На фоне всех громких утечек данных и атак ransomware на IT-системы в последние годы, угроза для критически важных операционных технологий (OT) все еще часто недооценивается. Однако атаки на технологические системы, связанные с физическим миром, — это самый быстрый способ добиться потенциально разрушительных физических последствий. Например, Украина уже сталкивалась с атаками BlackEnergy и Industroyer, которые успешно саботировали ее энергетическую инфраструктуру.
Первая атака привела к первому в истории отключению электроэнергии, вызванному кибератакой, в 2015 году, а вторая вызвала массовые отключения электричества у жителей Киева в следующем году. В 2022 году исследователи ESET совместно с CERT-UA сообщили об обнаружении новой версии Industroyer, которая планировалась для отключения электричества в одном из регионов Украины, но, к счастью, атака была вовремя предотвращена. Хотя такие инциденты случаются относительно редко, они подчеркивают, что ни одна организация, особенно работающая в сфере критической инфраструктуры, не может позволить себе игнорировать киберугрозы для OT.
IT плюс OT
В отличие от IT, которые предназначены для управления информационными системами и приложениями, OT включает программное и аппаратное обеспечение, используемое для управления системами физического мира. Оно обычно встречается на заводах и промышленных предприятиях, в АСУ ТП (SCADA) и программируемых логических контроллерах (ПЛК). Однако такие разнообразные секторы, как транспорт, коммунальные услуги и здравоохранение, также насыщены OT.
Проблемы с кибербезопасностью в мире OT начались всерьез, когда системы, которые когда-то были изолированы и создавались специально для определенных задач, были оснащены подключением к Интернету. Хотя это упростило удаленное управление, это также подвергло их угрозам со всего мира. В то же время старая уверенность в «безопасности через неясность» начала размываться, поскольку злоумышленники стали активнее исследовать OT-системы и находить в Интернете больше информации об их конфигурации и настройках. Им также помогает то, что Windows часто используется в SCADA и других OT-средах, как и более стандартизированные компоненты.
К сожалению, последствия таких атак могут быть серьезными, включая разрушение критической инфраструктуры и саботаж бизнес-процессов. По оценкам, в прошлом году произошло 68 кибератак, которые нарушили более 500 физических операций. Это на 16% больше, чем в предыдущем году. Согласно данным McKinsey, стоимость одного серьезного инцидента может достигать 140 миллионов долларов США. И это без учета потенциального регуляторного надзора в Великобритании (NIS Regulations) и ЕС (NIS2).
Угроза исходит как от киберпреступников, мотивированных финансово, так и от государств. Последние, скорее всего, выжидают геополитического обострения. Одна из таких кампаний, поддерживаемых китайским государством, обнаруженная в прошлом году, получила название Volt Typhoon. В рамках этой кампании злоумышленники смогли проникнуть в сети критической инфраструктуры с целью саботажа ключевых объектов в случае военного конфликта.
Почему безопасность OT так сложно обеспечить
OT-системы, как правило, имеют гораздо более длительный срок службы, чем IT-системы, что может вызывать проблемы совместимости и безопасности. Также верно, что кибербезопасность не всегда была приоритетом в отрасли. Один отчет, опубликованный в 2022 году, выявил 56 новых уязвимостей в OT-продуктах, а авторы отчета раскритиковали практики производителей «небезопасны по дизайну». Авторы отчета даже утверждали, что многие из обнаруженных ими проблем не получили официальных номеров CVE, что затрудняет владельцам активов проведение эффективных проверок управления рисками.
Внутренние OT-команды также думают о кибербезопасности иначе, чем их IT-коллеги. В то время как последние ориентированы на обеспечение конфиденциальности, то есть защиты данных и активов, первые приоритезируют доступность (accessibility) и безопасность. Это может создавать проблемы при управлении исправлениями и уязвимостями, если время безотказной работы ценится выше, чем усиление защиты открытых систем.
Среди других проблем безопасности OT можно выделить:
- Наличие устаревших, небезопасных протоколов связи
- Длительный срок службы оборудования, что может привести к проблемам совместимости программного обеспечения и заставить менеджеров использовать OT с устаревшими операционными системами/программным обеспечением
- Устаревшее оборудование, которое слишком старо для интеграции с современными средствами кибербезопасности
- Сертификаты безопасности, которые не учитывают серьезные дефекты, давая администраторам ложное чувство безопасности
- Проблемы «безопасности по дизайну», которые не сообщаются или не имеют номеров CVE, что позволяет им оставаться незамеченными
- Разделенные IT/OT-команды, создающие пробелы в видимости, защите и обнаружении
- Небезопасные пароли и неправильные конфигурации
- Слабая криптография
- Небезопасные обновления прошивки
Обеспечение безопасности OT: сборка компонентов
Ransomware по-прежнему остается одной из самых больших угроз для OT-систем, хотя кража/вымогательство данных, разрушительные атаки, угрозы цепочки поставок и даже вредоносное ПО, передаваемое через USB, также могут представлять риск для этих систем. Так как же снизить эти риски? Как всегда, правильный путь — это многоуровневая стратегия, ориентированная на людей, процессы и технологии.
Рассмотрите следующие шаги:
- Обнаружение и управление активами: Понимание всех OT-активов, их функций и статуса безопасности/установки исправлений.
- Непрерывное управление уязвимостями и исправлениями: Периодическое сканирование OT-активов на наличие уязвимостей и запуск автоматизированных программ управления исправлениями на основе оценки рисков. Рассмотрите виртуальное исправление в средах, где вывод систем в офлайн для тестирования и установки исправлений затруднен.
- Сегментация и изоляция сетей: Обеспечьте изоляцию OT-сети от корпоративной IT-сети и ее сегментацию для снижения возможностей бокового перемещения для злоумышленников.
- Управление идентификацией и доступом: Внедрите многофакторную аутентификацию, применяйте политики минимальных привилегий и управления доступом на основе ролей.
- Предотвращение угроз: Разверните решения безопасности для предотвращения и обнаружения вредоносного ПО и других угроз.
- Защита данных: Защищайте OT-данные в состоянии покоя и при передаче с помощью надежного шифрования и регулярно создавайте резервные копии для снижения влияния ransomware.
- Мониторинг цепочки поставок: Убедитесь, что все поставщики оборудования и программного обеспечения, вендоры и поставщики управляемых услуг (MSP) охвачены детальной программой обеспечения безопасности цепочки поставок.
- Безопасность, ориентированная на человека: Пересмотрите программы повышения осведомленности и обучения в области безопасности, чтобы создать культуру, ориентированную на безопасность.
Несколько лет назад Gartner предупреждал, что к 2025 году злоумышленники смогут использовать OT-среды в качестве оружия для причинения вреда или убийства людей. Поскольку ИИ упрощает хакерам выбор и компрометацию уязвимых целей, как никогда важно, чтобы владельцы IT удвоили усилия по обеспечению многоуровневой безопасности. Рекомендации, изложенные в этом руководящем документе, никогда не были более актуальными.