На вопросы о цифровой безопасности в отрасли ответил Алексей Петухов, руководитель направления Kaspersky Industrial CyberSecurity.
Какие виды киберугроз для предприятий существуют?
Для ответа на этот вопрос, во-первых, хотелось бы проговорить, что такое кибербезопасность. К сожалению, терминология пока только формируется и «устаканивается». Во время своих ответов под кибербезопасностью я подразумеваю процесс обеспечения безопасности защищаемого объекта, системы которого функционируют в условиях деструктивных информационных воздействий. Соответственно, можно выделить следующие виды киберугроз:
- Традиционное вредоносное ПО
- Целенаправленные компьютерные атаки
- Сбои оборудования
- Человеческий фактор, связанный с ошибками в настройке системы, вводе параметров или эксплуатации системы
Какие особенности защиты для предприятий химической промышленности?
С точки зрения кибербезопасности сложно выделить специфику какой-то отрасли отдельно. Каждая система имеет свои физические, программные, архитектурные особенности, и они отличаются в одинаковых производственных процессах разных предприятий. Например, у одного предприятия высокий уровень автоматизации и глубокая интеграция производственных и бизнес-процессов, логистики и т.д., а у другого в большей мере используется ручной труд и локальные автоматизированные системы.
Как внедряется защита, какие инструменты используются?
Подход к защите также выбирается индивидуально, но можно выделить следующие типовые решения:
Локальные автоматизированные системы, автономно работающие над одним производственным процессом, не соединённые с умными датчиками и приборами.
Для защиты таких систем достаточно обеспечить ограничения доступа пользователей к управлению.
- Контроль корректности работы самой АСУ ТП (противоаварийная защита/внутренняя диагностика/система контроля технологических параметров)
- Контроль подключаемых устройств
- Ограничения запускаемых приложений
- Антивирусная защита
Реализаций данных мер может быть множество. Например, контроль подключаемых устройств и запускаемых приложений можно сделать как программными продуктами, например Kaspersky Industrial CyberSecurity for Nodes (далее KICS for Nodes), так и организационными мерами, оставив пользователю только клавиатуру и мышь для работы.
Локальные автоматизированные системы, объединённые внутри производства и, возможно, интегрированные с внешними или смежными системами мониторинга технологических процессов: коммерческого учёта, технического зрения и т. п.
В данном случае, к пункту один потребуются дополнительные средства защиты, позволяющие сегментировать сеть, настроить межсетевое экранирование, а также анализировать сеть и выявлять её уязвимые места, «нестандартные» активности и вредоносное ПО.
Стоит также отметить, что если операторов и субподрядчиков, работающих с системой, достаточно много и выполняется удалённый доступ и/или администрирование, то также требуются дополнительные специализированные решения для контроля и управления правами пользователей, безопасного удалённого администрирования и управления мобильными (переносными) устройствами сотрудников.
Автоматизированные системы, интегрированные с корпоративными или иными системами.
Здесь подход к защите будет идентичен представленному во втором пункте, но решения для централизованного мониторинга и управления инцидентами в корпоративной и промышленной среде будут более значимы и эффективны.
Что касается самого процесса внедрения, то в классическом варианте он выглядит следующим образом:
- Определение и описание объекта защиты
- Создание для него модели угроз
- Определение необходимых компенсирующих мер и выбор соответствующих решений
- Согласование работ по внедрению компенсирующих мер
- Обучение сотрудников и пользователей систем
- Внедрение и эксплуатация
Здесь стоит обратить внимание, что речь идёт о предприятиях, в которых защита промышленного сегмента, а следовательно, и всего предприятия в целом, выстроена в единый процесс и роли в системе защиты распределены между службами, а также выстроены коммуникации между ними. Если речь идёт про предприятия, у которых защита АСУ ТП относится к блоку производства/автоматизации и «выколота» от системы (службы ИБ), то на начальном, нулевом, этапе требуется сформировать рабочую группу и выстроить процесс взаимодействия между подразделениями, отвечающими за эксплуатацию инфраструктуры, средств ИБ и безопасность в целом.
Сколько сотрудников IT-департамента необходимо, чтобы организовать отличную защиту от киберугроз?
К сожалению, нападать легче и дешевле, чем защищаться, поэтому одна из ключевых задач безопасности – сделать вредоносную атаку малоэффективной или слишком дорогой для атакующего, тем самым сместив интерес злоумышленника с защищаемого предприятия на менее защищённое.
Речь, опять же, идёт больше про процессы ИБ и их автоматизацию, нежели про широкий спектр средств информационной безопасности. Например, все решения «Лаборатории Касперского» имеют единую систему мониторинга и управления – Kaspersky Security Center, который позволяет одними и теми же ресурсами администрировать большее число разнородных устройств. Соответственно, если процесс обеспечения информационной безопасности уже выстроен, для отличной защиты предприятия от киберугроз не потребуются новые сотрудники.
Какие предприятия химического комплекса пользуются продуктами «Лаборатории Касперского»?
Мы не всегда можем раскрывать информацию о наших клиентах. На сегодняшний день наши решения активно применяются во всех отраслях. Открытые референсы о Kaspersky Industrial CyberSecurity можно посмотреть на сайте https://ics.kaspersky.ru/resources/#stories. Среди них как наиболее показательные я бы выделил Kama Tyres и Павлодарский нефтехимический завод.