Для начала: что такое киберугроза? Это любое незаконное вредоносное проникновение в информационный периметр компании (и некорректные действия, и злонамеренные атаки), которые наносят предприятию значительный ущерб. Последствия остановки работы управляющей компании или линии производства, похищения конструкторской или тендерной документации — это прямые убытки.

Тем не менее, мало кто рассказывает о своей беде в открытую, поэтому о компьютерных инцидентах осведомлены только компании, подобные нашей, потому что нас зовут помочь устранить последствия и исправить ситуацию.

Защита информации на производстве имеет свою специфику и сложность. Во-первых, указанные предприятия — это, как правило, объекты КИИ (критической информационной инфраструктуры). Они зачастую являются градообразующими, их остановка может привести к социальному урону, экологической катастрофе, недополучению бюджетом страны налоговых отчислений, невыполнению обязательств по размещенным заказам. Во-вторых, это технологические объекты с дорогостоящим оборудованием, работающим в режиме 24/7. И в-третьих, это территориально распределенные организации с разным уровнем информатизации и автоматизации.

Самый главный принцип при разработке системы и методов киберзащиты на производстве — не навреди.

Есть два типа сетей: офисная сеть, где сотрудники работают за компьютерами, и промышленная сеть, где имеются инженерные станции, АРМы, SCADA, сеть программируемых логических контроллеров (ПЛК), системы управления агрегатами и механизмами (АСУ ТП). Если в бизнес-сегменте акцент сделан на обеспечении конфиденциальности, то в сетях АСУ ТП главное — доступность: необходимо, чтобы все работало без сбоев. Учитывая высокий уровень автоматизации производства и современное оснащение сетей предприятий серверами и сетевым оборудованием.

Производство должно работать безостановочно, следовательно, продукты киберзащиты не должны мешать и в то же время должны гарантированно защищать. Такая комплексная задача решается в производственных сетях, которые на порядок сложнее, чем офисные, и имеет ряд, скажем так, специфических проблем.

Информационные процессы на усредненном промышленном предприятии не являются определяющими, на первом месте всегда безотказная работа производственного оборудования. Заниматься ИБ можно только так, чтобы не навредить.

Отсюда проблема №1 — «ИБ на производстве надо поднимать, но крайне осторожно …» — проблема ограничения возможного контроля угроз ИБ в промышленной сети предприятия в силу особенностей эксплуатации технологического оборудования.

Иностранные разработчики производственных линий (механизмов, агрегатов, прокатных станов, станков) превалируют почти во всех типах современного производства. Оборудование стоит дорого и имеет сложную и закрытую цифровую «начинку». Находится, по возможности, на гарантийной и сервисной поддержке производителя.

Отсюда проблема № 2 — «Чтобы заниматься ИБ на производстве, надо понимать и в производстве!» — проблема планирования и реализации мероприятий ИБ на производстве, задействования квалифицированных кадров.

Такие работы обязательно должны выполняться специалистами, имеющими компетенции одновременно в сетевых технологиях, информационных системах, системах АСУ ТП, а также понимающих особенности подходов крупных производителей технологий к вопросам безопасности.

И, наконец, проблема № 3 (ограничим бесконечность списка) — невозможность рассмотрения мероприятий ИБ без учета мероприятий собственно промышленной безопасности (транспортной, энергетической и др., в зависимости от отрасли).

Последний упомянутый пункт может еще кому-то показаться спорным. Но объекты КИИ определяются именно по степени возможного ущерба для окружающей среды и социума (кто сомневается, может перечитать упомянутый выше Федеральный закон №187-ФЗ и приказы Федеральной службы по техническому и экспортному контролю, ФСТЭК России). Поэтому без учета влияния угроз ИБ на поведение систем промышленной безопасности средств противоаварийной защиты (ПАЗ), систем взрывопожаробезопасности, и, конечно, человеческого фактора (в том числе и систем охраны труда), всерьез рассматривать эффективность мероприятий ИБ в сегодняшнем цифровом мире смартфонов и повсеместного интернета уже неправильно.

Поэтому проект ИБ в промышленном сегменте — это на самом деле наведение порядка, чтобы «не взрывалось и не ломалось». Хотя не надо под зонтик ИБ тянуть вообще все.

Создавая систему защиты, мы руководствуемся в первую очередь принципом «не навреди». Ну и, конечно, принципом разумной достаточности. Большинство производителей технологического оборудования не закладывают в свои решения возможность дополнительной установки того же антивируса. А с учетом высокого уровня автоматизации производства при современном уровне оснащения сетей АСУ ТП серверами и сетевым оборудованием, промышленный антивирус там нужен в первую очередь.

Производство должно работать безостановочно. Это абсолютная аксиома для энергетики, металлургии и добывающей отрасли, поэтому продукты киберзащиты должны ничем не помешать и в то же время гарантированно защитить. Эта комплексная задача решается в производственных сетях на порядок сложнее, чем в офисных.

Если уж мы упомянули антивирусную защиту, то расскажу про наше сотрудничество с «Лабораторией Касперского». Для промышленных сетей и построения систем защиты АСУ ТП «Лаборатория Касперского» предлагает два основных продукта из программной платформы Kaspersky Industrial CyberSecurity (KICS): KICS for Nodes (защита промышленных конечных узлов) и KICS for Networks (обнаружение аномалий и атак в промышленной сети).

KICS for Nodes — это специальное ПО для защиты узлов с широкими возможностями по отслеживанию и предотвращению несанкционированного доступа к узлам и сети. Он «понимает» особенности работы промышленных протоколов.

KICS for Networks — это система обнаружения вторжений, которая выявляет потенциально враждебные действия в промышленной сети. Это обучаемая платформа (отметим особенно слово «обучаемый»), которая строит карту сети и определяет все разрешенные и запрещенные операции в сети. Таким образом, обнаруживаются либо кибератаки, либо некорректное обслуживание промышленных агрегатов.

Вот такое целостное современное решение. Сотрудники Центра промышленной безопасности НИП «Информзащита» умеют эти продукты внедрять, потому что в нашей команде работают специалисты со знаниями «три в одном» — АСУ ТП, ИТ, кибербезопасность.

Отличает промышленный антивирус от обычного, прежде всего, совместимость с промышленной сетью и возможность проводить установку, удаление, обновление антивирусных баз без перезагрузки. Компьютер с управляющей программной АСУ ТП серьезного агрегата должен работать месяцами, а иногда и годами без остановок и перезагрузок, в первоначальной конфигурации. Промышленный антивирус «понимает» не только стандартные сетевые протоколы, но и то, чем «обмениваются» между собой оборудование и системы.

Перечни хакерских атак опубликованы в аналитических материалах специализированных российских и зарубежных компаний. Мы сейчас об этом говорить не будем — да, хакеров стало еще больше. Но интереснее другое — появился новый тренд: хакеры в 2018-2019 гг. обратили свое внимание на промышленные компании. Почему? Очень просто: «Стратегия синего океана» и развитие технологий интернета вещей. Стоимость взлома меньше и безопаснее, чем для банка. И если дойти до подмены транзакций, то можно затеряться в субподрядных юридических лицах (особенно, если это строительство крупных промышленных объектов), и направить часть денежных средств в свой адрес. При этом «ломать» надо не управляющую компанию, которая, как правило, защищена и технологически, и организационно, а какую-нибудь IP-камеру на заводе или стройплощадке, что повышает вероятность не быть пойманным до 99%. Вот такие новые метаморфозы киберпреступлений.

Цифровое предприятие — это автоматизированное и роботизированное предприятие, где большинство процессов выполняются без участия человека. Там мало сотрудников и много компьютеризированного оборудования. Таких предприятий уже и сейчас много, точнее, на почти каждом успешном предприятии есть хотя бы один цех или участок похожий на вышеописанную картинку. Для примера, найдите людей на территории завода на современном автомобилестроительном или пивоваренном предприятии. Нет никого — только в зоне разгрузки/погрузки. Потому что специалисты либо находятся вблизи оборудования — контролируют процесс (в сборочном цеху, конечно, могут что-то и прикручивать), либо находятся в операторских за стеклом и перед пультами.

Маленький нюанс: там стоят закупленные производственные линии иностранного производства. И дальше все те проблемы ИБ, о которых мы уже говорили ранее.

С другой стороны, в России есть предприятия, на которых ручной труд очень мало автоматизирован — на ум приходят литейное производство одного регионального завода, механосборочный цех столичного завода — там белых халатов нет и, наверное, не скоро они там могут появиться.

Но и те, и другие предприятия имеют свои угрозы информационной безопасности. Только эти угрозы сильно отличаются и по масштабам возможного ущерба, и по компенсирующим мероприятиям.