Сегодня я публикую интервью с форума «Цифровая устойчивость и промышленная безопасность России», который называют «Магнитка». Как я уже писал ранее, форум в этом году был посвящён промышленной кибербезопасности, поэтому я решил поговорить с экспертом, опыт которого находится практически на стыке промышленности и информационной безопасности (ИБ) — с руководителем практики промышленной кибербезопасности Positive Technologies Дмитрием Даренским. Разговор был недолгим, но текст получился объёмным и, на мой взгляд, интересным, надеюсь, скучно не будет.
![](https://habrastorage.org/getpro/habr/upload_files/c7f/e3c/788/c7fe3c78880c5f85347ea71845cba9d6.jpg)
Сколько лет вы уже занимаетесь промышленной безопасностью?
Тут надо понимать, что есть промышленная безопасность предприятий и кибербезопасность. Если говорить про кибербезопасность, то я работаю в этой сфере уже более десяти лет.
Как изменилась отрасль за это время?
За 10 лет в России и в мире изменилось понимание значимости этого направления. ИБ стала регулируемой. Причём кибербезопасность регулируется федеральными органами, что имеет большое значение как для самой ИБ‑отрасли, так и для промышленности.
Первый нормативный акт, касающийся обеспечения безопасности АСУ ТП, у ФСТЭК появился в 2014 году и был рекомендательным. Акт ни к чему не обязывал, поэтому предприятия не торопились его исполнять, так как не видели какой‑то критической значимости для компании и её бизнеса. Сейчас меняется отношение к защите производственных активов, появляется осознание значимости ИБ, компании начинают выстраивать результативную кибербезопасность, формулируют недопустимые для их бизнеса события и вокруг них строят защиту.
В этом году ваша компания представила отчёт‑исследование о кибератаках на промышленность. Насколько атаки усилились за последний год по сравнению с вашим предыдущим опытом?
На протяжении последних пяти лет этот сектор входит в тройку самых атакуемых отраслей: каждая десятая успешная атака на организации приходилась на промышленные предприятия. В 2022 году в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, это на 7% больше, чем в 2021 году. Почти все атаки (97%) на организации этого сектора были целевыми.
Насколько при экспертизе промышленных объектов по ИБ сложно работать с местным персоналом?
Здесь есть несколько сложностей. Они связаны с тем, что производственные системы и системы технологического управления на промышленных объектах не входят в зону функциональной ответственности специалистов по ИБ, потому что исторически на предприятиях существует деление IT‑инфраструктуры на корпоративную и производственно‑технологическую.
Корпоративная инфраструктура — это бизнес‑приложения, ERP, веб‑сервисы, сервисы корпоративного общения. Технологическая инфраструктура — системы, управляющие производственным процессом, технологической линией и так далее. Эти системы раньше никогда не входили в зону ответственности специалистов отделов ИТ и ИБ. Поэтому любой проект по защите технологической инфраструктуры — это всегда прямое взаимодействие ИБ‑специалистов со службами эксплуатации технологических систем, экспертами‑производственниками. И часто такое взаимодействие бывает болезненным. В общении может возникнуть сложность в понимании технических и организационных аспектов безопасности производственных систем, потому что специалист отдела по ИБ и производственник оперируют разными понятиями и опытом. Например, может быть разное понимание критичности угроз, того, какие события приемлемы, а какие недопустимы для предприятия. Даже название элементов IT‑инфраструктуры могут отличаться. Сложно прийти к единому пониманию угроз, инцидентов или векторов атак. И в целом задачи кибербезопасности им видятся по‑разному. Специалист по ИБ оперирует такими вещами, как модель угроз, функции и процессы управления безопасностью, у него есть перечень мер защиты, он следит за действиями пользователя, за утечками. Эти показатели формируют цели и задачи службы безопасности.
При этом у производственника есть другие задачи, которые должны решаться при участии сотрудников отделов по ИБ. Например, контроль легитимности операций в системе. Система информационной безопасности в промышленном сегменте, если она внедрена, работает лишь с операционными системами, стандартными сетевыми технологиями и сервисами. Она может обнаруживать типовые аномалии или эксплуатацию уязвимости в ОС.
У производственников все задачи в части ИБ касаются прикладного ПО и прикладных, часто проприетарных технологий. А большинство решений по кибербезопасности с прикладным уровнем систем управления производством не работает.
Один из путей развития ИБ‑отрасли и направления промышленной кибербезопасности мы видим как раз в том, чтобы предприятия получили необходимый ИБ‑инструментарий, который был бы одинаково эффективен и в корпоративном сегменте инфраструктуры, и в технологическом.
Я правильно понимаю, что уровень подготовки ИБ‑специалистов в промышленности в РФ ниже, чем в других областях?
Сотрудники компаний, кто работает на производстве, и не должны знать все тонкости и премудрости обеспечения кибербезопасности. Это не их задача, поэтому специалистам по ИБ на предприятиях необходимо погрузиться в специфику конкретных производственных систем и инфраструктуры компании. Кроме этого, необходимо организовать постоянное взаимодействие между специалистами по ИБ и сотрудниками на производстве.
Насколько сложно работать на производстве с людьми, когда приходите делать аудит систем?
Для нас это вполне естественный процесс, мы же понимаем и язык ИБ, и специфику систем промышленной автоматизации, и как строится производственное управление. Поэтому у нас нет сложностей с коммуникацией, донесением проблематики и формализацией задач.
С кем сложнее работать — с госкомпаниями или с частными?
Эффективность любой коммерческой организации очень сильно зависит от её киберустойчивости и способности обеспечить непрерывность своего бизнеса.
В компаниях с госучастием большой объём формализации на разных этапах проекта, объёмный документооборот. Коммерческие компании стараются быстро решать задачи, особенно те, кто уже столкнулся с инцидентами в производственных контурах. Эти компании реализуют проекты очень быстро, с минимумом формализации решений.
Насколько стало в промышленности сложнее искать ИБ‑решения с уходом зарубежных вендоров?
Я бы назвал нынешний период переходным. Предприятиям необходимо принимать решение, с какого зарубежного продукта переходить на российский, и начинать этот процесс. Сложность в том, что быстро перейти с одного на другое не получится, тем более, если IT‑инфраструктура предприятия большая или распределённая по всей стране.
Сейчас многие компании в части основных систем управления сталкиваются с тем, что нет российских аналогов, удовлетворяющих требованиям и размерам бизнеса, и заменить зарубежное решение на российское нет возможности, а иногда это ещё и нецелесообразно.
Получается ли у российского рынка ИБ дать ответы на запросы промышленности? Если рассматривать в процентах — 50%, 30%, примерно?
Сейчас уже около 70% зарубежных решений в области кибербезопасности можно заместить на российские аналоги. Все основные и востребованные классы средств защиты в России разрабатываются и представлены на рынке. Кроме того, российские компании активно включились в создание отечественных аналогов продуктов ушедших международных вендоров. Так, на Positive hack Days наша компания представила раннюю версию PT NGFW, межсетевого экрана нового поколения.
Дмитрий, вы уже 10 лет в промышленной кибербезопасности. Если не брать последние два года (2022–2023), как менялись тренды взломов промышленности до 2022 года в РФ?
Если говорить о трендах, тактиках, инструментах для атак, то можно выделить два основных вида: массовые заражения вирусами и таргетированные атаки финансово мотивированными командами, тщательно подобранным инструментарием и так далее. Если брать ещё более ранние периоды, то на промпредприятия были исключительно таргетированные атаки.
По сравнению с предыдущим вашим опытом сильно изменились тренды за 2022 год?
Изменилось количество инцидентов и мотивация атакующих. В 2022 году почти каждая десятая успешная атака приходилась именно на промышленные предприятия. Раньше атаки совершались с целью коммерческой выгоды, и сами злоумышленники монетизировали полученный результат. В прошлом году основной объём атак оказался некоммерческим, он имел идеологическую и социальную мотивацию, желание хакера как‑то себя проявить и обозначить позицию. Именно это и стало основным трендом в 2022 году.
Расскажите, пожалуйста, если можно, самый вопиющий случай нарушения правил ИБ в промышленности, на ваш взгляд?
На регуляторном треке «Магнитки» мы как раз обсуждали один кейс, который случился в конце 2022 года. Подрядчик, выполняющий работы на большом количестве промышленных объектов, имел доступ к проектной информации критичных систем, причём к некоторым объектам у него был удалённый доступ. Атака на этого подрядчика привела к тому, что вся информация, проходящая через него, была зашифрована. Перед тем как зашифровать, часть технически критичных данных и проектной документации злоумышленники смогли украсть. Обычно впоследствии злоумышленники часто продают такую информацию в дарквебе.
И хотелось бы услышать самый положительный случай, связанный с ИБ на предприятиях. Когда всё было сделано как надо. Или провели экспертизу, а делать‑то и нечего.
В России есть компании федерального масштаба с активами в несколько десятков производственных технологических объектов, которые заранее проанализировали свой ИТ‑ландшафт и предприняли своевременные шаги для защиты от атак. При этом у них большое количество legacy‑систем (внедрявшихся 20 лет назад и ранее) и критических инфраструктурных объектов. Такие компании начали путь построения киберзащиты своих объектов некоторое время назад, и в 2022 году это помогло им успешно противостоять атакам.
Какие, по вашему мнению, нужно сделать шаги промышленным компаниям, чтобы минимизировать риски инцидентов инфобеза?
Самый первый шаг, он же и самый трудный в реализации для предприятия — это понять и проанализировать текущее состояние защищённости. Вернёмся к примеру с компанией выше. Основной её вопрос был в том, чтобы разобраться, какое количество у неё устаревших систем, из чего они состоят, насколько они уязвимы, как их защищать. Инвентаризация объекта защиты — самое тяжёлое, но это надо прорабатывать в самом начале пути. Никаких конкретных шагов сделать предприятие не сможет, пока не поймёт, чем оно владеет и в каком состоянии это оборудование. Первое, что мы рекомендуем, — определиться с недопустимыми событиями для своей компании. Что для бизнеса критично и что нужно защищать, в каком оно состоянии. Дальше — это уже методология, определение угроз, методов реализации.
Вот такой вышел разговор с Дмитрием, очень надеюсь, что это интервью прочитают различные специалисты в области IT и ИБ из промышленного сегмента, да и в целом из всех отраслей. Потому что заключительный вопрос вроде бы казался простым, но, по моему опыту работы, а это без малого 15 лет стажа различных IT‑специальностей, не все компании задумываются об инвентаризации систем, не говоря уж о возможности как‑то их защитить.