ИТ, ИИ, ИБ: от акронима до стратегии
Киберугрозы в нефтегазовой отрасли: вызовы и решения
Евгений Суханов, эксперт по промышленной кибербезопасности
Нефтегазовая отрасль Центральной Азии, играющая ключевую роль в экономике региона, постоянно находится под прицелом киберпреступников, и ситуация становится всё тревожнее. По данным отчета Positive Technologies, в 2024 году количество атак на промышленность в странах СНГ, включая Казахстан, достигло 20% от общего числа инцидентов, и нефтегазовая сфера, больше всего содержащая критическую инфраструктуру, стала одной из главных целей злоумышленников.
В Казахстане, например, более 41% автоматизированных систем управления подверглись атакам вредоносного ПО в течение 2022-2023 годов, что превышает среднемировой показатель. Этот факт указывает на то, что в мире, где цифровизация охватывает даже самые традиционные отрасли, угроза кибератак больше не гипотетическая проблема, а реальная угроза, способная парализовать производственные процессы и нанести колоссальный ущерб экономике.
Злоумышленники используют сложные методы: от фишинга и вредоносных документов до шпионского ПО, чтобы проникнуть в сети компаний, управляющих добычей, транспортировкой и переработкой нефти и газа. В условиях, когда кибератаки становятся всё более изощренными, вопрос кибербезопасности перестает быть только техническим, переходя в сферу государственной и корпоративной стратегии. В этой статье мы рассмотрим, какие меры могут помочь защитить критически важную отрасль Казахстана и как возможно справиться с растущими угрозами. Почему обеспечение кибербезопасности для нефтегазового сектора Центральной Азии – это вызов не только для отдельных компаний, но и для всего региона.
Категории жертв кибератак в 2022-2023 году
Статистика Positive Technologies показывает, что в 2022-2023 годах основными жертвами кибератак в странах СНГ стали государственные учреждения (22%), что неудивительно, учитывая их критическую значимость и огромные массивы обрабатываемых данных. Однако промышленный сектор, включающий нефтегазовую отрасль, также оказался под серьезной угрозой, занимая 9% от общего числа атак.
Этот показатель может показаться невысоким на фоне атак на государственные структуры, но именно в промышленности, особенно в нефтегазовой отрасли, последствия успешной атаки могут быть наиболее разрушительными. Представьте себе: остановка производства, утечка конфиденциальных данных или нарушение поставок энергоресурсов могут нанести удар по экономике целого региона и оставить миллионы людей без необходимых ресурсов.
Особое внимание привлекает факт, что 26% атак не привязаны к конкретной отрасли, что говорит о широком спектре целей злоумышленников, включая малые и средние предприятия, которые часто служат «слабым звеном» в цепочке поставок.
Например, в мае 2023 года компания Suzuki Motorcycle India, один из крупнейших производителей двухколесных транспортных средств в Индии, столкнулась с кибератакой, которая привела к полной остановке заводов на неделю. Этот сбой стал причиной потери в производстве более 20 000 единиц продукции, что ощутимо ударило по бизнесу компании. Учитывая, что объем годового производства Suzuki Motorcycle India приближается к миллиону транспортных средств, инцидент вызвал значительные финансовые убытки и нарушения в цепочке поставок.
Этот случай наглядно демонстрирует, как успешная атака может парализовать производство и создать серьезные проблемы не только для отдельной компании, но и для связанных с ней рынков и экономик. Вместе с тем эта статистика и пример подчеркивают, что угрозы касаются всех сфер промышленности, и нефтегазовая отрасль, как одна из важнейших для Центральной Азии, должна быть готова к растущему давлению.
Угрозы для нефтегазовой отрасли Центральной Азии не ограничиваются только атаками на системы управления или кражей данных. С развитием цифровизации и внедрением автоматизированных процессов управления производством возрастают и риски, связанные с уязвимостями в приложениях, используемых для управления производственными процессами. Уязвимости в таких приложениях становятся ключевым вектором атаки, позволяя злоумышленникам проникать в системы и наносить ущерб, который может привести к остановке производственных мощностей или утрате контроля над критическими процессами.
По данным отчета Positive Technologies, до 40% атак в промышленных секторах происходит через эксплуатацию уязвимостей в программном обеспечении. Это включает не только устаревшие или не обновленные приложения, но и ошибки в конфигурации систем, которые предоставляют злоумышленникам прямой доступ к ключевым элементам инфраструктуры. В нефтегазовой отрасли это особенно опасно, так как многие компании используют специализированное программное обеспечение, предназначенное для управления добычей, транспортировкой и переработкой нефти и газа. Любая уязвимость в таких системах может быть использована как вектор атаки злоумышленниками.
Особую опасность представляют атаки на SCADA-системы (системы диспетчерского управления и сбора данных), широко применяемые в нефтегазовом секторе. Уязвимости в этих системах могут позволить злоумышленникам изменить параметры работы оборудования, что грозит не только экономическими потерями, но и экологическими катастрофами. Примером таких атак может служить инцидент с системой водоочистки во Флориде в 2021 году, где хакеры пытались изменить химический состав воды через уязвимость в ПО, что демонстрирует масштаб потенциального ущерба от подобных действий.
Рост числа уязвимостей с 1993 года
Рост числа уязвимостей в программном обеспечении, который отчетливо показан на представленном графике из отчета IBM X-Force Threat Intelligence Index 2024, подчеркивает серьезность проблемы для современных технологий и бизнеса. С 1988 года общее количество зарегистрированных уязвимостей в ПО для бизнеса уровня Enterprise превысило 260 тысяч, и из них 32% относятся к категории weaponized exploits – тех, которые активно используются для атак. Особую тревогу вызывают zero-day уязвимости, которых зафиксировано 7,506. Эти цифры демонстрируют не только сложность, но и масштабы угроз, с которыми сталкиваются компании, особенно в критически важных отраслях, таких как нефтегазовая сфера.
С течением времени, начиная с конца 1990-х годов, проблема уязвимостей стала не просто технической, а стратегической. Уязвимости в ПО классифицируются на критические (2,872), высокоопасные (100,609), средней опасности (130,553) и низкоопасные (25,781). Почти 90% всех уязвимостей относятся к категориям высокой и средней опасности, что делает необходимость их устранения первоочередной задачей для любой организации. Важно понимать, что каждый эксплойт, использующий такие уязвимости, способен вызвать перебои в работе критической инфраструктуры или повлечь за собой утечку конфиденциальных данных.
Особенно интересен тренд за последние годы, когда число уязвимостей стало расти экспоненциально, что связано как с усложнением программного обеспечения, так и с ростом числа атакующих. К примеру, если в начале 2000-х годов их число измерялось тысячами, то сейчас – десятками тысяч ежегодно. Это иллюстрирует постоянную гонку между разработчиками ПО и злоумышленниками, где каждая упущенная уязвимость может стать точкой входа для хакеров. История развития уязвимостей, начиная от Heartbleed и Shellshock в 2014 году до Log4j и MOVEit в 2023 году, показывает, как каждая из них имела масштабные последствия для глобальной цифровой экосистемы.
Для борьбы с этой проблемой всё больше компаний обращаются к практике DevSecOps, которая позволяет интегрировать безопасность на каждом этапе жизненного цикла программного обеспечения. Это становится особенно актуальным в условиях, когда более 32% всех уязвимостей используют эксплойты, а доля zero-day атак неуклонно растет. На графике четко видно, что рост числа zero-day уязвимостей совпадает с увеличением их использования для целенаправленных атак. Это говорит о необходимости не только выявлять уязвимости на ранних стадиях разработки, но и оперативно реагировать на обнаруженные слабости в реальном времени.
Подход DevSecOps позволяет автоматизировать процессы обнаружения и устранения уязвимостей, что становится особенно важным при таких масштабах угроз. Интеграция инструментов анализа безопасности, автоматизация тестирования и управление патчами – это те элементы, которые помогают минимизировать время между обнаружением уязвимости и её устранением. В условиях, когда только 1% всех зарегистрированных уязвимостей классифицируются как критические, но их последствия могут быть разрушительными, каждое упущенное обновление может обернуться серьезными потерями.
График не только демонстрирует рост числа уязвимостей, но и служит напоминанием о том, что с каждым годом атаки становятся всё более изощренными. Компании должны быть готовы не только реагировать на инциденты, но и предотвращать их на самых ранних стадиях, уделяя особое внимание как критическим, так и высокоопасным категориям уязвимостей. Внедрение современных подходов к разработке и эксплуатации программного обеспечения становится обязательным шагом для защиты не только бизнеса, но и всей экосистемы, которая зависит от него.
Методы атак
Рост количества уязвимостей в программном обеспечении создает благоприятную среду для злоумышленников, которые активно используют эти векторы в своих атаках. Согласно исследованию Positive Reseach, 39% атак на организации связаны с эксплуатацией уязвимостей. Этот значительный показатель подчеркивает, что уязвимости не только открывают двери для проникновения в системы, но и становятся базой для последующего распространения угроз. Использование уязвимостей позволяет злоумышленникам внедрять вредоносное программное обеспечение (ВПО), которое затем применяется для деструктивного воздействия на инфраструктуру.
Наибольшая доля атак (57%) связана с использованием ВПО, что подтверждает его доминирующую роль как основного инструмента киберугроз. Уязвимости в программном обеспечении становятся первым этапом цепочки атак, упрощая внедрение ВПО и усиливая его разрушительные последствия. Таким образом, эксплуатация слабых мест в коде программного обеспечения выступает катализатором, обеспечивающим злоумышленникам доступ к более сложным формам атак.
Типы вредоносного ПО, использовавшихся в атаках
Атаки с использованием вредоносного программного обеспечения (ВПО) представляют собой одну из самых значительных угроз для нефтегазового сектора. ВПО используется злоумышленниками как инструмент для получения доступа, контроля и нанесения ущерба критическим системам, что может привести к масштабным сбоям в производстве и логистике. Представленный график от Positive Research иллюстрирует, что наиболее часто применяемым инструментом в таких атаках является ВПО для удаленного управления, на которое приходится 54% атак на организации. Это программное обеспечение позволяет злоумышленникам в реальном времени контролировать зараженные системы, изменять настройки оборудования и нарушать производственные процессы. В нефтегазовом секторе такая атака может привести к остановке добычи, нарушению цепочек поставок и огромным экономическим потерям.
Шпионское ПО занимает второе место по частоте использования (35%) в атаках на организации. Его основная цель – сбор конфиденциальной информации, которая включает технологические данные, информацию о корпоративных процессах, финансовые и персональные данные. В нефтегазовой отрасли это особенно опасно, так как полученные данные могут быть использованы для шантажа, вымогательства или дальнейших атак. Например, утечка данных об операциях в нефтегазовых месторождениях может быть использована для вымогательства или конкурентных манипуляций.
Еще одним важным инструментом в арсенале злоумышленников являются загрузчики, которые составляют 27% атак на организации. Они используются для внедрения других типов ВПО, таких как шифровальщики или шпионское ПО. Загрузчики особенно опасны тем, что их основная задача – обеспечить скрытное проникновение и последующую реализацию многоуровневой атаки. В случае нефтегазовых предприятий это может означать постепенную компрометацию ключевых систем управления производством.
Шифровальщики, хотя и применяются реже (7% в атаках на организации), также представляют огромную угрозу для нефтегазового сектора. Такие программы шифруют критические данные и требуют выкуп за их восстановление. Если шифровальщик поражает системы управления добычей или транспортировкой энергоресурсов, это может привести к полной остановке операций, что повлечет за собой многомиллионные убытки.
Менее значимые, но все же опасные типы ВПО, такие как майнеры, банковские трояны и рекламное ПО, составляют меньшую долю атак, однако их использование может быть частью более сложных атак, направленных на отвлечение внимания от основной вредоносной активности.
Использование ВПО в атаках на нефтегазовый сектор направлено не только на извлечение финансовой выгоды, но и на создание долгосрочных сбоев в работе предприятий. Эти атаки подчеркивают важность разработки комплексных систем защиты, которые должны включать регулярное обновление программного обеспечения, использование современных средств обнаружения угроз и сегментацию сети для предотвращения распространения ВПО. Тщательная подготовка и мониторинг критической инфраструктуры являются необходимыми мерами для минимизации последствий таких атак.
Основные угрозы безопасности в нефтегазовом секторе
Однако, как показывает опрос, проведенный исследователями World Maritime University, проблема защиты критической инфраструктуры нефтегазовой отрасли выходит далеко за рамки простого предотвращения внедрения ВПО. Анализ выявил, что одной из наиболее серьезных уязвимостей является использование устаревших систем контроля и мониторинга, на что указали 53% респондентов. Эти системы часто не обновляются или не соответствуют современным стандартам безопасности, что делает их уязвимыми для атак злоумышленников. Устаревшие технологии нередко имеют ограниченные возможности для интеграции с современными средствами защиты, что создает дополнительные сложности для обеспечения их безопасности.
Еще одна значительная угроза исходит от множества устройств, подключенных к корпоративным сетям, которые имеют доступ к критически важным данным. Эту проблему отметили 41% опрошенных. Устройства, такие как портативные USB-накопители или другие подключаемые девайсы, могут стать потенциальными точками входа для вредоносного ПО. Их использование злоумышленниками для доставки шпионского ПО, загрузчиков или шифровальщиков делает такие устройства особенно опасными в сложных и взаимосвязанных экосистемах, характерных для нефтегазового сектора.
Кроме того, незащищенные Wi-Fi сети, которые указаны в качестве главной уязвимости 67% участников опроса, представляют собой еще одну открытую дверь для атакующих. В условиях все большей зависимости от беспроводных сетей для управления процессами и оборудования, уязвимости в этих системах могут быть использованы для компрометации как отдельных систем, так и всей инфраструктуры предприятия. Это подчеркивает необходимость строгого контроля и шифрования сетей, чтобы минимизировать риски перехвата данных и несанкционированного доступа.
Интересным фактом, на который указывает график, является значительная роль облачных технологий в общем списке угроз. 24% респондентов считают, что облачные приложения и инфраструктура представляют собой значительную уязвимость для нефтегазового сектора. Это связано с тем, что миграция данных и процессов в облако создает новые точки атаки, особенно если платформы плохо защищены или неправильно настроены. Угроза в данном случае заключается в утечке конфиденциальной информации или полной компрометации облачных сервисов, которые могут быть критическими для операционной деятельности.
На фоне всех этих выявленных факторов становится очевидным, что защита инфраструктуры нефтегазового сектора требует комплексного подхода. Невозможно решить проблему, сосредоточившись только на устранении одной уязвимости, будь то обновление устаревших систем или защита Wi-Fi сетей. Каждая из этих проблем взаимосвязана, и их игнорирование может привести к реализации более сложных и многоуровневых атак, что подчеркивает необходимость работы над всеми аспектами кибербезопасности одновременно.
Переход от устранения отдельных уязвимостей к построению полноценной системы защиты подводит к концепции эшелонированной безопасности, где каждый уровень работает как часть единого механизма. График показывает, что уязвимости не только разнообразны, но и затрагивают разные аспекты производственной и технологической инфраструктуры. Таким образом, для минимизации рисков необходимо выстраивать многослойный подход, который учитывает как процессуальные, так и инфраструктурные аспекты защиты. Только системный и стратегический подход способен обеспечить устойчивость предприятий перед лицом современных угроз.
Меры защиты, внедряемые в организациях
В рамках того же исследования, обозначены конкретные меры, которые используются для защиты компаний от киберугроз. Полученные результаты демонстрируют, что большинство организаций уже внедрили различные методы, основанные на концепции эшелонированной защиты, где каждый слой безопасности дополняет остальные, создавая комплексный барьер от атак.
Наиболее часто применяемым решением является использование межсетевых экранов (firewalls), которые указали 95% респондентов. Это “классические” средства защиты, так как межсетевые экраны выполняют роль первой линии обороны, фильтруя входящий и исходящий трафик и предотвращая несанкционированный доступ к корпоративным сетям. Решения этого класса необходимы для эффективной блокировки вредоносного трафика и защиты от сетевых атак. Класс решений NGFW (next generation firewall) эффективно дополняется сетевыми сенсорами, которые исследуют аномалии во внутреннем трафике компании, реагируя на нестандартный трафик и возможные угрозы. Такой класс решений относится к network attack discovery и позволяет специалистам по защите отслеживать в режиме реального времени ситуацию в сети.
Следующим по популярности и важности являются политики безопасности, такие как управление паролями, процедуры доступа и организационные меры, которые применяют 94% участников опроса. Политики безопасности формируют основу эшелонированного подхода, так как задают стандарты и требования для защиты данных и систем, позволяя минимизировать человеческий фактор как точку уязвимости. Для нефтегазового сектора релевантными стандартами для построения системы политик безопасности являются международные стандарты NIST и ISO 27001, которые регламентируют набор контролей кибербезопасности, которые в свою очередь описываются политиками и процедурами. При построении такой системы менеджмента в первую очередь должны быть актуализированы нормативные документы, а следом внедрены актуальные процедуры и средства защиты информации.
Антивирусное программное обеспечение, применяемое 91% компаний, выполняет функцию активного мониторинга и защиты от вредоносного ПО, включая шпионское ПО, шифровальщики и загрузчики, которые уже упоминались ранее. Антивирусные решения играют роль второго эшелона защиты, обеспечивая безопасность на уровне отдельных устройств. В 2025 году актуальным набором средств защиты для конечных устройств являются решения класса EDR (emergency detection and response) в сочетании с классом систем UEBA которые обнаруживают и блокируют потенциальные угрозы безопасности в действиях пользователей с помощью алгоритмов машинного обучения, а также искусственного интеллекта.
Для предотвращения несанкционированного доступа и анализа подозрительной активности многие компании используют системы предотвращения (IPS) и обнаружения вторжений (IDS), которые указали 62% и 66% респондентов соответственно. Эти технологии обеспечивают защиту на уровне сетевой инфраструктуры, выявляя попытки атак в реальном времени и немедленно реагируя на них. IPS и IDS являются неотъемлемой частью эшелонированного подхода, так как обеспечивают активный контроль за текущей деятельностью внутри корпоративной сети. С целью проверки актуальности этого уровня защиты в компаниях так же необходимо внедрять политики по проведению регулярных тестов на проникновение, с целью имитации действий злоумышленников и получения независимых данных по состоянию защиты внешнего периметра. Такой подход позволяет обнаружить уязвимость и недочеты в политиках безопасности систем защиты от атак и исправить их, до того как этой возможностью воспользуются злоумышленники.
74% компаний внедрили использование VPN для защиты данных при их передаче. VPN-сети создают зашифрованные каналы связи, которые предотвращают перехват информации злоумышленниками. Они особенно полезны для организаций с удаленными подразделениями или объектами, так как защищают коммуникации между разными сегментами сети.
Примерно 71% респондентов указали на использование шифрования данных как одного из основных методов защиты. Шифрование играет ключевую роль в защите конфиденциальной информации, делая ее недоступной даже в случае компрометации систем. Этот метод усиливает эшелонированный подход, обеспечивая защиту на уровне хранения и передачи данных.
Демилитаризованные зоны (DMZ), внедренные в 74% компаний, служат дополнительным барьером между внешними сетями и внутренними системами. Они используются для размещения серверов, которые взаимодействуют с внешними пользователями, минимизируя вероятность компрометации внутренней инфраструктуры.
Центральным ядром системы кибербезопасности компании являются системы класса SIEM – системы корреляции событий безопасности, которые позволяют получать данные от всей экосистемы средств защиты и аккумулировать данные с них в единой точке, для выстраивания полноценного процесса управления возможными инцидентами кибербезопасности в инфраструктуре.
Для защиты критической инфраструктуры и сегментов сети, где расположены системы управления производством необходимо, дополнительно к вышеперечисленным мерам, внедрять системы однонаправленной передачи информации (ИЗ критической сегмента В общекорпоративный сегмент). Это класс решений, который позволяет на аппаратном уровне запретить доступ из менее защищенного сегмента в более защищенный внутри одной сети компании. К тому же такой класс устройств не поддается компрометации со стороны злоумышленников без физического доступа к самому оборудованию.
Этот минимальный набор мер, применяемых в совокупности, подчеркивает силу концепции эшелонированной защиты, где каждый уровень действует как независимая линия обороны, препятствующая злоумышленникам продвигаться глубже в инфраструктуру. От межсетевых экранов и VPN, которые защищают периметр, до шифрования данных и политики безопасности, обеспечивающих внутреннюю защиту, – все эти элементы создают надежный барьер от множества киберугроз. Концепция эшелонированной защиты требует интеграции всех уровней в единую стратегию, что позволяет минимизировать риски даже в условиях постоянно усложняющихся атак. Это подход, который становится не просто рекомендуемым, а необходимым для организаций, работающих с критически важной инфраструктурой, как в нефтегазовом секторе.
Сложности с внедрением практик кибербезопасности
Несмотря на очевидную необходимость внедрения эффективных мер киберзащиты, специалисты по информационной безопасности сталкиваются с рядом существенных препятствий, которые замедляют или затрудняют реализацию даже базовых инициатив. Данные графика, являющегося частью исследования Perspectives on Cyber Security for Offshore Oil and Gas Assets, наглядно демонстрируют ключевые проблемы, стоящие на пути создания надежной системы защиты, особенно в таких критически важных секторах, как нефтегазовая промышленность.
На первом месте среди сложностей – ограничения операционных и капитальных бюджетов, которые отметили 41% респондентов. Нехватка финансовых ресурсов становится серьезным барьером для компаний, стремящихся внедрить современные технологии защиты. Внедрение систем обнаружения вторжений (IDS), предотвращения атак (IPS), шифрования данных и других ключевых инструментов требует значительных вложений. Без должного финансирования организациям приходится искать компромиссы, которые нередко снижают уровень защиты и увеличивают уязвимость.
Следующая проблема, указанная 48% участников исследования, – это отсутствие понимания киберугроз и их последствий. Этот фактор особенно критичен, так как недостаточная осведомленность управленческого персонала и сотрудников может привести к недооценке масштабов угрозы и, как следствие, игнорированию важных инициатив по обеспечению безопасности. Это не только затрудняет обоснование необходимости инвестиций в кибербезопасность, но и мешает реализации таких основополагающих элементов, как политика безопасности и многослойный подход к защите.
Еще один значимый барьер – недостаточно развитая культура кибербезопасности внутри организаций, о чем заявили 35% респондентов. Внедрение технологий, даже самых передовых, теряет свою эффективность, если сотрудники и руководство не осознают важности соблюдения правил и процедур безопасности. Например, использование устаревших паролей или игнорирование обновлений может свести на нет усилия специалистов по кибербезопасности. Создание культуры, где кибербезопасность воспринимается как приоритет, требует времени и усилий, которые не всегда доступны.
Организационная структура, как указали 18% респондентов, также оказывает значительное влияние на реализацию мер защиты. Устаревшие или громоздкие процессы принятия решений могут замедлить реакцию на угрозы или сделать невозможным быстрое внедрение новых решений. Особенно это заметно в крупных компаниях, где согласование изменений может занимать недели или даже месяцы, что ставит их в уязвимое положение перед быстро эволюционирующими угрозами.
Еще одним препятствием является недостаточная поддержка со стороны высшего руководства, что отметили 20% участников исследования. Решения о выделении бюджетов, приоритизации киберзащиты и принятии стратегий находятся на уровне топ-менеджмента, и отсутствие их вовлеченности существенно замедляет процесс. Без ясного видения со стороны руководства специалисты кибербезопасности оказываются в положении, где их усилия ограничены рамками текущих ресурсов и возможностей.
Менее значимые, но все же важные проблемы включают юридические и регуляторные ограничения (2%), восприятие угроз и рисков (2%) и даже мнение, что меры киберзащиты иногда приводят к избыточным затратам (2%). Эти аспекты подчеркивают, что вопрос защиты данных и систем – это не только техническая, но и организационная задача, требующая комплексного подхода и взаимодействия всех уровней компании.
Эти сложности указывают на необходимость не только технических решений, но и стратегического подхода к управлению кибербезопасностью. Организациям важно не только внедрять технологии, но и работать над развитием понимания угроз, формировать культуру безопасности и обеспечивать поддержку высшего руководства. Только так можно преодолеть барьеры и построить эффективную систему защиты, которая будет соответствовать современным вызовам.