет под собой логичное основание: многие элементы технологических систем должны работать непрерывно и их нельзя, например, перезагружать для установки обновлений. К подобным системам требуется особый подход и особые продукты.
К сожалению, опережать злоумышленников и при этом не вмешиваться в технологические процессы крайне непросто, но необходимо. Для этого мы активно продвигаем среди бизнеса, и особенно промышленности, две целевые программы защиты: комплекс мер по защите АСУТП (технологических процессов) и полноценную образовательную программу по кибербезопасности для сотрудников всех уровней: от цехового инженера или бухгалтера до первого руководителя предприятия, позволяющую в доступной практической и игровой форме, бизнес-языком и простыми словами донести всю суть угроз производству, повысить квалификацию сотрудников и резко снизить уровень опасности на промышленных предприятиях.
– А что грозит тем руководителям, кто не понимает проблем (или закрывает на них глаза)? Какова цена ошибки?
– Вообще, когда смотришь на те или иные шаги, которые достаточно крупные компании и высокопоставленные люди совершают при соприкосновении с информацией, невольно хочется напомнить им, что можно делать всё, но некоторые вещи–только один раз. Очень показательна стоимость ошибки на рынке информационной безопасности именно для первых лиц компаний.
В 2017 году получила огласку утечка из компании Equifax, которая затронула 145,5 млн американцев. Помимо того, что торги акциями Equifax были остановлены, а после возобновления торгов курс акций упал на 1,5%, главный исполнительный директор и председатель совета директоров кредитного бюро Equifax Ричард Смит ушел в отставку после 12 лет работы.
Достаточно агрессивно на рынке в аналогичном случае вела себя компания Uber, в ноябре 2017 года признавшаяся, что более года назад с ее серверов были похищены данные 50 млн клиентов и 7 млн таксистов по всему миру, однако Uber не только не поделилась вовремя этой информацией с регуляторами и пострадавшими клиентами, но и заявила, что не будет оправдываться за это. Глава Uber Дара Хосроушахи отправил в отставку офицера безопасности и старшего юриста компании, но на мой взгляд, правильнее было бы начать с самого себя.
Вопиющий случай произошел и в США–с героем Армии США Дэвидом Петреусом, бывшим главой ЦРУ. Расследование ФБР привело к журналистке New York Times, которая получила доступ к рабочей почте ЦРУ и папкам с грифом «совершенно секретно», пока она сблизилась с генералом, работая над его биографией. В итоге генерал был арестован за уголовное преступление, но пошел на сделку со следствием, и теперь весь мир ждет экранизации его мемуаров.
Героиня следующего кейса–не просто высокопоставленное, а самое что ни на есть первое лицо страны, уже теперь бывший президент Южной Кореи Пак Кын Хе. Прошедшая через череду медиаскандалов, суды и процедуру импичмента Пак Кын Хе, или Чхве Сун Силь, ее многолетняя подруга и советница могли бы поведать грустную историю о том, как важно не выкидывать старые вещи. Но не смогут, ведь одну из них (Силь) суд приговорил к 20 годам заключения по обвинению в злоупотреблении властью, а вторая (Пак) приговорена к 24 годам тюрьмы за коррупцию, выдачу конфиденциальной информации и злоупотребление властью. А ведь эта сенсационная история началась классическим образом из мусорного бака, где журналисты одного из корейских каналов нашли кем-то выброшенный планшет президента, а внутри–сотни файлов, в основном программные речи Пак Кын Хе, которые были подвергнуты серьезным правкам со стороны Чхве Сун Силь.
– Но насколько описанных случаев можно было бы избежать, если закрыть все сети от доступа извне, лишить сотрудников мобильных устройств?
– Современные технологии позволяют контролировать большую часть бизнес-процессов, при наличии мобильных устройств и доступа в интернет, руководители бизнеса позволяют себе управление бизнесом, даже когда их нет в офисе, городе или стране. Поэтому просто избавиться от этого директивно неправильно и неэффективно. Однако, наряду с удобством и возможностью быть мобильными, это несет в себе и ряд опасностей, о которых, как правило, задумываются далеко не все управленцы предприятий.
К примеру, мы проанализировали данные почти о 32 миллионах точек доступа Wi-Fi по всему миру, и оказалось, что почти четверть точек доступа обходятся вообще без шифрования. В его отсутствие любой человек, стоящий неподалеку от точки доступа с антенной, способной принимать и отправлять сигнал на частоте 2,4 ГГц, может просто перехватить и сохранить весь трафик пользователей, а потом спокойно искать в нем интересующие его данные.
А еще недавно наши исследователи проверили, насколько защищены от киберзлоумышленников «умные» камеры, которые довольно активно используются в повседневной жизни и на предприятиях–в качестве элемента общей системы безопасности или же системы мониторинга технологических процессов и помещений.
Уязвимость в архитектуре облачного сервера позволяет злоумышленнику получить доступ через «облако» ко всем камерам и управлять ими, использовать камеры в виде опорной точки для атак на другие устройства, «клонировать» произвольную камеру и подменить изображение для конечного пользователя без особого труда.
– Камеры–это технологично, но уже не ново. А какие новые тренды есть в теме промышленной кибербезопасности?
– Все самое модное сейчас, конечно же, связано с темой майнинга криптовалют. По данным нашего CERT, в период с февраля 2017 года по январь 2018 года программами для майнинга криптовалют были атакованы 3,3% компьютеров, относящихся к системам промышленной автоматизации. Увеличение числа таких атак в Казахстане наблюдалось с сентября 2017 года, проблемы с внедрением майнинговых механизмов на сайты органов власти широко обсуждались в СМИ и социальных сетях.
Как и другое вредоносное ПО, попавшее на системы промышленных предприятий, майнеры могут стать угрозой для мониторинга и управления технологическим процессом. Во время работы вредоносные программы данного типа создают значительную нагрузку на вычислительные ресурсы компьютера. Увеличение нагрузки на процессоры может негативно влиять на работу компонентов АСУ ТП предприятия и угрожать стабильности их функционирования.
По нашим оценкам, в основном майнеры попадают на компьютеры АСУ в результате случайных заражений. Достоверной информации о целевом заражении машин в инфраструктуре технологической сети для майнинга криптовалют нет–исключая те случаи, когда установка майнеров производится недобросовестными сотрудниками предприятий. Чаще всего вредоносное ПО для майнинга криптовалют попадает в инфраструктуру технологической сети из интернета, реже–со съемных носителей или из сетевых папок.
Совсем недавно нами проведено расследование заражения компьютерной сети одной из водоочистных станций в Европе вредоносным программным обеспечением с функцией майнинга криптовалюты. Зараженными оказались четыре сервера, а вредоносное ПО замедляло работу HMI и SCADA-серверов, используемых для мониторинга технологических процессов.
– Согласитесь, что производства в РК имеют достаточно разный уровень технической оснащенности. В случае с современными проектами все понятно, а зачем преступникам такое внимание уделять предприятиям, где до сих пор рубильник можно переключать при помощи деревянного рычага? И тем более, где никакого интернета не проводят на предприятия?
– Во-первых, не стоит забывать про интеграцию IT и промышленных сетей, о которой мы уже говорили. Но и, вне зависимости от технологии производства, корпоративная сеть (администрация, управляющая компания) все равно регулярно обновляет свою инфраструктуру. Кроме этого, особое внимание стоит уделить тому факту, что более чем в трети случаев в результатах нашего исследования (35%) киберугрозы на казахстанские промышленные компьютеры попадали из интернета–а значит, развитие автоматизации в промышленном сегменте активно идет. Кроме того, на 15% этих машин вредоносное ПО было обнаружено при подключении съемных носителей информации.
Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о том, что невозможно избежать рисков путем простого отключения системы от интернета. Тем более, нельзя забывать о том, что доступ к интернету из технологической сети может быть не только результатом слабых ограничений, но и вынужденной необходимостью, к примеру, когда физически отдельные части АСУ ТП могут располагаться на территориях, не обжитых людьми. Их обслуживание производится удаленно через мобильные интернет-каналы. Поэтому, изоляция промышленных сетей больше не может рассматриваться как мера их защиты.
– Очевидно, что такой уровень проблем не может оставаться без внимания государства. Чем оно должно помочь, и какие тут могут возникнуть нюансы?
– Объекты критической инфраструктуры представлены, в первую очередь, многообразием физических средств: дороги, предприятия, строения, трубопроводы, электростанции, шахты. Но кроме них, неотъемлемой частью КИ являются информационные ресурсы и телекоммуникационные сервисы в объединяющем их киберпространстве.
Это размывает область ответственности и обязанностей, касающихся обеспечения безопасности КВОИКИ. Процессы защиты таких объектов вовлекают большое количество участников, в том числе таких, которые до этого момента не имели опыта взаимодействия друг с другом.
Эффективность и своевременность взаимодействия сторон, ответственных за аспекты безопасности, необходимы для оперативной обработки инцидентов и предотвращения существенного ущерба. А в долгосрочной перспективе, развитие государством процедур управления этим взаимодействием способствует укреплению потенциала безопасности таких объектов.
Без всякого сомнения, ключевую позицию в отношениях государства и частного сектора в сфере кибербезопасности КИ постепенно занимают профильные компании, независимые исследователи и CERT. Часто именно они способствуют на глобальном уровне обмену современными законодательными, оперативными и техническими практиками киберзащиты (например, через стандартизацию и адаптацию документирующих эти практики руководств), что в конечном счёте усиливает кибербезопасность объектов критической инфраструктуры по всему миру.