Углеводородная безопасность

Поиск оптимальной защиты автоматизированных систем управления в нефтегазовом секторе

Нефтегазовая отрасль, как и промышленный сектор в целом, остается крупной мишенью для киберпреступников. Об этом говорят свежие отчеты Positive Technologies – количество атак на предприятия выросло на 53% за второй квартал 2022 года. Как обеспечить оптимальную защиту АСУ ТП и на что стоит обратить внимание компаниям в первую очередь, рассказал читателям RSpectr руководитель отдела развития бизнеса продуктов ИБ Axoft Игорь Тюкачев.

ЦИФРОВИЗАЦИЯ ИЛИ ЗАБЫТАЯ ФЛЕШКА

Рынок нефтедобычи – достаточно высококонкурентный, здесь технологии Индустрии 4.0 начали применять одними из первых. Цифровые двойники месторождений, IoT, цифровое бурение, аналитика массивов Big Data, предиктивные модели, с одной стороны, позволяют снизить издержки на разведку, добычу, переработку и повысить эффективность. С другой – создают практически невозможные условия для изоляции корпоративных и промышленных сетей, что делает объекты уязвимыми. Последствия атак могут носить масштабный и техногенный характер: от задержек поставок, снижения добычи до влияния на жизни, здоровье людей и окружающую среду.

Здесь может быть два вектора развития атаки – через персонал и стороннее вредоносное ПО. Во втором случае атака изолированного сегмента промышленной сети может произойти через подрядчика, который приносит внешний носитель с обновлениями ПО.

Уровень ИБ-зрелости самого поставщика может быть низким, его не составит труда взломать, затем он принесет зараженную флешку и использует на АРМ оператора с Windows XP.

Один из нашумевших случаев атаки через цепочку поставок случился с разработчиком SolarWinds в 2020 году. Злоумышленники проникли в систему сборки и добавили закладку в один из DLL-файлов, который затем был распространен среди клиентов через платформу автоматического обновления. Закладка подключалась к серверу управления и контроля, так хакеры получали доступ к зараженному компьютеру.

КИБЕРАТАКА «В ПОЛЯХ»

Разберем на примере, как происходит атака и какими инструментами ее можно блокировать. Злоумышленник устанавливает вредоносное ПО на ноутбук работника сервисной компании. При попадании на территорию промышленной площадки оно активируется. Если у оборудования есть доступ в интернет для служебных целей, то программа может обеспечить доступ злоумышленнику в реальном времени. Далее запускается сканирование сети.

Распространенный пример злонамеренной киберактивности на узлах – использование Nmap, сканирования сети для обнаружения открытых портов и действий по горизонтальному распространению. Его могут применять как для запуска вируса, так и для сбора информации об инфраструктуре для планирования дальнейшей атаки.

Мы регулярно проводим тестирование решений в условиях, приближенных к реальным. На данный момент в «Демосфере» можно увидеть работу Kaspersky Industrial CyberSecurity for Networks и решение для анализа трафика сетей АСУ ТП ISIM от Positive Technologies, также в демозоне развернуты виртуальные ПЛК и ПК атакующего. Эффективность сетевой безопасности зависит не только от инструментов, которые помогут выстроить защиту и обеспечить целостность периметра на предприятиях, но и от компетенций команды. Инженеры должны знать все технические особенности продуктов различных поставщиков, прокачивать скилы в DevOps, Linux, практике сетевой безопасности и сетевых взаимодействий, изучать инструменты для взлома.

ФОРМУЛА БЕЗОПАСНОСТИ

Защита АСУ ТП – многогранный вопрос, к которому нужно подходить с разных сторон. Основная формула: технологии + процессы + люди. Здесь должен быть комплекс грамотно подобранных решений – от защиты периметра и на рабочих станциях, шифрования каналов до сетевых сенсоров для контроля горизонтального трафика промышленной сети и внедрения ZTNA. Необходимо постоянно расширять процесс управления информационной безопасностью и добавлять активы, связанные с АСУ ТП.

Но главный элемент в этой цепочке – люди, которые могут нивелировать всю работу ИБ-специалиста. Поэтому важно формировать культуру киберосознанности у сотрудников, проводить учения и тестирования.

Для нас модель оптимальной защиты АСУ ТП выглядит так:

• Защита на рабочих станциях (уровень SCADA) – «Лаборатория Касперского» (KICS for Nodes), InfoWatch ARMA (Industrial Endpoint), PT EDR.
• Защита и сегментация периметра – Usergate, InfoWatch ARMA (Industrial Firewall), Infotecs (xFirewall 5).
• Сетевые сенсоры для контроля горизонтального трафика промышленной сети – «Лаборатория Касперского» (KICS for Networks), Positive Technologies ISIM, InfoWatch ARMA (Industrial Firewall).
• Шифрование каналов (между SCADA и PLC, между PLС и датчиками, между удаленными объектами) – Infotecs (Coordinator IG + SIES), InfoWatch ARMA.
• Внедрение ZTNA – Infotecs, «Код Безопасности», Usergate.
• Реагирование – сервис MDR от «Лаборатории Касперского», Group-IB.
• Повышение осведомленности персонала и периодическое тестирование персонала – Kaspersky ASAP, Phishman.
• MaxPatrol SIEM для промышленности. Собирает и анализирует журналы с конечных узлов в сетях АСУ ТП, выявляет инциденты информационной безопасности.
• PT Sandbox для промышленности. Обнаруживает целевые и массовые атаки с применением современного вредоносного ПО, нацеленное на компоненты АСУ ТП.

ПУТЬ К ИМПОРТОНЕЗАВИСИМОСТИ

По данным «Цифровой индустриальной платформы», уровень импортозамещения в нефтегазовой отрасли оценивается в 30%. Многие эксперты отмечают, что процесс миграции может занять три-пять лет. Почему так долго?

Вертикально интегрированные нефтяные компании имеют сложную структуру, в которую может входить до 100 дочерних зависимых обществ (ДЗО). И если, например, корпоративный центр или штаб-квартира рекомендует к внедрению определенное решение, то ДЗО исполняет эту рекомендацию в рамках собственного бюджета. На практике это значит, что замена иностранных средств ИБ может продолжаться несколько лет.

В бизнесе любая инвестиция должна быть оправданной: принести доход или оптимизировать расходы. Если в начале года ИБ-подразделение потратило бюджет на лицензии ПО сроком на три года, то потратить такую же сумму еще раз, но в рамках замены на российское, с точки зрения бизнеса, нецелесообразно. В этом случае компании ищут компромисс, особенно если ПО продолжает работать.

Существует проблема неготовности российских технологий. По некоторым классам решений нет отечественных аналогов, например, в направлении DevSecOps в части защиты контейнеров, анализа open source, а также управления мобильными устройствами (MDM).

А те, что есть, требуют доработки с точки зрения как технологий, так и сервисов, включая продажи, внедрение и техническую поддержку.

Другая проблема – кадры. На рынке острый дефицит специалистов, которые разбираются в технологических процессах, АСУ ТП, следят за современными трендами цифровизации. Даже крупные компании не всегда могут позволить себе укомплектовать штат такими профессионалами.