«РТК-Солар»: Раньше предприятия атаковали, чтобы получать финансовую выгоду, а сегодня – чтобы нанести максимальный ущерб

ЕВГЕНИЙ ХАРИЧКИН: Первым знаковым событием в этой области можно считать атаку вируса Stuxnet на иранский завод по обогащению урана в Натанзе, который был нацелен на срыв ядерных программ Ирана. Это первое массовое зарегистрированное явление в этой сфере. Червь Stuxnet атаковал промышленные контроллеры компании Siemens. Потом пришел Triton, который был разработан для атак на контроллеры Triconex компании Schneider Electric. В этом случае важно, что под ударом оказался контроллер противоаварийной защиты, то есть более значимый уровень АСУ ТП, отвечающий за предотвращение аварийных ситуаций. Можно говорить о некоторой эволюции техник и тактик злоумышленников: с достаточно простых устройств их фокус сместился на более сложные и значимые элементы АСУ ТП. И, обратите внимание, эти две знаковых атаки были направлены на самых крупных вендоров систем промышленной автоматизации, которые занимают значительную долю этого рынка.

ВИТАЛИЙ СИЯНОВ: Еще стоит отметить, что когда-то произведенные атаки никуда не исчезают. Если атака засветилась в информационном поле, далее ее пытаются эксплуатировать все. Так произошло, например, с вирусами-шифровальщиками. После того, как их апробировали на банках, примерно пару лет назад они пришли в промышленность. И они, действительно, останавливали производства. Например, пострадала норвежская металлургическая компания Norsk Hydro ASA, которая специализируется на производстве алюминия и электроэнергии. Ее спасло только то, что электронная информация дублировалась в компании бумажным способом. Жертвой шифровальщика стала также американская компания Colonial Pipeline, оператор одноименной трубопроводной системы, она была вынуждена остановить работу трубопровода.

Атак происходит много, но важно учитывать, что далеко не все из них афишируются. Например, из событий в России в октябре этого года публичную огласку получила массированная кибератака на ЛОЭСК, электросетевую компанию, которая обслуживает энергосети на территории Санкт-Петербурга и Ленинградской области, с попыткой взлома сетевой инфраструктуры. Как сообщала сама компания, специалисты своевременно зафиксировали подозрительную активность, в результате чего атаку удалось предотвратить, и злоумышленники не смогли получить доступ к управлению энергообъектами.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

В России сейчас очень активно развиваются DDoS-атаки. С февраля киберпреступники пытаются вовлечь в кибератаки обычных пользователей, предоставляя им инструменты, не требующие специальных знаний. В свободном доступе распространяются программы, которые достаточно скачать, нажать несколько кнопок – и компьютер становится участником атаки. Если несколько лет назад хакеры взламывали устройства Интернета вещей – «умные» холодильники, тостеры, Smart TV, охранные системы входной двери – для атак на российские банки, то сегодня обычные люди целенаправленно предоставляют свои компьютеры для участия в DDoS-атаках.

С начала года мы видим, как меняются мотивы злоумышленников: раньше предприятия атаковали для того, чтобы получать финансовую выгоду, а сегодня для того, чтобы нанести максимальный ущерб. Наши оппоненты действуют везде, куда только могут дотянуться: в нефтяной отрасли, металлургии, электроэнергетике и т.д., включая медийную индустрию – проблемы, которые некоторое время назад были у Rutube, – из той же области. Таким образом, если от атак прошлых периодов мы более-менее защитились, то сегодня сталкиваемся с хорошо проработанными атаками, включающими гораздо большее количество участников.

ВИТАЛИЙ СИЯНОВ: В принципе, той регуляторики, которая есть, достаточно. Если выполнять все, что предписано, и делать это так, как предписано государством, то, как минимум, от большинства атак предприятия будут защищены. Но нужно понимать, что чаще всего регуляторная база строится по принципу реакции на случившийся инцидент. Необходимо действовать проактивно, стремиться к риск-ориентированному подходу и рассматривать более широкий спектр возможных негативных событий.

ЕВГЕНИЙ ХАРИЧКИН: Да, регуляторика-то есть, вот только практики маловато. И когда мы начинаем приземлять систему защиты на инфраструктуру предприятия заказчика, обнаруживаются важные нюансы, свойственные промышленному предприятию. Дело в том, что сам ИТ-ландшафт предприятий претерпел за последние годы очень большие изменения. Например, туда проникают такие явления, как Интернет вещей (IIoT) и прочее. Источников событий безопасности становится гораздо больше, что открывает больше возможностей для проникновения в промышленную ИТ-систему. С этой точки зрения кажется логичным появление специфической отраслевой регуляторики в промышленности по аналогии с банковским рынком. Конкретные шаги в этом направлении уже есть и видится целесообразным их дальнейшее развитие.

ЕВГЕНИЙ ХАРИЧКИН: Большая проблема заключается в том, что при разработке устройств АСУ ТП, а потом и промышленного Интернета вещей вопросами информационной безопасности никто не занимался. Вот микроволновка – хорошая же вещь. Но когда она становится частью ботнета, все резко меняется. Мы никогда не думали, что однажды она станет частью сети злоумышленников, которая будет наносить вред тем или иным предприятиям промышленности. И что мы видим по факту сегодня на предприятиях? Большое количество датчиков, подключенных к Интернету, у которых нет ни собственных механизмов защиты, ни защищенных каналов связи, и эти «умные» датчики передают информацию на соответствующие серверы ИТ-систем.

В этой ситуации перехваты данных датчиков – очень опасное дело, если речь идет о промышленных предприятиях. Скажем, если маленький датчик температуры начнет врать, то нарушится технологический процесс, а это может привести к возгоранию, взрыву, разгерметизации, выделению вредных веществ – вплоть до техногенной катастрофы. И все из-за какого-то малюсенького датчика! В действительности дело так и обстоит – маленькое устройство может нанести большой урон.

ЕВГЕНИЙ ХАРИЧКИН: По одной простой причине –интеллектуальных возможностей датчика хватает только на те функции, для которых он создавался, а на функции шифрования у него просто не остается мощностей.

ВИТАЛИЙ СИЯНОВ: Именно так. Специфика этих умных устройств, которые в большом количестве появляются на заводах, заключается в том, что они обычно недорогие и дополнительные функции типа безопасности туда не закладывают. Собственно, поэтому они становятся уязвимыми, и те самые нашумевшие атаки утюгов и холодильников на ИТ-инфраструктуру подтверждают это – их можно собирать в большие ботнет-сети и устраивать с их помощью атаки. Поскольку все каналы связи датчиков открытые, значит, можно воздействовать на передаваемую по ним информацию.

К счастью, пока не наблюдалось серьезных прецедентов того, как IIoT может навредить производству. Тем не менее, в этой области назревает серьезная проблема. Но пока нет инцидентов, на которые индустрия безопасности может отвечать, никто особо не задумывается о безопасности IIoT-устройств.

ЕВГЕНИЙ ХАРИЧКИН: Перед безопасниками встает архисложная задача: как все это защитить и сделать ландшафт безопасным? Прямого лобового решения она не имеет. Однако новые реалии создают новые требования к IIoT-оборудованию, и мы должны учиться с этим жить уже сегодня. На мой взгляд, нет других вариантов, кроме как изменить способ использования этих устройств. И на рынке уже начинают формироваться новые требования к их производителям. Например, если производитель ориентируется на использование своего устройства в какой-либо отрасли промышленности, он должен обеспечить шифрование каналов связи, логирование событий, ряд других требований, и только после этого он сможет поставлять свою продукцию на промышленные площадки.

В принципе, регуляторы получают обратную связь и корректируют законы. В итоге мы все должны прийти к единому пониманию происходящего и надеюсь, что это произойдет уже скоро.

ЕВГЕНИЙ ХАРИЧКИН: Конечно! И самописный софт, и open source-проекты – это новые риски. Скажем, предприятие берет какое-то открытое ПО, начинает с ним работать, а через год там обнаруживается огромная дыра, такая, что любой школьник, запустив у себя на компьютере небольшой скрипт, получает права администратора на всех серверах предприятия. Специалисты знают – такие вещи имеют место быть. Здесь правильнее говорить о культуре безопасной разработки. Ее нужно воспитывать и внедрять, хотя это и непросто. Обычно же как происходит? Возникла задача, программист написал программу, она работает. Все. Решили задачу – заткнули дыру и побежали дальше. Однако цена ошибки разработки кода на следующих этапах возрастает кратно, и последствия внедрения непроверенных решений могут вернуться горькими слезами.

ВИТАЛИЙ СИЯНОВ: Смотрите. Ушли Schneider Electric и Siemens, которые занимали основную часть рынка, поставляя, в том числе, промышленные контроллеры на российские заводы. Ушел основной поставщик решений цифровых двойников для промышленности – Aveva, подразделение Schneider Electric. Такая важная для российской экономики отрасль, как нефтеперерабатывающая индустрия, полностью завязана на зарубежных вендоров: Schneider Electric, Emerson, Honeywell, Yokogawa, и их больше нет на российском рынке.

Это означает, что вы не сможете сейчас модернизировать нефтепереработку, потому что у вас нет возможности установить новое оборудование. В течение какого-то времени будет использоваться то, что было установлено ранее, но эксплуатироваться решения будут без поддержки вендоров. Со временем это оборудование и ПО неизбежно будет выходить из строя. Но заменить пока нечем. Государство поставило задачу импортозаместиться, но это трудоемкая задача, решение которой требует длительного времени и больших инвестиций.

Производственный цикл новой продукции измеряется годами. Только проектирование занимает не менее года, а нужно еще проанализировать работу нового оборудования в реальных цехах, устранить недочеты и т.д. Самое сложное – это интеллектуальная составляющая решений, которую фактически нужно разрабатывать с нуля: различные «умные» датчики, оборудование Интернета вещей, цифровые «умные» контроллеры. К тому же есть проблемы, связанные с нехваткой микроэлектронных компонентов.

ЕВГЕНИЙ ХАРИЧКИН: Знаете, перемены уже происходят. Сами целевые ИТ-системы заказчиков очень сильно меняются. Сегодня ключевой тренд развития ИТ-систем крупных заказчиков как в промышленности, так и других отраслях, – перемещение в облака. Предприятия строят ЦОДы, создают облачные инфраструктуры, и задачи защиты крупных предприятий, по сути, превращаются в задачи защиты ЦОДов. И тут переплетается много понятий, включая и аутсорсинг инфраструктуры, и аутстаффинг ИТ-персонала. Иными словами, всю головную боль по обслуживанию и защите этой инфраструктуры заказчики перекладывают на своего партнера или группу партнеров, которые в совокупности предоставляют требуемые мощности в защищенном виде.

Вот почему сегодня популярен подход «Безопасность как услуга». Наша компания предлагает целый спектр развитых услуг в этой части. В целом, речь идет о миграции всех систем заказчика в наши защищенные «крепости». Раньше заказчики стремились превратить свои корпоративные сети в неприступные крепости. А сегодня крепости – это выделенные мощности в ЦОДах.

ЕВГЕНИЙ ХАРИЧКИН: Да, мы используем комплексный подход к решению задач заказчиков. Например, мы можем, образно говоря, взять заказчика за руку и вывести его на новый, более высокий, уровень защищенности. Пусть у него нет ничего – ни систем защиты, ни специалистов, которые будут этим заниматься, мы сами все это построим, как с организационной точки зрения, так и технической, и далее будем обслуживать эту инфраструктуру, обеспечивать ее работоспособность и даже учить персонал на стороне заказчика, чтобы внутри компании появлялись некоторые экспертные группы в области ИБ.

Некоторые заказчики хотят получить инфраструктуру защиты и дальше работать с ней самостоятельно. Мы поддерживаем различные сценарии взаимодействия с заказчиками, но главное – делаем все, что нужно, под ключ. То есть мы можем подключаться на любом этапе: от методологии до внедрения, на этапе приемки в эксплуатацию или постановки на мониторинг, для дальнейших консультаций и обучения. По каждому направлению подключаются те или иные подразделения нашей компании.

ВИТАЛИЙ СИЯНОВ: Дело в том, что у разных компаний ИТ-ландшафт очень разный. В отрасли всегда есть крупные игроки, уделяющие информационной безопасности большое внимание и готовые инвестировать в её развитие. Но есть организации, которые не могут выделять крупные бюджеты на кибербезопасность, поскольку для них это дополнительные расходы. К разным компаниям у нас разный подход.

У предприятий первой группы «крепости» уже построены, для них наиболее актуальны проблемы выхода из строя каких-либо бизнес-систем, что может повлиять на бизнес-показатели компании. И они изыскивают возможность защитить именно эту часть инфраструктуры. Компаниям, у которых еще не выстроены процессы кибербезопасности, следует начать с обеспечения базового уровня защиты. Образно говоря, вначале построить «заборчики», чтобы оградить себя от известных старых угроз, обучить персонал, а затем переходить к более сложным мерам отражения атак.

ВИТАЛИЙ СИЯНОВ: В последние годы на нашем рынке, действительно, активно развивалась тема SOC как возможности организации активного мониторинга и предотвращения инцидентов. В условиях резкого роста количества инцидентов, произошедшего с конца февраля, значимость SOC повысилась, и задача своевременно выявлять инциденты полностью лежит на специалистах центров мониторинга. В качестве отдельного тренда, характерного для промышленности, можно выделить атаки через подрядчиков. Представьте, что некая сервисная организация обслуживает установку на нефтеперерабатывающем заводе, который расположен на большой территории в отдаленном месте. В подобных случаях удаленный доступ сервисных инженеров к промышленным системам – широко распространенная практика, что несет в себе потенциальную угрозу для предприятия. Отслеживание событий безопасности с помощью мониторинга помогает компании быстро обнаружить угрозы, связанные в том числе с удаленным доступом, и обеспечить оперативное реагирование.

В мониторинге очень важно учитывать промышленную специфику. На производственных предприятиях используются проприетарные протоколы взаимодействия устройств. Образно говоря, если ИТ-сфера общается по протоколам TCP/UDP, то в промышленности есть свои специализированные протоколы. В них разбираются не все ИБ-специалисты, а для мониторинга это крайне важно. Также не каждый безопасник сможет ответить, является ли конкретное соединение нормой или аномалией. Поэтому для этих вопросов нужен специализированный мониторинг со штатом людей, которые могут правильно интерпретировать получаемые события.

ЕВГЕНИЙ ХАРИЧКИН: Что касается мониторинга, то этот инструмент может быть использован в любой момент, даже если инфраструктура предприятия вообще не имеет никаких средств защиты. Но есть вопрос зрелости компании. По нашим наблюдениям, о мониторинге начинают говорить зрелые компании, которые применяют риск-ориентированный подход. Эти компании не выполняют в лоб требования законодательства, а пытаются понять, насколько повысится эффективность их средств защиты. Ведь стоимость защиты должна быть меньше ущерба от тех рисков, от которых она защищает, а для создания SOC требуются большие инвестиции. Хотя у нас есть примеры компаний, которые начинали строить защиту именно с мониторинга. И в этом есть свои плюсы.

На первом этапе мониторинг позволяет выявить спектр проблем, присущих именно данному предприятию. После двух-трех месяцев мониторинга мы понимаем, какие события там случаются, что происходит. Можно выявить элементы сканирования, когда это происходит в разных ситуациях, как извне, так и изнутри, и т.д. Иными словами, на базе данных мониторинга мы получаем пул информации и дальше разрабатываем план действий по защите. Этот подход помогает выстроить эффективную защиту с учетом выявленных проблем.

Но можно пойти через обеспечение базового уровня безопасности. Тогда обеспечение безопасности равносильно обеспечению требований регулятора. Предприятие вольно выбирать один из этих двух путей.

ВИТАЛИЙ СИЯНОВ: Смотрите. Есть регулирующие документы, например приказ ФСТЭК России №239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25 декабря 2017 г. (с последующими редакциями). Там полтора десятка разделов описывают те элементы информационных систем, которые необходимо защитить. Если это все реализовать, то принятых мер будет вполне достаточно для того, чтобы предприятие могло избавиться от большинства атак. А автоматизированный мониторинг с использованием SIEM-системы и промышленных систем обнаружения вторжений (Intrusion Detection Systems, IDS) – это все же инструмент защиты от продвинутых атак для компаний, которые много лет занимаются информационной безопасностью.

ЕВГЕНИЙ ХАРИЧКИН: Еще как! Резко появились требования ко всем предприятиям критической инфраструктуры иметь у себя штат информационной безопасности. В результате произошел всплеск потребности в специалистах, но откуда их взять? Взяться им попросту неоткуда в нужном количестве. Для этой ситуации очень хорошо подходит концепция сервисных услуг. Сервисная услуга дает вам возможность, выделяя некоторую сумму денег аутстаффинговому партнеру, решать все эти актуальные вопросы ИБ вообще без собственного штата и без постановки себе на баланс каких-либо материальных средств. Вы не занимаетесь процессом ИБ, а получаете результат.

На мой взгляд, такая модель наилучшим образом подходит к нынешнему переходному процессу, который идет на предприятиях.

ВИТАЛИЙ СИЯНОВ: Еще надо принять во внимание, что острый кадровый голод провоцирует рост зарплат соответствующих специалистов. При этом человек, который живет в регионе, может удаленно работать на столичную компанию, где и уровень зарплаты – столичный. А кто будет заниматься защитой на предприятии в его родном городе?

Услуга аутстаффинга, то есть предоставления в аренду высококвалифицированных специалистов, будет в ближайшее время выходить на новый уровень.

Кстати, подобная ситуация ранее была с облаками. Когда они появились, все опасались передавать свои данные на обработку в облака. А сегодня это встречается практически повсеместно. То же самое происходит с информационной безопасностью. Если раньше все отказывались передавать на сторону информацию об инцидентах, опасаясь ее утечки, то сегодня это уже повсеместная практика. Все понимают: вместо того, чтобы тратить десятки миллионов рублей на организацию информационной безопасности своими силами, проще и дешевле нанять сервисную компанию, которая окажет услуги ИБ с высоким качеством.

ВИТАЛИЙ СИЯНОВ: Давайте поделим рынок информационной безопасности на две части: программное обеспечение и «железная» составляющая. Что касается ПО, то с ним в нашей стране в большинстве случаев все хорошо. Поставить антивирус, систему бэкапирования, систему обнаружения вторжений или песочницу – это все не проблема. Есть даже конкуренция российских решений. У нас проблемы именно с железной частью.

В сфере ИБ есть системы, которые требуют больших мощностей, или они изначально производятся в виде оборудования. Пример – СКЗИ, система криптографической защиты информации, которая обычно поставляется в виде ПАК (программно-аппаратного комплекса). Аналогичная ситуация – с межсетевыми экранами следующего поколения, NGFW. То, что было установлено до февраля, пока продолжает работать. Многие предприятия привыкли к более широкой функциональности и удобным интерфейсам управления иностранных решений и пока не все готовы от них отказаться, даже несмотря на отсутствие обновлений.

Но у нас есть требование государства – в 2025 году перейти на отечественное оборудование и ПО. К сожалению, пока российские аналоги представлены не по всем классам решений. Сейчас на рынке нет отечественной системы управления межсетевыми экранами (Firewall Management). Но я уверен, что в ближайшее время она появится. Сложнее с такими продвинутыми многофункциональными системами, которые объединяют в едином комплексе межсетевой экран, аналитику, песочницу. У нас это все разбросано по разным решениям. То, что раньше было одним продуктом, теперь собираем из разных частей. Естественно, получается дороже… Нужно еще придумать, как повторить лучшие зарубежные образцы.

ЕВГЕНИЙ ХАРИЧКИН: Для интеграционного рынка это новый вызов. Поскольку ранее крупные коммерческие компании более активно использовали зарубежные продукты, интеграторы по большей части накапливали опыт работы в этой области, и сейчас на рынке просто не хватает опыта настройки для взаимодействия российских решений под большими нагрузками. Но это вполне решаемая проблема. Нужен опыт внедрений, и, понимая это, российские вендоры охотно идут навстречу и помогают решать возникающие проблемы, выпускают хотфиксы и обучают инженеров работе с отечественными продуктами.

На самом деле на сложившуюся ситуацию можно посмотреть без драматизма – как на окно возможностей. Сейчас отечественные технологии кибербезопасности по некоторым классам систем отстают от западных, но мы видим потенциал к их развитию. Сегодня российский ИБ-рынок проходит переходный период: его надо пережить, остаться на плаву, а дальше производителям останется просто постоянно совершенствовать свои системы. Прорвемся!

ВИТАЛИЙ СИЯНОВ: Мы выполняем много крупных проектов федерального уровня для организаций госсектора. Соответственно, у нас очень большой опыт внедрения именно отечественных средств защиты информации. Образно говоря, пока все использовали зарубежные продукты, мы накапливали экспертизу именно в отечественных решениях. Исторически так сложилось, что у нас в части отечественных средств защиты опыта больше, чем у всех остальных игроков на рынке. Как мы его используем?

Делаем для заказчика так называемое технико-экономическое обоснование выбора решения, в котором сравниваем продукты по ряду параметров. Анализируем функциональные возможности, отмечаем такие показатели, как сертификация ФСТЭК и ФСБ России, а также наличие продуктов у вендора на складе. Еще один фактор – стоимость владения в течение трех-пяти лет. Он для заказчика тоже имеет значение, наряду с ценой покупки.

После этого при желании заказчика выбираем несколько средств защиты и разворачиваем их у себя на стендах, согласуем протокол испытаний с каждым вендором и заказчиком. А далее все вендоры вместе наблюдают, как проходят испытания, обсуждают детали. В результате определяется честно выигравший сравнительное тестирование победитель. А потом победителей в разных сегментах решений мы тестируем на совместимость.

Для заказчиков из промышленности предусмотрена более сложная схема. Мы берем виртуальные образы того, что стоит у заказчика, разворачиваем у себя и смотрим, как средства защиты повлияют на работоспособность, например SCADA-системы. В результате после всех испытаний получаем подтверждение того, что система информационной безопасности не только работоспособна сама по себе, но к тому же никак не влияет на технологический процесс. А это главное в информационной безопасности в сфере АСУ ТП: средства защиты не должны никаким образом повлиять на технологический процесс. Это краеугольный камень в нашей работе.

ЕВГЕНИЙ ХАРИЧКИН: Совместные обсуждения заказчиков и вендоров средств защиты, о которых говорил Виталий, очень важны, ведь, по сути, все обсуждают, как вместе решить общую проблему. Идет практический разговор: если нужны какие-либо доработки, на чьей стороне и каким образом они должны быть сделаны? В этих обсуждениях рождаются новые подходы. В целом, идет процесс становления рынка российских продуктов ИБ. Уже и в помине нет того шока, который наблюдался, скажем, в марте. Уже пришло осознание, что со всем этим придется жить и надо двигаться дальше. Все настроены на позитивный лад.

Вот недавно мы проводили испытания средств защиты для одного крупного заказчика. Коллеги понимают, что некоторые классы российских продуктов пока несовершенны, но они их испытывают, выявляют недочеты, производители их оперативно устраняют. Уже проявляются лидеры определенных сегментов рынка ИБ. А те производители, кто сейчас в группе отстающих, понимают для себя точки роста. Это очень важно. Ведь раньше они не вкладывали усилия в промышленную тематику, потому что не видели для себя рынка сбыта в условиях конкуренции с крупнейшими западными вендорами. А сейчас у них появилась возможность свои еще не окрепшие технологии внедрять в реальных проектах и внимательно наблюдать за тем, как они будут себя вести на производственных площадках. Это бесценный опыт.

ВИТАЛИЙ СИЯНОВ: В ближайшие пять-семь лет будет происходить большая трансформация информационной безопасности в плане используемых средств защиты. Можно прогнозировать, что в долгосрочной перспективе импортозамещение охватит и электронную компонентную базу. Соответственно, нас ждет переход на все отечественное, без всякого сарказма и кавычек.