Защитить информацию

Век технологических поисков

Пандемия с массовым переходом компаний на удаленку открыла хакерам новые возможности для атак. Компании, которые вовремя не озаботились вопросом кибербезопасности, поставили под угрозу сохранность и конфиденциальность собственных данных.

В 2020 году центр мониторинга и реагирования на кибератаки Solar JSOC зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок. В их числе были попытки воздействия на целые отрасли и секторы экономики.

40% всех атак пришлись на серверы и станции управления технологическими процессами предприятий. Речь идет об АСУТП – автоматизированных системах управления технологическим процессом, которые, как показала практика, нужно защищать профессиональными способами.

---

Андрей Иванов

технический консультант по кибербезопасности Schneider Electric

«Автоматизированная система управления технологическим процессом – это группа технических и программных средств, предназначенных для автоматизации управления оборудованием на промышленных предприятиях. Это может быть любая отрасль – нефтегаз, химия и нефтехимия, сборочные производства, пищепром и так далее.

Условно можно разбить АСУТП на три уровня. Первый уровень – полевые устройства. Они состоят из различных сенсоров и датчиков, которые измеряют физические характеристики какого-либо процесса, преобразуют эту информацию в цифровую и передают в систему управления. Это могут быть датчики температуры, давления, расходомеры и так далее. Также в состав полевых устройств входят исполнительные устройства – клапаны, задвижки, насосы, электродвигателями и пр.

Второй уровень – управление процессом. Здесь появляются технические средства, которые могут вести вычисления и обрабатывать информацию. Это программируемые логические контроллеры (ПЛК) и элементы АСУТП, которые используют компьютеры и серверы.

И третий уровень – заводские системы, к которым может подключаться АСУТП. Это классические информационные системы – в чистом виде информационные технологии, которые используют данные с нижних уровней.

Как видно, технические средства достаточно обширны. Это не какой-то один датчик или контроллер, это целые линейки программных продуктов. И через все три уровня сквозной нитью проходит кибербезопасность».

Прежде чем достичь текущего уровня развития, системы управления процессами пережили несколько десятилетий трансформации и совершенствования. Изначально АСУТП строились с использованием линейной логики. Это были стойки, которые занимали целые помещения. Управление шло путем соединения различных реле.

Это дейстительно был прогресс. Но по мере роста систем такие схемы управления занимали все больше места, обслуживать их стало неудобно. Неисправности приходилось искать в электрической схеме, а для этого нужно было обойти все стойки с отверткой в руках. Для изменения логики системы требовалась перекомутация соединений: необходимо было отверткой отсоединять контакты и соединять с другими реле.

Следующим шагом на пути прогресса стало появление программируемых логических контроллеров вместе с интегральными микросхемами. Первый ПЛК был создан в 1968 году. Он занимал в разы меньше места. Но самое главное: для изменения логики работы его достаточно было перепрограммировать. Что, несомненно, было намного удобнее.

Кульминацией технологических поисков стало появление в АСУТП компьютерных, или информационных технологий. Этот термин в его современном смысле впервые прозвучал в статье Harvard Business Review 1958 года. Ее авторы – Гарольд Дж. Ливитт и Томас Л. Уислер – написали: «Новая технология пока не имеет определенного названия. Мы будем называть это информационной технологией».

Случаи кражи информации из компьютеров, по разным данным, появились в 1980-е годы. Примерно в то же время родилось понятие «информационная безопасность», основанное на триаде «конфиденциальность – целостность – доступность». Эти принципы актуальны по сей день.

Информационная безопасность (ИБ) – понятие достаточно широкое, оно включает защиту не только цифровой, но и аналоговой информации (в том числе на печатных носителях). Под ИБ часто понимают и кибербезопасность, хотя на самом деле этот термин имеет несколько другое значение. Он подразумевает защиту цифровой информации (исключая аналоговую) и программного обеспечения.

Для наглядности Андрей Иванов привел пример. Программа Word сама по себе информацию не содержит, пока вы не создали в ней документ и не напомнили его информацией. Но программа может иметь уязвимости, которые могут позволить злоумышленникам получить доступ к информации в вашем документе.

Каким компаниям нужно защищать информацию

Казалось бы: АСУТП не содержат финансовой информации, не обрабатывают денежные потоки. Взломав такую систему, хакеры, на первый взгляд, не получают никакой материальной выгоды. Но это не так. АСУТП соединены с автоматизированными системами управления предприятием (АСУП) и обмениваются с ними данными.

По российскому законодательству, к объектам критической информационной инфраструктуры (КИИ) относятся информационные системы, сети и автоматизированные системы управления. А субъектами КИИ являются организации из 12 отраслей – здравоохранения, науки, транспорта, связи, финансового рынка, топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. АСУТП в этих отраслях в обязательном порядке должны быть обеспечены мерами защиты.

---

Андрей Иванов

технический консультант по кибербезопасности Schneider Electric

«В первую очередь вопросами кибербезопасности озабочены крупные предприятия. Но 2020 год показал рост интереса к этой теме в среднем бизнесе: компании этого сегмента либо начали что-то делать в данном направлении, либо как минимум задумались об этом. В Schneider Electric все чаще поступают запросы по кибербезопасности от все более мелких организаций».

Как защитить системы управления процессом

Эксперт подчеркнул: сегодня нет одного конкретного продукта, приобретя который, можно рассчитывать на полную кибербезопасность. Это должен быть комплекс решений. Систему защиты при этом нужно строить по многоуровневому принципу: даже если хакер сможет преодолеть один уровень, другой уровень должен остановить его или как минимум задержать, чтобы дать специалистам время на предотвращение атаки.

---

Андрей Иванов

технический консультант по кибербезопасности Schneider Electric

«Для нас как вендора АСУТП все начинается с безопасной разработки. Это подразумевает, что в компоненты системы изначально встроен функционал безопасности. Такое базовое предложение присутствует во всех наших линейках».

Это схема защищенной АСУТП, представленная экспертом. На первом уровне обеспечена защита АРМ и серверов:

• антивирусное ПО;
• контроль запуска и целостности приложений;
• контроль подключаемых устройств;
• авторизация и аутентификация;
• логирование событий безопасности;
• оптимальная настройка служб и сервисов;
• регулярные обновления AB-баз и ПО.

На втором уровне обеспечена защита сетей:

• разделение сетей и их сегментирование;
• мониторинг и анализ трафика;
• конфигурация сетевого оборудования;
• авторизация и аутентификация;
• логирование событий безопасности;
• регулярные обновления прошивок.

На третьем уровне обеспечена защита ПЛК (программируемых логических контроллеров):

• настройка списков подключений;
• логирование событий безопасности;
• отключение неиспользуемых сервисов (FTP/TFTP и т.д.);
• установка сложных паролей и многоуровневого доступа;
• контроль целостности прошивки.

По словам Андрея Иванова, такая трехуровневая АСУТП достаточно типична для компаний в России. Это классическая пирамида построения системы управления предприятием.

Самой распространенной ошибкой бизнеса в вопросах кибербезопасности представитель Schneider Electric назвал отсутствие желания у руководства выделить бюджет на внедрение средств защиты. Все остальные ошибки вытекают из этой.

Он также объяснил, как определить примерный бюджет на внедрение таких технологий в небольшой компании. Нужно суммировать стоимость одного (как минимум) межсетевого экрана, антивирусов на каждый компьютер, системы резервного копирования, а также прибавить 15-20% на «островные вещи» и мелочи. Цены от разных разработчиков можно найти в открытом доступе. Также нужно учесть стоимость работ, если их будет выполнять сторонняя организация.

---

Андрей Иванов

технический консультант по кибербезопасности Schneider Electric

«Инциденты безопасности неизбежно произойдут. Наличие хорошо документированного набора процессов и процедур реагирования на инциденты имеет важное значение. Это не только скорость, с которой обнаруживается угроза, но и скорость, с которой угрозы безопасности смягчаются и устраняются. Наилучшая стратегия снижения риска – использование системы, где все компоненты спроектированы, протестированы, проверены и сертифицированы».

Фото предоставлено ПАО «Ростелеком».

Интеграция технологий кибербезопасности: «Ростелеком» приобрел акции «ЭЛВИС-ПЛЮС»

Крупнейший в России инфраструктурный провайдер «Ростелеком» укрепляет свои позиции на рынке информационной безопасности. Он сообщил о сделке, которая позволит ему усилить научно-технологическую базу и запустить новые комплексные проекты по защите данных.

Игра на внимательность: как не стать жертвой кибермошенников

Социальная инженерия – один из самых эффективных инструментов киберпреступников. По статистике центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком», 70% атак на инфраструктуру компании начинаются именно с фишинга, то есть с прямого воздействия на человека. При этом на крючок попадаются не только новички, но и грамотные пользователи, а иногда даже системные администраторы.

Продуктивная удаленка и культура безопасности. Как изменился «Ростелеком» в 2020 году

Об этом журналистам рассказала Ирина Мальцева, директор по организационному развитию и управлению персоналом макрорегионального филиала «Волга» ПАО «Ростелеком».