- Кто и зачем атакует промышленные предприятия?

- Основной контингент атакующих большие промышленные предприятия субъектов можно разделить на две группы. Первая - киберкриминал, который мотивирован коммерчески: они извлекают выгоду за счет шифрования систем, компрометации, продажи доступа в инфраструктуру другим злоумышленникам. Вторая большая группа  - прогосударственные группировки, задача которых - атаковать или скомпрометировать промышленное предприятие или какую-то определенную структуру.

При этом первые больше ориентированы на некий оперативный конечный эффект, например, остановить систему и прекратить работу предприятия либо просто украсть критичную информацию.  А вторые, как правило, не нацелены на вывод из строя или остановку предприятия, их основная задача - получить доступ, максимально закрепиться и иметь возможность перехвата управления инфраструктурой в любой момент. Опасны, безусловно, и те и другие, но от действий криминальных группировок эффект виден сразу.

- Как часто случаются кибератаки на промышленные предприятия?

- У любого промышленного предприятия с точки зрения кибербезопасности есть два аспекта: коммерческая и производственная деятельность. Прошлый год был показателен для крупных промышленных концернов и холдингов. Недавно, к примеру, осуществили атаку на топливную компанию в США, до того пострадали крупнейшая логистическая компания Maersk и корпорация Honda.

Основной объем атак, о которых стало известно и которые послужили причиной остановки деятельности предприятий, - это все-таки атаки на бизнес-системы, а не на промышленные. Но атаки были такого масштаба и имели такой эффект, что, грубо говоря, остановив коммерческую деятельность (управление заявками, или систему управления логистикой, или платежную систему), предприятия были вынуждены останавливать и производственную деятельность.

Все потому, что с ростом уровня цифровизации предприятия производственная деятельность становится очень сильно зависима от коммерческих бизнес-систем.

- То есть производственные системы подвергаются атакам реже?

- Атак на производственные системы, АСУ ТП и системы на производственных площадках, по статистике, всегда меньше. Но тут есть важный момент: атаки непосредственно на производственные системы случаются реже, но импакт такой атаки будет тяжелее. Проще говоря, когда атакуют бизнес-систему, то предприятие может остановить производство, а может не остановить, но атака на производственную систему однозначно вынуждает предприятие останавливать работу.

Мы всегда говорим, что промышленное предприятие нужно защищать целиком. Часто бывает, что к нам обращаются с просьбой защитить, например, только АСУ ТП. Но мы отвечаем, что необходимо взглянуть и на бизнес-системы, потому что, если смотреть на статистику, то основные векторы атак на производственные системы "прилетают" именно из корпоративных систем.

Сегодня уже наконец-то научились защищать периметр, контролировать подключение к интернету, то есть атак из интернета напрямую в сторону производственных систем сейчас практически не бывает (ну или они очень-очень редки). Но бизнес-системы и производственные системы тесно связаны внутри сети, поэтому злоумышленнику относительно легко проскочить из одного сегмента в другой.  Именно поэтому мы сейчас приходим к комплексным системам киберзащиты, которые "смотрят" шире, на все сегменты сразу.

- Преступники сегодня активно зарабатывают на кибервымогательствах и требуют деньги не только за прекращение атак, но и за то, чтобы информация о взломе не стала публичной. И далеко не все крупные инциденты становятся известны. Есть ли сегодня какая-то реальная статистика по атакам на предприятия в России?

- В России большинство промышленных предприятий якорных отраслей (нефтяная, газовая, электроэнергетическая, металлургическая) подпадают под действие федерального закона 187-ФЗ "О безопасности критической информационной инфраструктуры". То есть информация о том, какие инциденты происходили и как обеспечивается защита, становится конфиденциальной.

Спасение подростков, помощь слепым и охрана картин: в компании "Открытый код" рассказали о своих проектах

Самарская IT-компания "Открытый код" выстраивает свой бизнес на инновациях. 20-летний опыт ее работы доказывает: практическое использование последних достижений науки и технологий может приносить реальный доход. Расспросили Дениса Козлова, руководителя департамента PHP-технологий компании "Отрытый код" - подразделения, которое непосредственно разрабатывает IT-решения для самых разных организаций, - над какими проектами работает компания и как они завязаны на науку. К разговору подключились и его коллеги.

Получить в публичном доступе достоверную статистическую информацию об инцидентах, хотя бы даже обезличенно, и как-то их классифицировать сегодня практически невозможно. Хотя этого и раньше, собственно, никто не делал. Чаще всего все такие истории остаются внутри пострадавшей компании - они расследуются, по ним делают выводы, что-то меняют, но на публику "грязное белье" не выносят.

В среднем атак становится больше, потому что появляется новый инструментарий, новые цифровые технологии, недостаточно обкатанные с точки зрения безопасности (машинное обучение, цифровые двойники, нейросети). Насколько это безопасно, никто не знает.

Инциденты в любом случае есть, и мы о них знаем, потому что наша команда PT Expert Security Center в числе прочего проводит расследования на промышленных предприятиях. Поэтому да, опираясь на свой опыт работ, мы можем отметить, что в целом инцидентов в промышленности становится больше.

- Государство заставляет 13 категорий промышленных предприятий в обязательном порядке устанавливать защиту. Насколько это оправданно? Руководству многих предприятий это не нравится.

- Государство обязывает защищаться - не потому, что предприятию это надо или не надо, а потому что это критическая инфраструктура с точки зрения безопасности страны. Как только этот закон появился, промышленные предприятия начали высказываться, что все это сложно, дорого, апеллировали к зарубежному опыту - мол, "там тоже есть критичная инфраструктура, но там нет таких сложностей, как у нас"...

Прошло два года - и что мы видим? По итогам атаки на топливную компанию США на уровне руководства страны анонсировано создание центра контроля за компьютерными атаками. Они законодательно начинают делать те же шаги, что в России начали делать ранее. В ряде других стран для того, чтобы обезопасить инфраструктуру, принимаются точно такие же решения.

В каких-то моментах Россия даже опередила другие страны, то есть задала тренды в сфере безопасности государства, промышленности, отдельных секторов. И проблематика, по большому счету, для всех одинакова. Буквально витает в воздухе. Да, кто-то начинает действовать позже, кто-то - раньше, но в целом сейчас это выглядит так, что Россия идет в верном направлении и даже немного опережает другие страны.

- Есть какие-то универсальные продукты для промышленной безопасности?

- Наша компания сейчас активно продвигает на рынке специализированные решения. Говоря коммерческими терминами, это штучный продукт: для каждого предприятия, для каждой инфраструктуры оно (решение) будет свое - будет иметь свою конфигурацию и свое назначение, нужное клиенту. Такие решения мы делаем на основных продуктах из нашей линейки. Не берем все продукты, а формируем основной пул, который применим именно для промышленности, именно для производственных систем.

В работе с промышленными предприятиями много нюансов, в том числе зависящих от отрасли. Например, решение для нефтегазовой отрасли будет сильно отличаться от решения для электроэнергетики.

Сегодня есть запросы из области медицины, ведь многие медицинские центры оснащены сложным оборудованием. Известны атаки на кардиологические и хирургические центры, когда останавливалась система поддержки жизнеобеспечения пациентов.

Есть запрос и из аэрокосмической отрасли, где очень много своей специфики, на которую необходимо обращать внимание при выстраивании защиты. Поэтому конфигурация комплексного решения всегда разная.

- На форуме PHDays компания Positive Technologies представила метапродукт и обещала, что это будет новым словом в вопросе информационной безопасности. Этот метапродукт как-то отличается от ваших комплексных решений?

- Метапродукт maxpatrol O2 призван максимально автоматизировать деятельность специалистов по информационной безопасности на предприятии. Если мы говорим о комплексных решениях, то, опять же, нужно понимать, в каком домене мы работаем - с производственными системами, с бизнес-системами, либо мы делаем большую историю и работаем комплексно.

В борьбе с пандемией самарские медики используют искусственный интеллект

Современная медицина - одна из самых благодатных сфер практического применения искусственного интеллекта (ИИ). Под ним обычно понимают совокупность алгоритмов и реализующих их компьютерных программ, которые способны, во-первых, воспроизводить некоторые (преимущественно рутинные) функции того или иного специалиста, а во-вторых, совершенствоваться (обучаться), используя информацию, получаемую в процессе выполнения этих функций. Таким образом, ИИ не заменяет врача, а расширяет его возможности за счет автоматического анализа больших объемов медицинских данных. Применение ИИ для диагностики и реабилитации - главное направление исследований Института инновационного развития Самарского государственного медицинского университета.

Решения для АСУ ТП, для корпоративной сети - на инфраструктуре, а метапродукт maxpatrol O2 - выше, он позволяет это все автоматизировать, это уже уровень принятия решений, причем по большей части в автоматическом режиме, система сама понимает, что делать и как должно быть. Соответственно, с ИБ-специалиста снимается большое количество нагрузки, и он уже спокойно может принимать какие-то решения, даже не имея при этом высокой квалификации.

- В каких отраслях уже работает ваша компания в промышленном секторе?

- Мы работаем со всеми якорными отраслями. В первую очередь это электроэнергетика и нефтегазовая отрасль, причем там все сильно сегментированы, и мы сотрудничаем со всеми сегментами. Занимаемся металлургической отраслью, транспортной инфраструктурой. Чуть в меньшей степени мы вовлечены в защиту машиностроения. Но фактически наши решения и подходы представлены во всех отраслях. В крупных отраслевых компаниях (например, в электроэнергетике) у нас уже построены Security Operation Centre, которые мониторят защищенность и производственных, и корпоративных систем.

- Компания подверглась атаке. Сколько времени и какие затраты ей необходимы, чтобы выйти из кризиса?

- Здесь все зависит от масштаба атаки. Мы участвовали в разборе инцидентов, которые не привели ни к каким видимым и ощутимым последствиям. Но сами эти инциденты говорили о том, что фактически ни ИБ-специалисты, ни те, кто управляет IT-инфраструктурой, не готовы к тому, чтобы такие угрозы отражать и с ними работать.

Для примера, в одной компании есть Security Operation Center, построенный на продуктах Positive Technologies, и когда наши инженеры проводили сервисные работы на наших продуктах, они увидели инцидент, который инженеры первой линии SOC почему-то не отработали. Когда мы предложили разобраться с этим инцидентом, выяснилось, что система управления технологическим оборудованием, точнее, сервера этой системы по какой-то причине самостоятельно стали устанавливать сетевое соединение с серверами силовой структуры другого государства.

Инцидент, конечно, был устранен, безопасность всех систем проверена и перепроверена. Ничего не произошло по факту, производственный процесс предприятия шел (и идет) своим чередом. Но как это произошло? И к чему могло бы привести? С этими вещами нужно разбираться. Таких историй очень много, и одним продуктом их не обнаружишь и тем более противодействия не обеспечишь, поэтому нужна комплексность и максимальная автоматизация.

- Вы сказали, что прошлый год стал показательным для отрасли. Почему? Это из-за удаленной работы?

- Да. Но если мы говорим о производственных системах - фишка в том, что 2020-й просто засветил уже имевшиеся проблемы. Удаленки раньше не было? На самом деле была: например, раньше персонал, который эксплуатировал и администрировал производственные системы, так или иначе сам себе делал удаленку для того, чтобы каждый раз не ездить на промплощадку, а удаленно что-то там конфигурировать.

В 2020-м году хакеры, зная об этом, просто начали это активнее использовать. Пользовались ли этим злоумышленники до 2020 года? Наверное, пользовались. Но в 2020-м году практически каждый первый киберпреступник понял, что может заработать, используя уязвимости удаленного доступа. И тут-то и началась история с шифровальщиками и со всем прочим.

Все и раньше понимали, что атаки - это плохо и так не должно быть, но когда все воочию увидели, к каким проблемам это ведет, осознали, насколько серьезным уроном чреваты атаки, и осознание необходимости защиты пришло само собой.