промышленная кибербезопасность
Среднее ежегодное количество киберинцидентов на промышленных предприятиях за последние несколько лет значительно выросло. Наши коллеги провели опрос сотрудников таких предприятий из 17 стран, в ходе которого задавали вопросы о происходивших инцидентах и об отношении компаний к киберрискам. В результате удалось выявить семь факторов, которые значительно смягчают ущерб от инцидентов.
Наличие специализированного отдела ОТ-безопасности
Команды, занимающиеся безопасностью операционных технологий (OT), есть на подавляющем большинстве предприятий. Вот только часто вместо того, чтобы создавать и финансировать отдел ОТ-безопасности, эту работу поручают специалистам, занимающимся информационной безопасностью, или даже просто ИТ-отделам. А они далеко не всегда достаточно понимают специфику функционирования операционных технологий, чтобы обеспечить им необходимую защиту. Для минимизации рисков и последствий инцидентов предприятию нужна хорошо обеспеченная ресурсами и соответствующим образом квалифицированная команда безопасности OT.
Четко выстроенный процесс принятия решений, касающихся информационной и ОТ-безопасности
Часто проблемы на промышленном предприятии возникают из-за управленческих ошибок: руководство процессами защиты разделено между никак не связанными друг с другом отделами, в результате компании закупают дублирующие друг друга защитные решения, прозрачность происходящего в сетях обеспечивается не на 100%, собираемые в компании данные используются неэффективно, а внедрение новых проектов затягивается из-за запутанных согласований. Не говоря уже о том, что ОТ- и ИБ-отделы начинают конкурировать за бюджеты.
Наличие стратегии управления устаревшей инфраструктурой
АСУ ТП часто построены на базе оборудования, которое создавалось, когда люди еще не имели даже приблизительного представления, к какому уровню цифровизации придет современная промышленность. Поэтому необходимо крайне осторожно выстраивать систему управления массивом устаревших промышленных сетей, программируемыми логическими контроллерами, системами диспетчерского управления и сбора данных (SCADA) и другими элементами ОТ. Они все должны быть инвентаризированы, а безопасникам следует регулярно сканировать такое оборудование на предмет критических уязвимостей или неисправностей, появившихся в результате износа.
Внедрение защитных решений, разработанных специально для промышленных сред
Обеспечить безопасность АСУ ТП с помощью стандартных ИБ-решений невозможно. Они эффективно справятся с кибератаками, случайно выбравшими своей целью именно промышленное предприятие, но не выявят специфических для АСУ ТП угроз. Более того, иногда работа такого ПО может негативно сказаться на непрерывности технологических процессов на предприятии. Чтобы избежать этого, необходимы решения, разработанные с учетом специфики промышленных сред.
Наличие стратегии конвергенции ОТ и ИТ с учетом IIoT
Усиливающаяся цифровизация процессов предполагает увеличение уровня интеграции между ОТ- и ИТ-средами. Ключевые элементы этой интеграции: использование устройств промышленного Интернета вещей (IIoT), публичных облачных сервисов и IIoT-шлюзов. Все эти элементы часто становятся уязвимостью, через которую злоумышленники атакуют промышленные системы. Остановить процесс такой интеграции нереально, поэтому необходимо как можно скорее продумать план безопасной интеграции операционных и информационных технологий.
Быстрое реагирование на инциденты
Так или иначе, вряд ли получится полностью избежать инцидентов. Когда они случаются, крайне важно, чтобы проблема была обнаружена и устранена как можно быстрее. Чем быстрее угроза выявлена и исправлена, тем меньше это будет стоить компании и в финансовом, и в репутационном смысле. Поэтому промышленным предприятиям особенно важно иметь четко выстроенный регламент реагирования на инциденты.
Своевременное обучение персонала
Последнее — обучение сотрудников компании нормам безопасности и четкое отслеживание соблюдения внутренних регламентов. За подавляющим количеством инцидентов так или иначе стоит человеческий фактор: кто-то использовал скомпрометированный личный пароль, кто-то подключил телефон к компьютеру за воздушным зазором, кто-то зашел на посторонний сайт. Люди должны четко понимать, что можно и чего нельзя делать на промышленном предприятии, а особенно на объекте критической инфраструктуры.
Подробнее о том, как мы пришли к этим выводам, читайте в полной версии исследования промышленной кибербезопасности 7 Keys To Improving OT Security Outcomes: Kaspersky ICS Security Survey 2022.
Советы