На страже революции 4.0

Бизнес

Несколько лет назад, на «Ганноверской промышленной выставке-ярмарке», впервые прозвучал термин Industrie 4.0. Такое название, с намеком на очередную, четвертую промышленную революцию, получила новая промышленная стратегия.  Ее суть сводится к компьютеризации производства через применение кибер-физических систем, связанных друг с другом через «интернет вещей». С одной стороны, эта стратегия позволяет значительно повысить эффективность производства, а с другой — несет новые потенциальные опасности, грозящие промышленным компаниям немалыми убытками. Именно поэтому «Лаборатория Касперского» разработала новое решение для обеспечения промышленной кибербезопасности — Kaspersky Industrial CyberSecurity.

В данный момент, 24 компании из топ-30 по рейтингу Fortune Global 500, строят свое производство на базе автоматизированных систем управления технологическими процессами. По оценкам экономистов, сейчас размер рынка АСУ ТП составляет порядка 60 миллиардов долларов в год. И, разумеется, такое широкое применение данных технологий не могло остаться незамеченным киберпреступностью — ведь затраты на кибер-проникновение несоизмеримо меньше, а потенциальный ущерб может быть причинён гораздо больший, чем в случае физической атаки. По данным отчета американской организации ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) за 2014 год произошло 238 киберинцидентов с АСУ ТП, из которых 8 привели к ущербу, превышающему 1 миллион долларов. И это только задокументированные инциденты — большинство компаний предпочитают скрывать такие случаи, равно как и масштабы убытков.

Иными словами, уже давно никто не спорит о необходимости защиты автоматизированных систем управления технологическими процессами. Рынок безопасности промышленных систем молодой, но очень быстро развивающийся. В данный момент его размер оценивают в 2,2 миллиарда долларов, но его рост составляет 13% ежегодно. А если Industrie 4.0 и дальше будет продвигаться столь же стремительно как сейчас, то и рост рыка решений по безопасности промышленных систем в ближайшие годы неизбежно вырастет.

«Лаборатория Касперского» занялась разработкой решения для промышленной кибербезопасности не внезапно. Во-первых, у нас есть понимание проблемы и собственные взгляды на ее решение. Во-вторых, мы уже достаточно давно работаем в Enterprise-секторе и защищаем, в том числе, и системы, задействованные в промышленных технологических процессах. Ну и в-третьих, необходимость создания такого решения неоспорима.

Дело в том, что серьезные бизнесмены все чаще стали относиться серьезно к рискам возникновения киберинцидентов. Если еще два года назад они ставили кибер-риски на 18 место по степени опасности для бизнеса, то сейчас эти риски находятся на пятом месте. Страшнее них воспринимаются только такие форс-мажорные обстоятельства, как потери ключевых поставщиков, природные катастрофы, изменения в законодательствах и пожары.

Угрозы промышленным системам

От чего же мы планируем защищать промышленные системы? Наши эксперты видят три основные опасности:

Непредумышленное заражение промышленной сети

Теоретически, промышленные информационные сети не должны быть связаны с офисными, и уж точно не должны иметь прямой выход в интернет. Однако, как показывает практика, далеко не все сотрудники понимают важность такой изоляции. Иногда люди, не желая причинить вред намеренно, вставляют в промышленные компьютеры зараженные сменные накопители или подключаются к интернету, чтобы обновить какую-нибудь программу на сервере. В результате, вредоносное ПО проникает в промышленную сеть.

Мошеннические действия сотрудников

Нередки случаи, в ходе которых люди, профессионально разбирающиеся в промышленных системах, пытаются использовать свои знания чтобы обмануть своего работодателя. Например, перенастраивают датчики таким образом, чтобы при переливе нефтепродуктов из цистерны, на дне оставались несколько десятков неучтенных литров. Такая деятельность может обернуться серьезным ущербом для бизнеса.

Кибервойна

Ну и наконец, целенаправленные действия, цель которых — причинение ущерба. Причин может быть множество, начиная от конкурентной борьбы и заканчивая банальным вымогательством. Например, не так давно некоему хакеру удалось залезть в сеть Корейской атомной станции, после чего он начал вымогать деньги через Twitter.

main

Наше решение проблемы

По сути, промышленные системы состоят из трех компонентов:

  • контроллеров;
  • индустриальных сетей;
  • промышленных эндпоинтов (например, SCADA-компьютеров).

И для того, чтобы считать свою промышленную систему надежной, необходимо защищать их все. Если какой-то из элементов защищен недостаточно хорошо, то опытные злоумышленники могут найти слабое звено и проэксплуатировать его.

Наше решение способно защищать все три. Kaspersky Industrial CyberSecurity позволяет анализировать не только события, связанные исключительно с информационными системами (подключения новых устройств, возникновение подозрительных соединений между различными элементами SCADA-систем), но и информацию на уровне технологического процесса. Например, отслеживать подачу нелогичных и несвоевременных команд на контроллеры. Или отличать штатные команды, от потенциально опасных (например, выявить приказ промышленному контроллеру заземлить ножи электростанции). Иными словами, производит полный мониторинг технологического техпроцесса.

Kaspersky Industrial CyberSecurity — это не просто переориентирование уже существующих продуктов «Лаборатории Касперского» под нужды промышленных систем. Часть решения действительно представляет собой обновленный вариант продуктов для защиты серверов (в частности, SCADA), но эта часть составляет всего 30% решения. Система защиты промышленных контроллеров и монитор индустриальной сети были сделаны с нуля.

В рамках разработки этого решения, у нас была создана команда экспертов по промышленному внедрению, которая может адаптировать решения под конкретного заказчика, проанализировать риски его конкретной инфраструктуры и помочь с внедрением.

Помимо этого, в рамках Kaspersky Industrial CyberSecurity мы предлагаем несколько тренингов, которые служат для обучения персонала заказчика тому, как реагировать на угрозы, какие типы угроз бывают и что следует делать для минимизации рисков. Среди этих тренингов: основы промышленной безопасности; атаки социальной инженерии в промышленных сетях, а также уже известная многим специалистом игра Kaspersky Industrial Protection Simulation, учащая отражать кибератаки и обеспечивать непрерывную работу предприятия.

Преимущества нашего подхода

Может возникнуть закономерный вопрос — а чем ваш подход лучше? Действительно, некоторые производители промышленного оборудования разрабатывают собственные системы безопасности, и достаточно эффективные. Однако такие компании делают упор на физическую и функциональную безопасность, но у них недостаточно опыта в сфере кибербезопасности. Кроме того, не так уж часто все технологические системы предприятия используют оборудование, выпущенное одним производителем, а между собой эти системы чаще всего не совместимы. В то время как Kaspersky Industrial CyberSecurity позволяет анализировать всю технологическую сеть как единое целое.

Однако важнее всего тот факт, что наше решение не требует внесения изменений в технологический процесс. Kaspersky Industrial CyberSecurity работает в пассивном режиме. Кроме того, она может быть быстро развернута на уже работающем предприятии и незамедлительно начать анализ происходящего в сети.

Прежде чем представить решение мы провели несколько пилотных внедрений, причем не только в России. Показателен пример пилотирования проекта в компании «Танеко»: за первый месяц эксплуатации наша система выявила попытку доступа к их промышленной сети с внешнего устройства, и две попытки изменения уровня датчиков.

В данный момент решение продолжает успешно защищать наших клиентов, участвовавших в пилотной программе. Дополнительную информацию о решении и о нашем подходе, можно найти на данной странице.