ИТ, ИИ, ИБ: от акронима до стратегии
Цифровая броня для производства: технологии меняют правила игры?
Назгуль Таимова, директор представительства Elcore в Казахстане
Критическая инфраструктура и технологические производства – неотъемлемая часть национальной и экономической безопасности. В отличие от корпоративных сетей, их системы имеют уникальные особенности, которые напрямую зависят от характера деятельности предприятия. При этом карта рисков в таких системах значительно шире: от утечек промышленных секретов, остановки производственных процессов до несанкционированного изменения технологических параметров систем управления.
Все это может повлечь, помимо стандартных историй про потерю репутации и финансовый ущерб – прямые риски техногенных катастроф.
Ввиду того, что каждая промышленная сеть уникальна, ей не подходят стандартные средства защиты, что называется, «из коробки», такие как межсетевые экраны, системы защиты конечных устройств и так далее. Дело в том, что зачастую на предприятиях используют нестандартные системы управления производством, очень часто они либо самописные (на базе какой-то платформы, например Siemens), либо эти системы используют закрытые проприетарные протоколы взаимодействия, что, в свою очередь, делает невозможным эвристический анализ трафика между ними (это когда система защиты заранее знает протокол и умеет его анализировать).
Почему стандартные подходы не столь эффективны?
Большинство традиционных средств киберзащиты, таких как межсетевые экраны или антивирусные решения, недостаточно эффективны в контексте промышленных сетей. Это связано с уникальностью используемых технологий.
С одной стороны, мы можем использовать аппаратные системы однонаправленной передачи данных, которые работают по принципу – из технологического сегмента (более защищенного) можно передавать наружу любую информацию в корпоративную сеть (менее защищенную), а обратно передавать – ничего не можем, и это реализовано на аппаратном (а не программном) уровне, что исключает нелегитимный доступ к технологическому сегменту без физического доступа к такому оборудованию.
С другой стороны, сейчас во всем мире внедряются процессы цифровизации производства, внедрения новых систем и технологий, которые невозможны без обмена информацией между бизнес-сегментом и технологическим сегментом сетей. Поэтому модель архитектуры «внедрить систему однонаправленной передачи данных, поставить забор и забыть» – не имеет будущего.
А что дальше?
На смену традиционным методам приходит инновационный подход, основанный на использовании систем защиты, которые применяют машинное обучение и искусственный интеллект для поведенческого анализа трафика в технологических сегментах.
- TrendMicro для промышленных сетей представляет собой средство микросегментации сети на основе поведенческого анализа трафика. В случае выявления подозрительной активности в технологической сети, это средство защиты изолирует конечные устройства друг от друга, не давая атаке распространяться по технологической сети и минимизируя поверхность атаки.
- Gatewatcher – межсетевой экран нового поколения для промышленных сетей, который распознает трафик, вскрывает и анализирует «закрытые» протоколы производителей технологического оборудования и ищет в этом трафике аномалии (нестандартное поведение). Устройства такого класса существенно повысят качество анализа инцидентов кибербезопасности в технологических сетях и позволят выявить атаку на ранней стадии, без ущерба для производства.
- Система защиты от утечек данных GTB DLP в 2024 году удерживает лидирующие позиции, благодаря высокому качеству распознавания инцидентов. Используя искусственный интеллект, она анализирует документы и данные в технологических протоколах, оперативно выявляет утечки и минимизирует вероятность ложных срабатываний.
Дополнительно важно выявлять уязвимости и ошибки в технологическом программном обеспечении. Для этого применяются решения класса OpenText Fortify, которые проводят всесторонний анализ приложений, используя как динамическое, так и статическое исследование исходного кода. Это особенно актуально для предприятий, использующих самописное ПО для автоматизации производства. Такой подход позволяет выявлять и устранять уязвимости на раннем этапе, предотвращая их потенциальное использование злоумышленниками и снижая риск инцидентов кибербезопасности в критической инфраструктуре.
Важно учитывать, что технологии искусственного интеллекта не только развивают цифровые решения, но и дают импульс разработчикам вредоносных схем. Хакеры активно используют сгенерированные голос, видео и фото для обмана и вымогательства, для проникновения в корпоративные сети, а оттуда и в промышленные. Согласно результату опроса международной компании игрока рынка кибербезопасности, в 2023 году 25% опрошенных лично сталкивались с голосовым ИИ-мошенничеством. Причем 77% из этой группы лишились средств из-за сгенерированного голоса.
Однако, ИИ уже активно используют и в сфере обеспечения информационной безопасности. Например, разработчики применяют эти технологии для защиты от вредоносного кода, в решениях против утечки данных и системах обнаружения нетипичной активности на конечных хостах. Современные решения также используют технологии ИИ, машинное обучение и поведенческий анализ, адаптируясь к уникальным особенностям каждого производства. В мире нет двух одинаковых производственных цепочек, поэтому защита должна учитывать эту специфику. Комплексный подход к кибербезопасности критической инфраструктуры позволяет минимизировать риски, предотвращать инциденты и гарантировать устойчивую работу предприятий даже в условиях новых проблем.
Назгуль Таимова, директор представительства Elcore в Казахстане