ИТ, ИИ, ИБ: от акронима до стратегии
Промышленная безопасность: как не дать хакерам выключить завод и всё остальное
Александр Пушкин, руководитель SOC PS Cloud Services
Промышленная безопасность – тема, которая в последние годы становится всё более актуальной. С развитием технологий и интеграцией ИТ-систем на заводах, в энергетике и других отраслях, защита таких объектов от кибератак требует особого подхода. Как обеспечить безопасность сложных систем, таких как SCADA и другие технологические решения, когда на кону стоят не только финансовые убытки, но и безопасность людей? В чём отличие промышленной безопасности от привычной ИТ-безопасности, и какие угрозы поджидают критическую инфраструктуру?
Мы поговорили с Александром Пушкиным, руководителем SOC PS Cloud Services, чтобы разобраться в этих важных вопросах. В ходе беседы Александр не только рассказал о технических аспектах защиты промышленных объектов, но и поделился наблюдениями о том, с какими проблемами сталкиваются специалисты в этой области, как работают современные SOC и почему важность безопасности для промышленных систем нельзя недооценивать.
Промышленная безопасность и традиционная ИТ-безопасность: что общего, а что – совсем не похоже?
– Начнём с самого простого. Чем промышленная безопасность отличается от традиционной ИТ-безопасности, если мы говорим о SOC?
– Прежде всего, разница в объекте защиты. В традиционной ИТ-безопасности мы чаще всего говорим о защите корпоративных сетей, серверов, пользовательских устройств, а вот промышленная безопасность – это совсем другая история. Тут речь идёт о защите сложных систем, которые управляют технологическими процессами на заводах, в энергетике, нефтегазовой отрасли. То есть, когда в обычной ИТ-среде важно обеспечить доступность и конфиденциальность данных, то в промышленности главная цель – не дать системе остановиться. Потому что простой оборудования может обернуться не просто убытками, а реальными угрозами для жизни и здоровья людей.
Второй момент – это специфические промышленные протоколы. Они часто изначально не были задуманы с учётом безопасности, а некоторые системы вообще старые как мир, и на них редко ставятся обновления. В таких условиях даже проверка системы на наличие уязвимостей превращается в настоящее искусство.
Специализированные угрозы и уязвимости: когда хакеры решают идти на завод
– Как бы вы охарактеризовали текущие угрозы для промышленных систем и критической инфраструктуры?
– Здесь всё не так просто, как в мире традиционной ИТ-безопасности. Угрозы становятся всё более специализированными. Совсем недавно крупные группы APT (Advanced Persistent Threats) начали концентрироваться именно на промышленных системах. Почему? Всё просто: это даёт им шанс не только заработать деньги, но и нанести ущерб экономике и даже создать проблемы для общества. Например, атака на энергетическую компанию или завод может вызвать массовые сбои в работе, что в свою очередь приведёт к потерям и угрозам для жизни людей.
Другой важный момент – это устаревшие системы, которые до сих пор стоят на заводах и предприятиях. Некоторые из этих систем работают десятки лет без единого обновления. Причём если старое оборудование ещё и подключено к сети с современными офисными системами, то у злоумышленников появляется отличный шанс «попутешествовать» между системами. Очень удобная дыра для хакеров, скажем так.
Нельзя забывать и о внутренней угрозе. Инсайдеры – будь то сотрудники или подрядчики, которые имеют физический доступ к оборудованию – могут не только случайно, но и сознательно повредить систему. А уж шпионаж и саботаж на промышленных объектах – вообще отдельная тема.
Промышленная безопасность как сервис
– Что такое «промышленная безопасность как сервис» и в чём её преимущества?
– Промышленная безопасность как сервис (Industrial Security as a Service) – это, по сути, передача задач по защите ваших промышленных систем на аутсорсинг или совместная работа с провайдером. Здесь мы говорим о целых комплексах услуг: от аудита и развертывания систем мониторинга до реакций на инциденты и восстановления системы.
Преимущества очевидны. Во-первых, гибкость и масштабируемость: вам не нужно создавать свой собственный SOC и нанимать дорогих специалистов, когда можно пользоваться уже налаженной инфраструктурой. Во-вторых, вы получаете круглосуточную поддержку от экспертов, которые имеют опыт работы в промышленной среде и постоянно отслеживают актуальные угрозы. И, наконец, экономия: вам не нужно держать штат сотрудников, а значит, не нужно тратить деньги на дорогостоящее оборудование и лицензии.
Как SOC защищает SCADA-системы: на страже целостности и непрерывности
– Какие механизмы SOC используются для защиты SCADA-систем от киберугроз?
– Если говорить простыми словами, то для защиты таких систем, как SCADA, необходимо круглосуточное наблюдение и мониторинг. Тут используются системы обнаружения вторжений (IDS/IPS), SIEM и другие специализированные инструменты, которые, что важно, учитывают особенности промышленной среды и её протоколов.
Также важно интегрировать данные с IT и OT (оперативных технологий). То есть, вся информация, как с серверов и сетей, так и из самих SCADA-систем, собирается и анализируется в реальном времени. Если обнаруживается подозрительная активность, система быстро уведомляет ответственных, и сразу же запускается план реагирования. В зависимости от ситуации это может быть изоляция системы, блокировка доступа или даже проведение форензики для выяснения причин атаки.
Кроме того, SOC помогает с патч-менеджментом и рекомендациями по обновлениям. В промышленной среде любые простои крайне нежелательны, поэтому каждое вмешательство должно быть продумано до мелочей.
Проблемы при интеграции промышленной безопасности в модели сервиса
– Какие основные проблемы возникают при интеграции промышленной безопасности в модели сервиса?
– Проблем на самом деле достаточно. Первая – это недостаточная видимость OT-среды. SOC изначально настроен на мониторинг IT-компонентов, а вот когда дело касается промышленности, то нужно подключать специализированные инструменты, которые могут работать с уникальными промышленными протоколами.
Ещё одна проблема – нехватка специалистов, которые могут одновременно разбираться и в ИТ, и в технологических процессах. Это очень редкий и ценный кадр, и найти таких специалистов – задача не из лёгких. К тому же, персонал на объектах промышленности часто не осознаёт всех рисков, которые могут возникнуть из-за несоответствующих действий. Например, кто бы мог подумать, что работа с оборудованием без должной осведомленности о безопасности может привести к катастрофическим последствиям?
И наконец, большая боль – это интеграция различных систем от разных производителей. Промышленные объекты могут включать оборудование, созданное разными компаниями, и объединить его в единую систему мониторинга – задача не из лёгких. Особенно если при этом нужно сохранить непрерывность работы оборудования.
Промышленная безопасность – это не просто защита от кибератак, а комплексная задача, включающая в себя мониторинг, реагирование на инциденты и постоянное обновление систем. Традиционная ИТ-безопасность с этим не сравнится, и подходы здесь должны быть совершенно иными. При этом, несмотря на всю сложность, SOC, передавая задачи на аутсорсинг, предоставляет гибкость, экономию и экспертное сопровождение.