С начала 2021 года число атак на промышленность увеличилось и держится на стабильно высоком уровне. Интерес злоумышленников не утихнет и в ближайшем будущем. Предприятия это понимают, поэтому уже сейчас все активнее работают над обеспечением практической безопасности своих активов.

Раньше редко можно было прочитать в СМИ о том, что промышленная компания остановила производство в результате кибератаки. На это было две причины: во-первых, компании скрывали такие инциденты, а во-вторых, они зачастую не могли определить, что стало истинной причиной сбоя — кибератака или другие факторы. Сегодня регулярно появляется информация о взломах крупнейших энергетических и производственных компаний по всему миру. И как правило, причина известна: это целенаправленные атаки с использованием шифровальщиков. Такие атаки сложно скрыть, а определить их источник очень просто: преступники сами сообщают о взломе и требуют выкуп.

Благодаря этому стала очевидной крайне низкая защищенность компаний от внешних угроз, а также неготовность своевременно выявить и остановить злоумышленника. Можно только предположить, сколько шпионских кампаний остаются невыявленными и не предаются огласке. Вероятно, что преступники продолжат атаковать промышленные предприятия и будут ориентироваться на как можно более крупные организации, в то же время предпочитая придерживаться наименьших затрат на взлом или на покупку готового доступа в инфраструктуру.

«Стоит ожидать, что мы услышим о множестве утечек и об остановке производств и в 2021 году. Скорее всего, повысится и размер выкупов, сегодня в отдельных случаях он уже составляет десятки миллионов долларов, но увеличение числа жертв, готовых платить, лишь стимулирует преступников. Будут появляться и новые группы атакующих, они продолжат кооперироваться и зарабатывать на уязвимости промышленных организаций», — рассказал руководитель практики промышленной безопасности Positive Technologies Дмитрий Даренский во время своего выступления на пресс-конференции «Кибербезопансость 2020-2021: тенденции и прогнозы».

Он также отметил, что виден четкий тренд на то, что сами предприятия и владельцы инфраструктур разделяют историю с комплаенсом, соответствием требованиям регуляторов по защите критичных инфраструктур, и вопросы реальной, практической безопасности. То есть они действительно начинают думать о том, и как по бумагам чтобы все было хорошо и регулятор не штрафовал за какие-то проблемы, и чтобы реально повышать уровень защищенности в самых критичных сегментах.

 

Поэтому в 2021 году развитие получат следующие тренды.

1. Risk-oriented threat modeling. Применение практик риск-ориентированного моделирования угроз кибербезопасности промышленных объектов. Станет заметен переход от классических вероятностных методов моделирования киберугроз отдельных индустриальных систем к методам, рассматривающим киберугрозы как один из факторов операционных и бизнес-рисков компаний в целом.

«То есть предприятия начинают задумываться, как им защититься от событий, инцидентов, которые действительно могут остановить производство, которые действительно могут привести к каким-то аварийным ситуациям, простою. И здесь прям явный запрос. И мы даже по разговорам с нашими партнерами видим, что в этом году они будут в это вкладываться, как технологически, так и с точки зрения методологии, реализации проектов, построения систем безопасности», — отметил Дмитрий Даренский.

2. SCADA data-driven anomaly detection and response. Развитие технологий обнаружения аномалий и атак на инфраструктуру индустриальных систем за счет анализа прикладных данных SCADA-систем. Развитие подобных технологий особенно будет заметно в системах таких классов, как NTA/NDR, EDR, SIEM.

«Сейчас уже все понимают, что смотреть просто на инфраструктуру и строить так называемые киберзаборы вокруг предприятия — это уже часто не помогает и нужно использовать то, как работает система, отслеживать ее поведение и уже там выявлять какие-то аномалии с точки зрения ИБ», — пояснил эксперт.

3. Security management processes automation. Расширение автоматизации процессов управления кибербезопасностью, особенно в части обнаружения и реагирования на инциденты кибербезопасности.

«На больших промышленных предприятиях очень большой экспертный и кадровый голод с точки зрения ИБ. И учитывая тренд на рост количества атак и их сложность, людей и экспертизы на предприятии просто нет, чтобы адекватно с этим бороться. Поэтому есть запрос из разных областей на то, чтобы максимально автоматизировать процессы и обеспечения безопасности, и управления безопасностью», — сказал Дмитрий Даренский.

4. Digital twins. Cyber polygons. В целях изучения уязвимостей промышленных систем и моделирования атак на них активно развивается моделирование виртуальных копий (цифровых двойников) промышленных систем. Этот подход получит развитие и в рамках создания киберполигонов, на которых можно безопасно проверить возможность реализации бизнес-рисков и проанализировать потенциальные способы проведения атак.

Цифровые двойники — это технологии, которые позволяют создать полностью цифровой дубль завода или предприятия любого объема, включая даже визуализацию. То есть можно провалиться, походить по дорожкам или внутри цеха, посмотреть какие-то вентили, рубильники. Но в то же время эта модель содержит полностью все данные о текущих технологических процессах, о том, что происходило, как вели себя системы управления или какой-то технологический агрегат. И это все работает в цифре где-то в облаке на каких-то серверах.

«Цифровые двойники — очень полезная и перспективная история с точки зрения информационной безопасности. Коллеги говорили про полигоны, киберучения, а почему полигоны удобны и выгодны? На них можно обкатывать то, что на реальном предприятии, на реальном заводе никто такие сценарии тестировать, опробовать не станет, потому что это может привести к повреждению оборудования. И уже тем более предприятие само не будет создавать дубль какого-то своего завода в «железе» для того, чтобы протестировать какой-то вектор атаки, понять, как работать с уязвимостями, как защищаться. И вот создание цифровых двойников для полигонов, таких как The Standoff и аналогичных, это как раз технология, которая активно развивается», — пояснил Дмитрий Даренский.

По его словам, технология цифровых двойников у крупных вендоров и производителей появилась для продажи лет 5 назад. В Россию они пришли не так давно, но тем не менее на крупнейших отраслевых компаниях эти вендоры такие технологии уже обкатали, и кто-то кто из них уже их использует (не в полном объеме, а для какого-то производственного участка или отдельного предприятия, филиала).

«И использовать эту технологию для обкатки решений по кибербезопасности — это прям логичный ход, и он, скорее всего, может стать уже для таких предприятий не таким затратным», — заключил эксперт.

 

Вместе с тем, если вы хотите узнать еще больше о промышленной кибербезопасности, обсудить с коллегами наболевшие вопросы и поделиться опытом — обязательно примите участие в Форуме «Кибербезопасность — наши дни. Промышленные технологии». Мероприятие состоится 17-19 февраля 2021 года в ДЦ «Юбилейный» под Магнитогорском. Регистрация уже открыта. Будем ждать вас на Урале!

30 января, 2021