Промышленные предприятия недооценивают киберугрозы
Большинство российских промышленных предприятий тратят на информационную безопасность (ИБ) меньше, чем могут потерять за один день простоя из-за кибератаки. Это следует из результатов исследования Positive Technologies.
Большинство российских промышленных компаний тратят на информационную безопасность менее 50 млн руб. в год. Об этом говорится в исследовании "Сколько стоит безопасность" компании Positive Technologies. При этом 27% организаций оценили потери за один день простоя инфраструктуры вследствие кибератаки в эту же сумму.
Остальные участники опроса отвечали следующим образом: 10% промышленных организаций оценили возможный ущерб от отказа в работе корпоративной инфраструктуры в течение одного дня в сумму до 0,5 млн руб., треть (33%) - от 0,5 млн до 2 млн руб., 13% - от 2 млн до 10 млн руб. и 17% - от 10 млн до 50 млн руб.
Большинство промышленных компаний (83%) заявили о готовности восстановить инфраструктуру, не потратив и 0,5 млн руб. Однако эксперты Positive Technologies считают такую оценку заниженной. В исследовании также указано, что десятая часть респондентов готовы потратить на восстановление корпоративной инфраструктуры после выхода из строя всех ресурсов от 2 млн до 10 млн руб., при этом лишь 7% опрошенных готовы выделить свыше 50 млн руб.
"Промышленным компаниям в первую очередь важна работоспособность используемых систем и непрерывность технологического процесса, а информационная безопасность является делом второстепенным, поэтому и бюджет, выделяемый на обеспечение ИБ, в большинстве случаев не столь значителен, как в государственных или финансовых компаниях", - объяснил руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.
Специалисты "Лаборатории Касперского" провели свое исследование, согласно результатам которого в России на информационную безопасность промышленных компаний в среднем тратится 12% от ИТ-бюджета, что составляет около $171 тыс. (почти 10 млн руб.).
Директор по развитию бизнеса Positive Technologies в России Максим Филиппов заметил, что на промышленных предприятиях наблюдается тенденция к увеличению бюджетов на ИБ. Он объяснил это тремя причинами.
"Во-первых, в этом процессе сыграли одну из ключевых ролей инциденты с массовыми вирусными атаками, затронувшие в том числе и сферу промышленности. Во-вторых, дополнительными стимулами для российских предприятий являются федеральный закон №187-ФЗ "О безопасности критической информационной инфраструктуры РФ" и создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В-третьих, на рынке появились технологии, отвечающие, с одной стороны, требованиям непрерывности и невмешательства в процессы автоматизированных систем управления технологическим процессом (АСУ ТП), а с другой - нацеленные на обеспечение практической безопасности. Иными словами, предприятия получили возможность в прямом смысле слова тратить бюджет на безопасность, появились адекватные инструменты защиты", - пояснил Максим Филиппов.
Специалист по информационной безопасности Group-IB Сергей Золотухин и директор проектного направления Group-IB Антон Фишман также считают, что с введением ФЗ №187 ситуация с ИБ в промышленных компаниях поменяется. "С учетом принятия закона о критической инфраструктуре предприятия будут вынуждены увеличить бюджеты на ИБ либо реструктурировать вложения в ИБ, чтобы обеспечить требуемый уровень соответствия требованиям регуляторов. В первую очередь это коснется предприятий критической инфраструктуры", - считают Сергей Золотухин и Антон Фишман.
Технический директор CheckPoint Software Technologies Никита Дуров заметил, что промышленные предприятия стали больше внимания уделять проблеме ИБ. В частности, компании начали вводить политики и строить системы ИБ.
Антон Шипулин из "Лаборатории Касперского" также полагает, что в последнее время ИБ уделяется все больше внимания на производстве. Так, он добавил, что в России многие промышленные компании в ближайшие три года планируют увеличить бюджет на кибербезопасность более чем на 10%.
Защиту конечных устройств в данный момент уже устанавливают все. "Серьезной сложностью остается то, что традиционные средства информационной безопасности в большинстве случаев нельзя применять на индустриальных объектах, поскольку они не учитывают специфику промышленных систем и сетей. Более того, при неправильной конфигурации и настройке стандартные средства ИБ могут быть даже опасны. Важно внедрять специализированные решения для промышленной кибербезопасности, которые создавались с учетом модели угроз сетей АСУ ТП и не оказывают негативного влияния на технологические процессы", - заметил Антон Шипулин. Он добавил, что об этом пока задумывается не больше 15% предприятий.
Технический директор Eset Russia Виталий Земских полагает, что среднестатистическая компания с тысячей сотрудников в штате тратит на базовые инструменты защиты ИТ-сети несколько миллионов рублей в год. При этом стоимость может возрасти десятикратно, если говорить о комплексной защите.
По данным специалистов Group-IB, промышленные предприятия тратят от 4% до 8% своих бюджетов на информационную безопасность. При этом, как пояснили в Group-IB, для некоторых организаций эта цифра должна быть выше, поскольку они относятся к критической инфраструктуре. Это важно потому, что от их нормального функционирования зависит жизнь и здоровье граждан.
Руководитель направления "Защита АСУТП" ГК InfoWatch Михаил Смирнов отмечает, что создание систем защиты от киберугроз в промышленности требует от отрасли миллиардных затрат.
Величина ущерба в случае возникновения инцидента ИБ во многом зависит от готовности компании к реагированию на инцидент и корректности действий сотрудников. Эксперты Positive Technologies заметили, что в сфере промышленности данное направление находится не на самом высоком уровне.
Согласно данным исследования Positive Technologies, в 23% опрошенных организаций из этой сферы отсутствует практика выявления и расследования инцидентов ИБ. В том случае, когда они все же расследуются, 64% компаний занимаются этой работой самостоятельно без привлечения профессионалов. 13% опрошенных предприятий привлекают специализированные сторонние компании для расследования инцидентов. При этом внутренние отделы SOC (Security Operation Center) есть только в 20% промышленных организациях.
Специализированные инструменты обеспечения безопасности также используются достаточно редко: межсетевые экраны уровня приложений (WAF) применяет менее четверти (23%) всех опрошенных промышленных компаний. Применение межсетевого экрана уровня приложений не позволит злоумышленникам эксплуатировать уязвимости, выявленные на сайтах, и продолжить атаку на внутренние ресурсы компании. SIEM-системы (системы корреляции и консолидации событий безопасности) применяет лишь 17% респондентов.
Как поясняют специалисты Positive Technologies, совместное применение WAF и SIEM позволит организовать комплексную защиту от киберугроз как на периметре, так и внутри корпоративной инфраструктуры, а также сэкономит время и ресурсы за счет автоматизации работ, которые специалисты по ИБ обычно выполняют вручную (например, анализ журналов событий со всех средств защиты).
Регулярные тесты на проникновение (два раза в год) проводит лишь 13% промышленных компаний, в 44% они никогда не проводились. В 33% компаний инвентаризация и контроль за появлением небезопасных ресурсов в периметре сети не проводится никогда. В 40% организаций никогда не проводился анализ защищенности корпоративных беспроводных сетей. В 23% промышленных компаний отсутствует контроль установки обновлений софта.
В 17% компаний отсутствует практика мониторинга публикации информации об уязвимостях нулевого дня (вредоносные программы, против которых еще не разработаны защитные механизмы) и поиска их в ИТ-ресурсах компании. В 40% промышленных организаций данные о новых уязвимостях принимаются во внимание, но их исправление откладывается на неопределенный срок. При этом хакеры готовы к атаке в течение трех дней после объявления об уязвимости.
Специалист Positive Technologies Евгений Гнедин заметил, что число угроз не изменилось с течением времени, но вероятность их реализации велика. Он объяснил это тем, что киберпреступники научились не только красть информацию, но и удаленно выводить из строя целые комплексы систем и продолжают совершенствовать свои инструменты.
К числу наиболее ощутимых последствий кибератак на промышленных объектах Евгений Гнедин отнес вывод из строя технологического объекта, в результате которого могут массово пострадать или даже погибнуть люди. Кроме того, могут быть и экономические последствия для страны, если в каком-либо регионе будут остановлены заводы или объекты энергетики.
Специалист InfoWatch предупредил, что из-за пренебрежения защитой в области информационной безопасности высока вероятность столкнуться не только с финансовым ущербом от рук злоумышленников, но и с реальной экологической катастрофой в случае реализованной атаки - например, на системы жизнеобеспечения города (электроснабжение, откачка сточных вод и т.д.).
"Возможные векторы атак на промышленные предприятия разнообразны - это атаки на системы SCADA и другие системы АСУ ТП, на внутренние системы ERP, инфраструктуру в целом", - рассказали специалисты Group-IB. Среди мотивов атакующих они отметили кибертерроризм, хищения, манипуляцию ценами на рынке, остановку производства и др. Среди возможных последствий кибератак специалисты отметили кражу информации по различным уникальным производствам, угрозу жизни и здоровья, подрыв доверия к поставщику на международной арене и остановку процессов на объектах критической инфраструктуры.
"Промышленность не понимает, что у нее можно украсть. То ли дело банки - там деньги, поэтому их атакуют. Однако это не верно. Конкурентная война, или кибертерроризм, или State-Sponsored hackers - не менее мощные явления, чем преступные группировки, атакующие банки, и это надо учитывать", - отметили Сергей Золотухин и Антон Фишман из Group-IB.
По данным специалистов Group-IB, в 2017 г. была крупная атака на "Роснефть", а также эпидемии зловредов WannaCry, NotPetya и BadRabbit, которые поражали в том числе и промышленные предприятия. При этом специалисты Group-IB сделали важное замечание по поводу того, что большое количество кибератак не становятся достоянием гласности, поскольку предприятия не хотят это афишировать.
Согласно данным центра реагирования на инциденты ICS CERT "Лаборатории Касперского", в первой половине 2017 г. атакам подверглись 42,9% компьютеров АСУ.
В 2017 г. вирусная лаборатория Eset проанализировала новую вредоносную программу Industroyer, разработанную для атак на компании энергетического сектора. Как рассказал Виталий Земских, последствиями атаки могут быть как кратковременные перебои в подаче электроэнергии, так и выход из строя оборудования подстанций.
ИБ-евангелист компании Balabit Чаба Краснаи назвал одной из наиболее серьезных проблем безопасности промышленных предприятий инсайдерские угрозы, которые могут как нанести серьезный урон бизнес-процессам, так и создать большую технологическую проблему. Он добавил, что системы безопасности не могут предотвратить угрозы, которые происходят по причине внутренней утечки информации.
"В этом случае более эффективным способом борьбы с инсайдерскими угрозами будет решение, которое основывается на моделях поведения привилегированных аккаунтов. Каждый сотрудник обладает уникальными биомеханическими характеристиками: скорость набора текста, количество щелчков мыши, время работы на компьютере и т.д. Цифровая модель поведения каждого пользователя, которая основана на этих характеристиках, может выявить отклонения от нормальной активности и поможет своевременно принять меры по устранению причины".
Потенциально может вырасти угроза в области ИБ на промышленном предприятии с внедрением IoT-устройств на производстве. Как заметил Михаил Смирнов из InfoWatch, в этом году количество устройств, подключенных к Интернету вещей, выросло до 8,5 млрд. В большинство из них не встроена защита от несанкционированного доступа, что позволяет использовать их, например, для DDoS-атак, целью которых является вывод систем из строя.
Исследователь Лаборатории угроз Avast Мартин Хрон сообщил, что единственный способ обеспечения безопасности промышленного Интернета вещей, который также известен как IIoT (Industrial Internet Of Things), - проведение надлежащего и надежного аудита систем безопасности. "Многие слабые места можно довольно легко обезопасить при правильной настройке и следовании стандартам безопасности", - добавил он.
"Устранить серьезный инцидент ИБ на промышленном объекте сложно, так как в случае компрометации ключевых систем технологической сети наверняка потребуется полная их переустановка, что может повлечь необходимость полной остановки технологического процесса. Это означает, что на какое-то время придется либо отключить электростанцию или остановить завод, либо перевести их в другой режим работы, что также негативно скажется на данном промышленном предприятии и на пользователях, которых это предприятие обслуживает", - рассказал Евгений Гнедин из Positive Technologies.
При этом любые изменения в инфраструктуре АСУ ТП могут оказать серьезное влияние на технологический процесс, поэтому все дополнительные средства защиты применяются с осторожностью. Кроме того, добавляет Евгений Гнедин, не всегда существует возможность быстро внести изменения в конфигурацию оборудования и прикладного ПО или установить обновления.
Как говорится в исследовании Positive Technologies, только 23% промышленных компаний проводят регулярное обучение сотрудников основам информационной безопасности с последующей проверкой эффективности такого обучения, а 40% компаний не организуют его в принципе.
Компания Positive Technologies проводила опрос в этом году среди 170 респондентов, 18% из которых представляли промышленные компании. Большинство участников входят в рейтинг 500 крупнейших компаний России по выручке за 2016 г. или лидируют в своей отрасли, а также насчитывают более 1000 сотрудников.
Корреспондент ComNews собрала мнения экспертов в области информационной безопасности, которые рассказали, как защититься промышленным компаниям. Специалист компании Eset посоветовал уделить внимание защите периметра. Кроме того, использовать телеметрические сервисы класса Threat Intelligence, предоставляющие доступ к данным о целевых атаках на организации, о новых вредоносных программах и активности ботнетов. Виталий Земских добавил, что нужны консалтинговые и сервисные услуги в области киберзащиты, включая социотехнические тесты, привлечение на аудит стороннего подрядчика (чтобы исключить появление случайных или спланированных уязвимостей в защите) и обучение персонала.
"Системы защиты автоматизированных систем управления технологическим процессом должны создаваться в полном соответствии с требованиями регуляторов и с соблюдением мер безопасности производственного процесса. На уже работающих предприятиях в первую очередь следует провести аудит АСУ ТП, после чего разработать и внедрить комплекс по защите предприятия от внутренних и внешних угроз. Кроме того, обеспечить информационную безопасность предприятия невозможно без теоретических и практических обучающих курсов для персонала под руководством ИБ-специалистов и служб безопасности предприятия", - порекомендовал Михаил Смирнов из InfoWatch.
Специалисты из Group-IB перечислили ряд правил, которых нужно придерживаться предприятиям. В первую очередь, нужно осознавать серьезность киберугроз и понимать, как преступники атакуют. Помимо этого нужно использовать технологии Threat Intelligence и соблюдать правила цифровой гигиены. Кроме того, следует постоянно проводить комплексные аудиты состояния ИБ и контролировать надежность системы защиты. Также специалисты Group-IB советуют следить за тенденциями мира киберугроз и оперативно реагировать на них.
"Для обеспечения безопасности промышленным компаниям необходимо использование комплексных решений по защите инфраструктуры - системы обнаружения вторжения, антивирусы, межсетевые экраны и так далее. Кроме этого, необходима сегментация всех элементов сети, в том числе контроллеров, переключателей и датчиков", - рассказал Никита Дуров из Check Point Software Technologies.
Заместитель директора по развитию компании "Айдеко" Дмитрий Хомутов отметил, что от таргетированных атак на объекты, а также DDoS-атак можно защититься, только создавая и поддерживая глубоко эшелонированную оборону компьютерных сетей, а также изолируя критичную инфраструктуру от открытых сетей. "Межсетевые экраны нового поколения (NGFW), "песочницы", антивирусная защита рабочих станций, использование открытого ПО - вместо подверженной атакам Windows - могут существенно сократить векторы атак злоумышленников", - добавил Дмитрий Хомутов.
Задачей первостепенной важности Антон Шипулин из "Лаборатории Касперского" назвал анализ текущего состояния защищенности систем, разработки модели актуальных угроз и последующее внедрение решений кибербезопасности, ориентированных на промышленные и производственные организации и разработанные с учетом специфических промышленных активов. "Для укрепления защиты рекомендуется инвестировать в профессиональные сервисы кибербезопасности, включающие регулярные тренинги для повышения осведомленности рядовых сотрудников и развития экспертизы специалистов по безопасности. Также очень важно внедрять специализированные средства мониторинга промышленных сетей и обнаружения аномалий", - подытожил он.