Сегодня я публикую интервью с форума «Цифровая устойчивость и промышленная безопасность России», который называют «Магнитка». Как я уже писал ранее, форум в этом году был посвящён промышленной кибербезопасности, поэтому я решил поговорить с экспертом, опыт которого находится практически на стыке промышленности и информационной безопасности (ИБ) — с руководителем практики промышленной кибербезопасности Positive Technologies Дмитрием Даренским. Разговор был недолгим, но текст получился объёмным и, на мой взгляд, интересным, надеюсь, скучно не будет.
Сколько лет вы уже занимаетесь промышленной безопасностью?
Тут надо понимать, что есть промышленная безопасность предприятий и кибербезопасность. Если говорить про кибербезопасность, то я работаю в этой сфере уже более десяти лет.
Как изменилась отрасль за это время?
За 10 лет в России и в мире изменилось понимание значимости этого направления. ИБ стала регулируемой. Причём кибербезопасность регулируется федеральными органами, что имеет большое значение как для самой ИБ‑отрасли, так и для промышленности.
Первый нормативный акт, касающийся обеспечения безопасности АСУ ТП, у ФСТЭК появился в 2014 году и был рекомендательным. Акт ни к чему не обязывал, поэтому предприятия не торопились его исполнять, так как не видели какой‑то критической значимости для компании и её бизнеса. Сейчас меняется отношение к защите производственных активов, появляется осознание значимости ИБ, компании начинают выстраивать результативную кибербезопасность, формулируют недопустимые для их бизнеса события и вокруг них строят защиту.
В этом году ваша компания представила отчёт‑исследование о кибератаках на промышленность. Насколько атаки усилились за последний год по сравнению с вашим предыдущим опытом?
На протяжении последних пяти лет этот сектор входит в тройку самых атакуемых отраслей: каждая десятая успешная атака на организации приходилась на промышленные предприятия. В 2022 году в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, это на 7% больше, чем в 2021 году. Почти все атаки (97%) на организации этого сектора были целевыми.
Насколько при экспертизе промышленных объектов по ИБ сложно работать с местным персоналом?
Здесь есть несколько сложностей. Они связаны с тем, что производственные системы и системы технологического управления на промышленных объектах не входят в зону функциональной ответственности специалистов по ИБ, потому что исторически на предприятиях существует деление IT‑инфраструктуры на корпоративную и производственно‑технологическую.
Корпоративная инфраструктура — это бизнес‑приложения, ERP, веб‑сервисы, сервисы корпоративного общения. Технологическая инфраструктура — системы, управляющие производственным процессом, технологической линией и так далее. Эти системы раньше никогда не входили в зону ответственности специалистов отделов ИТ и ИБ. Поэтому любой проект по защите технологической инфраструктуры — это всегда прямое взаимодействие ИБ‑специалистов со службами эксплуатации технологических систем, экспертами‑производственниками. И часто такое взаимодействие бывает болезненным. В общении может возникнуть сложность в понимании технических и организационных аспектов безопасности производственных систем, потому что специалист отдела по ИБ и производственник оперируют разными понятиями и опытом. Например, может быть разное понимание критичности угроз, того, какие события приемлемы, а какие недопустимы для предприятия. Даже название элементов IT‑инфраструктуры могут отличаться. Сложно прийти к единому пониманию угроз, инцидентов или векторов атак. И в целом задачи кибербезопасности им видятся по‑разному. Специалист по ИБ оперирует такими вещами, как модель угроз, функции и процессы управления безопасностью, у него есть перечень мер защиты, он следит за действиями пользователя, за утечками. Эти показатели формируют цели и задачи службы безопасности.
При этом у производственника есть другие задачи, которые должны решаться при участии сотрудников отделов по ИБ. Например, контроль легитимности операций в системе. Система информационной безопасности в промышленном сегменте, если она внедрена, работает лишь с операционными системами, стандартными сетевыми технологиями и сервисами. Она может обнаруживать типовые аномалии или эксплуатацию уязвимости в ОС.
У производственников все задачи в части ИБ касаются прикладного ПО и прикладных, часто проприетарных технологий. А большинство решений по кибербезопасности с прикладным уровнем систем управления производством не работает.
Один из путей развития ИБ‑отрасли и направления промышленной кибербезопасности мы видим как раз в том, чтобы предприятия получили необходимый ИБ‑инструментарий, который был бы одинаково эффективен и в корпоративном сегменте инфраструктуры, и в технологическом.
Я правильно понимаю, что уровень подготовки ИБ‑специалистов в промышленности в РФ ниже, чем в других областях?
Сотрудники компаний, кто работает на производстве, и не должны знать все тонкости и премудрости обеспечения кибербезопасности. Это не их задача, поэтому специалистам по ИБ на предприятиях необходимо погрузиться в специфику конкретных производственных систем и инфраструктуры компании. Кроме этого, необходимо организовать постоянное взаимодействие между специалистами по ИБ и сотрудниками на производстве.
Насколько сложно работать на производстве с людьми, когда приходите делать аудит систем?
Для нас это вполне естественный процесс, мы же понимаем и язык ИБ, и специфику систем промышленной автоматизации, и как строится производственное управление. Поэтому у нас нет сложностей с коммуникацией, донесением проблематики и формализацией задач.
С кем сложнее работать — с госкомпаниями или с частными?
Эффективность любой коммерческой организации очень сильно зависит от её киберустойчивости и способности обеспечить непрерывность своего бизнеса.
В компаниях с госучастием большой объём формализации на разных этапах проекта, объёмный документооборот. Коммерческие компании стараются быстро решать задачи, особенно те, кто уже столкнулся с инцидентами в производственных контурах. Эти компании реализуют проекты очень быстро, с минимумом формализации решений.
Насколько стало в промышленности сложнее искать ИБ‑решения с уходом зарубежных вендоров?
Я бы назвал нынешний период переходным. Предприятиям необходимо принимать решение, с какого зарубежного продукта переходить на российский, и начинать этот процесс. Сложность в том, что быстро перейти с одного на другое не получится, тем более, если IT‑инфраструктура предприятия большая или распределённая по всей стране.
Сейчас многие компании в части основных систем управления сталкиваются с тем, что нет российских аналогов, удовлетворяющих требованиям и размерам бизнеса, и заменить зарубежное решение на российское нет возможности, а иногда это ещё и нецелесообразно.
Получается ли у российского рынка ИБ дать ответы на запросы промышленности? Если рассматривать в процентах — 50%, 30%, примерно?
Сейчас уже около 70% зарубежных решений в области кибербезопасности можно заместить на российские аналоги. Все основные и востребованные классы средств защиты в России разрабатываются и представлены на рынке. Кроме того, российские компании активно включились в создание отечественных аналогов продуктов ушедших международных вендоров. Так, на Positive hack Days наша компания представила раннюю версию PT NGFW, межсетевого экрана нового поколения.
Дмитрий, вы уже 10 лет в промышленной кибербезопасности. Если не брать последние два года (2022–2023), как менялись тренды взломов промышленности до 2022 года в РФ?
Если говорить о трендах, тактиках, инструментах для атак, то можно выделить два основных вида: массовые заражения вирусами и таргетированные атаки финансово мотивированными командами, тщательно подобранным инструментарием и так далее. Если брать ещё более ранние периоды, то на промпредприятия были исключительно таргетированные атаки.
По сравнению с предыдущим вашим опытом сильно изменились тренды за 2022 год?
Изменилось количество инцидентов и мотивация атакующих. В 2022 году почти каждая десятая успешная атака приходилась именно на промышленные предприятия. Раньше атаки совершались с целью коммерческой выгоды, и сами злоумышленники монетизировали полученный результат. В прошлом году основной объём атак оказался некоммерческим, он имел идеологическую и социальную мотивацию, желание хакера как‑то себя проявить и обозначить позицию. Именно это и стало основным трендом в 2022 году.
Расскажите, пожалуйста, если можно, самый вопиющий случай нарушения правил ИБ в промышленности, на ваш взгляд?
На регуляторном треке «Магнитки» мы как раз обсуждали один кейс, который случился в конце 2022 года. Подрядчик, выполняющий работы на большом количестве промышленных объектов, имел доступ к проектной информации критичных систем, причём к некоторым объектам у него был удалённый доступ. Атака на этого подрядчика привела к тому, что вся информация, проходящая через него, была зашифрована. Перед тем как зашифровать, часть технически критичных данных и проектной документации злоумышленники смогли украсть. Обычно впоследствии злоумышленники часто продают такую информацию в дарквебе.
И хотелось бы услышать самый положительный случай, связанный с ИБ на предприятиях. Когда всё было сделано как надо. Или провели экспертизу, а делать‑то и нечего.
В России есть компании федерального масштаба с активами в несколько десятков производственных технологических объектов, которые заранее проанализировали свой ИТ‑ландшафт и предприняли своевременные шаги для защиты от атак. При этом у них большое количество legacy‑систем (внедрявшихся 20 лет назад и ранее) и критических инфраструктурных объектов. Такие компании начали путь построения киберзащиты своих объектов некоторое время назад, и в 2022 году это помогло им успешно противостоять атакам.
Какие, по вашему мнению, нужно сделать шаги промышленным компаниям, чтобы минимизировать риски инцидентов инфобеза?
Самый первый шаг, он же и самый трудный в реализации для предприятия — это понять и проанализировать текущее состояние защищённости. Вернёмся к примеру с компанией выше. Основной её вопрос был в том, чтобы разобраться, какое количество у неё устаревших систем, из чего они состоят, насколько они уязвимы, как их защищать. Инвентаризация объекта защиты — самое тяжёлое, но это надо прорабатывать в самом начале пути. Никаких конкретных шагов сделать предприятие не сможет, пока не поймёт, чем оно владеет и в каком состоянии это оборудование. Первое, что мы рекомендуем, — определиться с недопустимыми событиями для своей компании. Что для бизнеса критично и что нужно защищать, в каком оно состоянии. Дальше — это уже методология, определение угроз, методов реализации.
Вот такой вышел разговор с Дмитрием, очень надеюсь, что это интервью прочитают различные специалисты в области IT и ИБ из промышленного сегмента, да и в целом из всех отраслей. Потому что заключительный вопрос вроде бы казался простым, но, по моему опыту работы, а это без малого 15 лет стажа различных IT‑специальностей, не все компании задумываются об инвентаризации систем, не говоря уж о возможности как‑то их защитить.