Кибербезопасность в нефтегазовой отрасли: путь к надежной защите

ТЭК – стратегически важный сектор экономики, безопасность которого является национальным приоритетом. Но возможно ли обеспечить защиту КИИ в короткий срок с помощью российских решений? На примере нефтегазовой отрасли разбирались с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ Axoft, с обратной стороной цифровизации, а также выяснили, чем может навредить «забытая флешка» и почему миграция на отечественное ПО происходит так медленно. А Станислав Навсегда, руководитель отдела сетевой безопасности и аудита Axoft, показал, как может выглядеть атака злоумышленников и продемонстрировал работу ИБ-систем. 

Нефтегазовая отрасль, как и промышленный сектор в целом, продолжает оставаться крупной мишенью для киберпреступников. Об этом говорят свежие отчеты Positive Technologies – количество атак выросло на 53% на предприятия за второй квартал 2022 года. По статистике Kaspersky ICS CERT, доля атакованных компьютеров АСУ ТП за первое полугодие практически не изменилось по сравнению с прошлым годом. Однако отмечается что в нефтегазовом сегменте количество заблокированного вредоносного ПО увеличилось на 5.9 пунктов. Хотя тренд в отрасли имел позитивную динамику с 2020 года и развивался по нисходящей экспоненте.

Еще 10 лет назад вероятность серьезного инцидента на крупном объекте из-за кибератак была низкой, так как компании только начинали использовать возможности автоматизации и чаще всего изолировали сегменты промышленной сети от корпоративной. Но сейчас ТЭК находится на неплохом уровне цифровой зрелости, которую оценили в 2.5 балла из 5 возможных аналитики SAP, Deloitte и iR&D Club в 2021 году, и процесс внедрения передовых ИТ-решений в технологические процессы продолжается.

Рынок нефтедобычи – достаточно высококонкурентный, поэтому здесь технологии Индустрии 4.0 начали применять одними из первых. Цифровые двойники месторождений, IoT, цифровое бурение, аналитика массивов Big Data, предиктивные модели – все это позволяет снизить издержки на разведку, добычу, переработку и повысить эффективность. Но, с другой стороны, создает практически невозможные условия для изоляции корпоративных и промышленных сетей, что делает объекты уязвимыми. Последствия атак могут носить масштабный и техногенный характер: от задержек поставок, снижения добычи до влияния на жизни, здоровье людей и окружающую среду.

С точки зрения зрелости крупных компаний нефтегазовой отрасли – они все в достаточной мере уже давно имеют высокий уровень киберзащиты, выстроенные ИБ-процессы, управления рисками непрерывностью бизнеса. Но даже такую «броню» может сломать одна «забытая флешка». 

Здесь может быть два вектора развития атаки:

• Безответственный сотрудник 
  Мы часто сталкиваемся с возражениями, что промышленный сегмент изолирован, есть «воздушный зазор», люди тщательно досматриваются. Но реальная ситуация такова: сотрудники все равно проносят 4G-модемы, флешки с фильмами. Включают в АРМ оператора АСУ ТП с Windows XP, на котором нет защиты, так как ИБ-инструменты влияют на быстродействие и работу операционной системы. В итоге получают атаку целевую или случайную.
• «Вирус со стороны»
  Атака изолированного сегмента промышленной сети происходит и через подрядчика, который, к примеру, приносит внешний носитель с обновлениями ПО.  Уровень ИБ-зрелости самого поставщика может быть низким, его не составит труда взломать, затем он принесет зараженную флешку и использует на АРМ операторе с Windows XP. 

Один из нашумевших случаев атаки через цепочку поставок случился с разработчиком SolarWinds в 2020 году. Злоумышленники получили доступ к системе сборки и добавили «закладку» в один из DLL-файлов, который затем был распространен среди клиентов через платформу автоматического обновления. «Закладка» подключалась к серверу управления и контроля, так хакеры получали доступ к зараженному компьютеру.

Или другой пример «человеческого фактора» – вирус Stuxnet, который нанес серьезный урон иранской ядерной программе в 2010. Используя уязвимости операционной системы, Stuxnet поразил более 1000 центрифуг на заводе и сорвал сроки запуска АЭС. Хотя заказчика так и не нашли, но исполнителем стал нерадивый сотрудник, который вставил инфицированный флэш-накопитель в рабочую станцию. Ущерб был колоссален.

Разберем на примере, как происходит атака и какими инструментами ее можно блокировать.

Злоумышленник получает доступ к ноутбуку работника сервисной компании и устанавливает вредоносное ПО. При попадании на территорию промышленной площадки оно активируется. Если у оборудования есть доступ в интернет для служебных целей, то программа может обеспечить доступ злоумышленнику в реальном времени. Далее запускается сканирование сети. 

Решение кейса подробно приведено на видео при помощи KICS for Network и PT ISIM. Демонстрация сценария приведена на старой версии KICS 3.1, последняя версия решения 4.0 демонстрирует гораздо больше возможностей.

Защита АСУ ТП – многогранный вопрос, к которому нужно подходить с разных сторон. Основная формула: технологии + процессы + люди. Если говорить об инструментах, то здесь должен быть комплекс грамотно подобранных решений – от защиты на рабочих станциях, периметра, шифрование каналов до сетевых сенсоров для контроля горизонтального трафика промышленной сети и внедрения ZTNA (сетевой доступ с нулевым доверием).

Кроме того, необходимо постоянно расширять процесс управления информационной безопасностью и добавлять активы, связанные с АСУ ТП.  Но главный элемент в этой цепочке – люди, которые могут нивелировать всю работу ИБ-специалиста. Поэтому важно формировать культуру киберосознанности у сотрудников, проводить «учения» и периодически тестировать.

• Защита на рабочих станциях (уровень SCADA)
  «Лаборатория Касперского» (KICS for Nodes), InfoWatch ARMA (Industrial Endpoint), PT EDR
• Защита и сегментация периметра
  UserGate, InfoWatch ARMA (Industrial Firewall), «ИнфоТеКС» (xFirewall 5)
• Сетевые сенсоры для контроля горизонтального трафика промышленной сети
  «Лаборатория Касперского» (KICS for Nodes), Positive Technologies ISIM, InfoWatch ARMA (Industrial Firewall)
• Шифрование каналов (между SCADA и PLC, между PLС и датчиками, между удаленными объектами)
  «ИнфоТеКС» (Coordinator IG + SIES), InfoWatch ARMA
• Внедрение ZTNA
  «ИнфоТеКС», «Код Безопасности», UserGate
• Реагирование
  Kaspersky Managed Detection and Response (MDR), Group-IB
• Повышение осведомленности персонала и периодическое тестирование персонала
  Kaspersky ASAP, Phishman
• MaxPatrol SIEM для промышленности
  Собирает и анализирует журналы с конечных узлов в сетях АСУ ТП, выявляет инциденты информационной безопасности
• PT Sandbox для промышленности
  Обнаруживает целевые и массовые атаки с применением современного вредоносного ПО, нацеленное на компоненты АСУ ТП

Февральские события и уход иностранных поставщиков обострили ситуацию для российских компаний, о чем свидетельствуют исследования выше. Вопрос с обеспечением кибербезопасности и срочной миграции на отечественные решения стал неизбежным. Дополнительным катализатором послужил также указ №250 о дополнительных мерах защиты критической инфраструктуры и переходе на российские ИБ-системы к 2025 году. 

По данным «Цифровой индустриальной платформы», уровень импортозамещения в нефтегазовой отрасли оценивается в 30%. Многие эксперты отмечают, что процесс миграции может занять 3-5 лет в лучшем случае.

Почему так долго? 

• Процессы. Вертикально-интегрированные нефтяные компании имеют достаточно сложную структуру, в которую может входит до 100 дочерних зависимых обществ (ДЗО). И если, например, корпоративный центр или штаб-квартира рекомендует к внедрению определенное решение, то ДЗО исполняет в рамках собственного бюджета. На практике это значит, что замена иностранных средств ИБ может начаться и продолжаться несколько лет.
• Целесообразность. В бизнесе любая инвестиция должна быть оправданной: принести доход или оптимизировать расходы. Если в начале года, например, ИБ-подразделение потратило бюджет на лицензии ПО сроком на три года, то потратить такую же сумму еще раз, но в рамках замены на российское, с точки зрения бизнеса, нецелесообразно. Поэтому в этом случае компании ищут компромисс, особенно, если ПО продолжает работать.
• Неготовность российских технологий. По некоторым классам решений нет отечественных аналогов, например, в направлении DevSecOps в части защиты контейнеров, анализа open source, а также управления мобильными устройствами (MDM). А что есть - требует доработки как с точки зрения технологий, так и сервисов, включая продажи, внедрения и техническую поддержку. 
• Кадры. На рынке острый дефицит специалистов, которые разбираются в технологических процессах, АСУ ТП, следят за современными трендами цифровизации. Даже крупные компании не всегда могут позволить себе укомплектовать штат такими профессионалами.