Процесс цифровизации производственных предприятий распространяется не только на ставшие традиционными объекты информационной инфраструктуры, но и на мир индустриального интернета вещей, сущности которого ранее были практически недостижимы для хакеров. Как предприятиям воспользоваться удобством современных подходов к управлению инфраструктурой и при этом не стать мишенью злоумышленников?
Введение
В процессе цифровой трансформации бизнеса промышленным предприятиям необходимо объединить в общую сеть разнообразные устройства и настроить обмен данными между ними для управления технологическими процессами. По сути, речь идёт о так называемом индустриальном интернете вещей (IIoT) в масштабах отдельно взятой компании. На следующем этапе технологические информационные системы тесно интегрируются с системами управления предприятием для глубокой автоматизации всех бизнес-процессов.
Далее начинается внедрение технологий (например, машинного обучения, анализа больших данных), позволяющих свести участие человека в анализе перед принятием решения к минимуму. С ростом цифровизации производства возникают не только новые возможности для бизнеса, но и новые риски. У злоумышленников появляются перспективы удалённого вмешательства не только в учётные системы, но и непосредственно в сам процесс производства.
Новые угрозы
Современные промышленные предприятия часто представляют собой распределённые территориально структуры, в которых производственные площадки могут находиться за сотни и тысячи километров от головного офиса. Помимо традиционных рисков для обеспечивающей нужды управления бизнесом ИТ-инфраструктуры возникает опасность утечки показателей технологических процессов.
Речь не обязательно идёт о промышленном шпионаже с использованием целевых атак: конфиденциальные данные могут попасть к инсайдеру из-за неправильной политики доступа персонала к ним. Особенно опасно, если в руках злоумышленников (а в итоге — и конкурентов) окажутся сведения о каких-то отклонениях или нарушениях: это не лучшим образом повлияет на стоимость акций предприятия или на его связи с коммерческими партнёрами.
Наибольшую опасность представляет непосредственное вмешательство злоумышленников в технологический процесс или связанные с отказами ИТ-систем аварии на производстве. Раньше автоматизированные системы управления технологическими процессами (АСУ ТП) и SCADA считались практически неуязвимыми благодаря их физической изолированности от остальной ИТ-инфраструктуры, но сейчас всё изменилось. Можно вспомнить атаку червя Stuxnet на иранскую ядерную программу или, к примеру, вмешательства хакеров в работу энергетических компаний, оставляющие без электроэнергии десятки тысяч потребителей по всему миру.
Быстрая цифровизация производства усугубляет эту проблему, поскольку предполагает не только увеличение зависимости от технологий IIoT, но и двунаправленный обмен данными между бизнес-системами и технологическими ИТ-решениями. Когда системы глубоко интегрированы, даже банальный троян-шифровальщик может нарушить производственный процесс.
Вне зависимости от преднамеренности отказы «умных» систем приводят к серьёзному ущербу. Технологический цикл не всегда можно корректно возобновить после аварийной остановки, иногда приходится списывать испорченные материалы и даже заниматься ремонтом вышедших из строя установок, терпеть убытки от длительного срока входа технологического процесса в новый устойчивый цикл.
В ряде случаев проблемы в ИТ способны вызвать серьёзную техногенную катастрофу с человеческими жертвами и ущербом для экосистемы — неслучайно многие решения из области промтехавтоматизации относятся к объектам критической информационной инфраструктуры (КИИ). Это даёт нам ещё одну разновидность риска, связанную с необходимостью защищать их в соответствии с требованиями российского законодательства.
Усугубляются и традиционные угрозы. Работающим на потребительских рынках предприятиям приходится защищать персональные данные клиентов в соответствии с требованиями законодательства и регуляторов. По мере роста уровня цифровизации делать это становится всё сложнее, а утечки информации приводят к огромным штрафам и высоким репутационным потерям. В качестве примера можно привести ставшую жертвой хакеров авиакомпанию British Airways. В результате успешной атаки в открытый доступ попали данные пассажиров, включая номера кредитных карт. В итоге крупный перевозчик был оштрафован на 20 миллионов фунтов стерлингов, что по нынешнему курсу составляет более 2 миллиардов рублей.
Старые проблемы
Может показаться, что с таким количеством угроз цифровизация производства не имеет смысла. Однако вопрос о её необходимости на повестке дня не стоит: слишком много конкурентных преимуществ от перехода на «цифру» получает предприятие, а потому работать «по старинке» уже невозможно.
Активное внедрение технологий индустриального интернета вещей и их сращивание с системами класса ERP — свершившийся факт. Стоит, скорее, подумать о методах защиты ИТ-инфраструктуры нового типа, в которой АСУ ТП и SCADA более не являются изолированными от внешних угроз сущностями.
Хуже всего то, что в производственных системах часто используются устаревшие и уже не поддерживаемые программные продукты, вроде Windows 98 / XP / NT. Стоит злоумышленникам проникнуть в сеть, и дальнейший взлом не составит труда. Специалисты по эксплуатации промышленных систем зачастую имеют узкоспециализированные и несколько неактуальные представления об информационной безопасности, а специальные решения для обнаружения и предотвращения вторжений — или даже исключения возможности таковых — на многих предприятиях не внедряются.
Управление инцидентами, аудит защищённости, тесты на проникновение — эти инструменты применяются только в офисной части, а производственная в смысле обеспечения информационной безопасности живёт ещё в прошлом веке. Зачастую эксплуатирующие её специалисты боятся менять пароли по умолчанию и своевременно устанавливать критические обновления ПО, дополнять систему новыми потенциальными точками отказа, пусть и помогающими избежать нежелательных последствий активности злоумышленников.
Всегда действовавший ранее девиз «работает — не трогай» был хорош в эпоху изоляции АСУ ТП и SCADA от дивного нового цифрового мира, но сейчас уже устарел.
Современные решения
Отчасти проблема может быть сглажена за счёт обновления решений в сфере промтехавтоматизации, производители которых в последние годы активно переходят на защищённые протоколы и надёжные методы шифрования, а также отказываются от устаревших технологий. Там, где это возможно, взаимодействие на границах сетей должно быть физически однонаправленным, а при отсутствии такой возможности необходимо использовать технологии VPN с мониторингом шлюзов и ограничивать соединения по конечным точкам получения данных.
Эти меры необходимы, но без реализации комплексной системы информационной безопасности на предприятии — совершенно недостаточны. На производстве придётся внедрять те же интегрированные решения, которые давно используются в офисе: системы обнаружения и предотвращения вторжений, поведенческий анализ, антивирусную защиту и прочее, прочее, прочее — разумеется, с поправкой на промышленную специфику вроде кратного дублирования и резервирования в режиме «горячей» замены. Стоит подумать и о традиционных системах контроля и управления доступом (СКУД): видеонаблюдении, охранной сигнализации, биометрической идентификации и тому подобных методах защиты.
Хорошая новость: многие крупные разработчики начали выпускать решения для промышленности. Плохая новость: сотрудники корпоративных департаментов ИБ разбираются в особенностях работы промышленных систем не лучше, чем инженеры по АСУ ТП и SCADA — в обеспечении информационной безопасности. Едва ли среднестатистическое предприятие сможет разорвать этот порочный круг своими силами, а потому привлечение экспертов со стороны видится нам вполне логичным шагом.
Выводы
Создание комплексной системы обеспечения безопасности в условиях цифровизации производства стоит начать с аудита. Изучение активов, история инцидентов, описание моделей угроз, тесты на проникновение, учения по ИБ, а в итоге оценка рисков, проект и внедрение — этот путь знает каждый профессиональный аудитор. Не стоит также забывать, что обеспечение информационной безопасности — это не «железо», программы, документы и люди, а непрерывный процесс, который никогда не прекращается. Только так современное производство может выжить в эпоху «цифры» и остаться высококонкурентным.
