У новинах ми регулярно бачимо повідомлення про злам промислових підприємств. У середньому протягом останніх двох років 8–10% усіх успішних атак було спрямовано цей сектор. Постійна активність вірусів-вимагачів, які блокують технологічні процеси (наприклад, в Азії саме промислові підприємства стали головними жертвами шифрувальників), і велика кількість витоків даних створюють враження, що зловмисники намацали слабку ланку серед галузей і на виробництвах ще не всі усвідомили важливість кібербезпеки. Чи так це?
Міф No 1: На промислових підприємствах кібербезпека не потрібна нікому, крім самих спеціалістів з ІБ.
На наш досвід, сьогодні на виробництвах різні підрозділи (далеко не тільки відділи ІБ) зацікавлені у відстеженні подій безпеки у своїй інфраструктурі. Така ситуація спостерігається вже не перший рік на різних підприємствах. Причина дуже проста: кібератака може стати причиною аварії чи зупинки виробництва.
У 2022 році кібератака на три іранські сталеливарні заводи призвела до порушення технологічних процесів, причому на одному підприємстві атакуючим, ймовірно, вдалося обрушити ківш з рідким чавуном і викликати пожежу в цеху. Про спосіб проникнення хакерів на ці заводи не повідомляється, але в подібних випадках нерідко використовуються типові вектори - вразливість та соціальна інженерія, зробити які більше безпечними допоможе Cybersecurity Consulting. Наприклад, влітку 2023 системи найбільшого ізраїльського нафтопереробного заводу BAZAN зламали, використовуючи вразливість в міжмережевому екрані Check Point. Серед кіберинцидентів варто відзначити і диверсію щодо Венесуели, яка призвела до проблем з електропостачанням у столиці та 20 штатах.
Процитуємо керівника управління АСУ ТП одного енергетичного холдингу:
Мої інженери повинні контролювати цілісність АСУ ТП, виявляти небезпечні події та аномалії у мережі... Будь-яку подію безпеки ми розглядаємо як критичну.
Міф No2: Осушники «відганяють палицями» фахівців з ІБ від своїх систем і нікуди не пускають.
На окремих підприємствах фахівці з експлуатації систем промислової автоматизації самі приходять у службу ІБ та «підглядають» у засоби захисту. Щоправда, лише ті, які грамотно налаштовані та ефективно працюють. Справа в тому, що спеціалісти служб експлуатації виробничих систем далеко не на всіх підприємствах мають власні інструменти, що дозволяють стежити за тим, що відбувається у технологічній IT-інфраструктурі. Традиційно системи промислової автоматизації будувалися не для того, щоби за ними спостерігали. Вбудовані в них засоби моніторингу та захисту мають вкрай обмежену функціональність. Від АСУ ТП були потрібні головним чином такі характеристики, як стійкість до відмов, надійність і необхідний склад функціональних можливостей.
Міф No 3: Найнадійніша система – ізольована. АСУ ТП достатньо захищати від атак із корпоративної мережі та інтернету.
Зазвичай на індустріальних підприємствах засоби захисту — SIEM, міжмережні екрани та багато іншого ставлять лише в корпоративному сегменті. Технологічна мережа при цьому залишається у сліпій зоні з точки зору моніторингу безпеки. Тому фахівці виробництва та служб безпеки просто не бачать, що відбувається всередині цієї мережі з погляду ІБ. Зокрема, вони не можуть виявити небезпечні дії внутрішніх зловмисників, які мають легітимний доступ до систем управління, тоді як, на наш досвід, значної шкоди нерідко завдають інсайдерів. Це може бути і саботаж, і розкрадання продукції, і нелегітимне використання обчислювальних ресурсів і крадіжка чутливої виробничої інформації.
