Промышленность под угрозой: что не так с кибербезопасностью производственных предприятий
Вечирний
ведущий системный инженер Varonis
Производственный сектор, по данным IBM, входит в ТОП-5 самых "популярных" у хакеров отраслей. Это не случайно: средняя величина ущерба от утечки данных в этом секторе составляет $ 4,99 млн, а на локализацию последствий взлома информационной системы предприятия требуется около 220 дней.
Привлекает киберпреступников и недостаточная защищенность промышленных предприятий. По уровню зрелости систем и процессов информационной безопасности промышленность заметно уступает такому сегменту экономики, как финансы, – адекватную реакцию угрозам может противопоставить только половина компаний производственного сектора. Да, в числе представителей отрасли есть предприятия, которые внедрили современные ИБ-политики и процедуры. Но другая половина игроков предотвращает угрозы фрагментарно и недостаточно активно.
Тайна в свободном доступе
Уже в первый день работы в компании новый сотрудник получает доступ к более чем 6 миллионам (!) файлов, хранящихся в инфраструктуре компании. Это – около 1/5 от общего объема корпоративной информации. Для крупных предприятий (более 1500 сотрудников) это число удваивается: здесь в распоряжении сотрудников оказывается уже более чем 12 млн файлов.
При этом в каждом десятом файле содержится конфиденциальная информация: объекты интеллектуальной собственности, данные о сотрудниках (в том числе относящиеся к категории персональных), коммерческая тайна (информация о цепочках поставок или производстве). В открытом доступе часто оказывается производственная и маркетинговая информация.
В среднем в инфраструктурах промышленных предприятий открытыми для всех сотрудников остаются около 18% файлов и папок. И 10% от общего объема этих данных относятся к категории конфиденциальных.
О том, какие из промышленных предприятий наиболее уязвимы для атак киберпреступников, дает представление оценка рисков в пересчете на терабайт данных.
В среднем на 1 Тбайт данных приходится около 1,3 млн файлов данных. Данные аудитов, которые проводились специалистами Varonis, показывают, что на каждый терабайт данных в инфраструктуре предприятия приходится около 20 тыс. общедоступных папок с файлами. Примерно те же показатели наблюдаются в организациях финансового сектора, которые традиционно относятся к наиболее защищенным. Более того, гораздо хуже, к примеру, ситуация в компаниях, работающих в области здравоохранения. Проблема состоит в том, аудит доступа к отдельным папкам и устранение выявленных нарушений вручную требует огромного количества времени. На выполнение этих операций могут уйти годы.
Число конфиденциальных файлов с открытым для всех пользователей доступом тоже примерно соответствует статистике, наблюдаемой в финансовых учреждениях. Их в среднем насчитывается около 1700. Но это – "средняя температура по больнице". У малых (до 500 сотрудников) и средних (от 500 до 1500 человек в штате) компаний число открытых конфиденциальных файлов на 1 Тбайт существенно выше. Именно эти предприятия относятся к числу наиболее уязвимых в промышленном секторе.
Как организовать доступ к файлам
Совместная работа в компаниях – норма сегодняшнего дня, которая особенно актуальна стала во время пандемии коронавируса и массового перевода сотрудников на удаленный режим работы. Но одновременно она – еще и источник угроз.
Дело в том, что многие предприятия относят свои массивы данных к глобальным зонам доступа, шаблонно открывая папки для "всех" пользователей, "пользователей домена" или "авторизованных пользователей". В такой ситуации преступникам достаточно подобрать ключи к учетной записи всего лишь одного пользователя. Доступ ко всему массиву информации будет у него в руках, и он получит возможность копировать данные, обмениваться ими с сообщниками, удалять данные или изменять незащищенную информацию, делая ее недостоверной или непригодной для использования.
Поэтому обязательной мерой защиты от проникновения киберпреступников внутрь защищенного периметра должна стать разработка политик доступа на основе привилегий, которые учитывают реальные потребности в информации для каждого отдельного сотрудника.
Устаревшие конфиденциальные данные
Значительно расширяет размер "бреши" в защите данных хранение устаревших конфиденциальных данных, то есть тех, которые уже не требуются компании для текущей деятельности. Это явление очень часто наблюдается в инфраструктурах производственных предприятий.
Да, устаревшие конфиденциальные данные необходимо хранить и для того, чтобы выполнить нормы законодательства, и для возможного их использования в будущем. Но подход к их хранению должен быть особенным.
Результаты аудитов систем безопасности промышленных предприятий, которые проводит компания Varonis, показывают, что устаревшими являются до 78% (!) конфиденциальных файлов. Находится в "оперативных" массивах данных такие файлы не должны.
Для того, чтобы избавить "оперативные" хранилища от устаревшей конфиденциальной информации предприятию необходимо провести аудит данных, отобрать устаревшие файлы и, либо удалить их, если необходимость в них больше не возникнет, либо заархивировать.
Такая мера позволит значительно сузить поле деятельности для злоумышленников – ведь компрометация даже устаревшей конфиденциальной информации может принести предприятию серьезные потери.
Пароли
Не только вновь принятые на работу сотрудники получают в первый день своей работы доступ к множеству файлов. Его сохраняют и те, кто уже уволился из организации. Часто подключение к массивам информации сохраняется для множества неактивных пользовательских учетных записей. И это – еще один источник угроз.
Присутствие в Active Directory предприятия таких "фантомов" дает злоумышленникам возможность без спешки и не скрываясь (ведь активность хакера будет незаметна) подобрать их пароли путем перебора и получить доступ к данным предприятия. Еще большая угроза может возникнуть в случае, если неактивная учетная запись имеет права администратора или привилегированного пользователя, которому доступны все категории данных. Тогда может стать бесполезной и разработанная компанией политика доступа на основе привилегий.
Статистика показывает, что масштаб этих угроз весьма велик. 56% компаний имеют более 500 учетных записей с бессрочными паролями, еще 44% сохраняют в своей инфраструктуре "фантомных" пользователей.
Регулярная смена паролей и выключение учетной записи одновременно с прекращением производственных отношений с сотрудником должны быть обязательными.
Устранение всех перечисленных рисков не относятся к числу сложных технологических задач. Это, скорее – нормы цифровой гигиены, которую должна соблюдать любая организация. Но, к сожалению, пренебрегают ими сплошь и рядом. Ведь возможный ущерб становится явным только тогда, когда преступники уже обозначили жертве сумму выкупа, выставили ее данные на продажу или скомпрометировали их любым другим способом.
Обеспечить безопасность данных должны организационные меры в области информационной безопасности и регулярное проведение аудита инфраструктуры. Именно ими необходимо дополнять специализированные программные решения, как бы сложны и совершенны они ни были.