От каких киберугроз могут пострадать промышленные предприятия
В 2024 году 25% организаций во всем мире фиксировали атаки, которые управлялись непосредственно людьми (APT). Подобные инциденты составили почти половину (43%) событий высокой критичности, что на 74% больше показателя 2023 года. Помимо финансового вреда кибератаки могут нанести физический ущерб бизнесу и даже привести к аварийным ситуациям - особенно это касается крупных промышленных предприятий. О том, как защитить их, рассказывает руководитель группы по сопровождению проектов защиты промышленных инфраструктур "Лаборатории Касперского" Андрей Бондюгин.
Ожидаете ли вы рост числа атак на промышленные компании в этом году по сравнению с прошлым?
Андрей Бондюгин: Взрывного роста не ждем - ситуация стабилизировалась. Два года наблюдается плато по числу атак. Однако ландшафт угроз усложняется: появляются новые векторы, старые совершенствуются. Особенно актуальна угроза со стороны вирусов-вымогателей, которые все чаще используются против промышленных предприятий. Кроме того, активны целевые атаки - когда злоумышленники тщательно подбирают инструменты под конкретные предприятия. Ситуация осложняется тем, что подобные атаки трудно выявить стандартными средствами вроде антивирусов.
Раньше атаки часто строились на человеческом факторе и фишинге. Это все еще актуально?
Андрей Бондюгин: Да, фишинг и другие техники социальной инженерии по-прежнему одни из основных инструментов злоумышленников на начальной стадии атак. Но сейчас появляются и совершенно новые инструменты реализации атак, одним из популярных векторов является использование искусственного интеллекта. С одной стороны, ИИ сам может стать объектом атаки - например, через манипуляцию данными. С другой - может использоваться самими злоумышленниками для подготовки и проведения атак. Нейросети уже сейчас широко используются программистами - и ничего не мешает злоумышленникам делать то же самое для создания вредоносного ПО. Также ИИ помогает адаптировать поведение вредоносного ПО под конкретную инфраструктуру, подстраиваться под защиту в реальном времени, что делает атаки сложнее для обнаружения.
Какие отрасли промышленности наиболее уязвимы перед киберугрозами?
Андрей Бондюгин: По нашей статистике, чаще всего атакуют электроэнергетику, строительство, нефтегаз. Инженерные системы и системы "умного дома" тоже часто становятся целью злоумышленников.
В результате успешных атак компании прежде всего несут финансовые потери. Любая остановка производственного процесса дорого обходится, а последствия кибератак - не минутный сбой, а длительная пауза в работе предприятия. Бывают и техногенные риски, когда поломки ведут к аварийным ситуациям или даже травмам. Такие случаи редки, но их нельзя исключать.
Еще одна сложность - восстановление. В офисной сети оно происходит проще, а вот, скажем, если вирус повредил карьерный самосвал - потребуется особая экспертиза, так как для его работы используются редкие технологии и элементы инфраструктуры, усложняющие процесс восстановления после атак.
Недавно вы проводили исследование "ИБ по правилам" и выяснили, что в промышленности степень выполнения требований законодательства соблюдают хуже, чем в госсекторе и финансах. Как это исправить?
Андрей Бондюгин: Финансовый сектор исторически в авангарде, потому что с него начали спрашивать раньше. Промышленность же долгое время не была интересна злоумышленникам, и требования к ней появились позже. Плюс ее ИТ-ландшафт сложнее: системы автоматизации работают по 20 лет, обновлять их сложно, и внедрение средств защиты требует особого подхода, чтобы избежать нарушения технологических процессов. Это не офис, где можно быстро все перестроить.
Количество внедренных механизмов киберзащиты в промышленности ниже, чем в других сферах
Чтобы выровнять ситуацию, важно использовать адаптированные технологии - у крупных вендоров есть специализированные решения для промышленности. Например, у нас есть комплекс продуктов, разработанных специально для промышленных инфраструктур. Они минимизируют влияние на процессы и позволяют эффективнее реагировать на угрозы. Второй момент - законодательство должно учитывать отраслевые особенности.
Мы также предлагаем услуги, позволяющие оценить уровень защищенности и ИТ, и промышленных систем. Наши эксперты работают как "белые хакеры", моделируют действия злоумышленников и проверяют, какие способы проникновения в инфраструктуру они могут использовать.
Для промышленных систем есть отдельные инструменты оценки - они учитывают специфику таких объектов. Также мы обучаем персонал: проводим тренинги по актуальным угрозам, исследованию инцидентов. Человеческий фактор, к сожалению, остается слабым звеном, и обучение - важнейшая мера кибербезопасности.
Есть ли новые законодательные инициативы по ИБ, особенно для промышленности? Насколько они эффективны?
Андрей Бондюгин: Одно из главных недавних нововведений - постановление правительства РФ № 1912 о переходе значимых объектов критической информационной инфраструктуры на доверенные программно-аппаратные комплексы (ПАК). С 1 сентября 2024 года компании должны были начать переход, а завершить его - к 1 января 2030 года. Это значит, что системы, на которых держатся ключевые бизнес-процессы, должны быть переведены на отечественные решения в соответствии с указанным постановлением. Это серьезный вызов: объем модернизации огромен, а от производителей требуется создать продукты, которые хотя бы не уступают зарубежным.
Успешная кибератака может привести к масштабным авариям и финансовому ущербу
Угрозы сейчас серьезные, и бизнес это понимает. В целом законодательство в РФ развитое, и регуляторы за последние годы сделали большой шаг вперед. Наши исследования показывают: требования отражают современные риски, хотя порой и трудно выполнимы. Однако осведомленность - первый шаг к успеху. С этой целью наша компания создала Регуляторный хаб - бесплатную базу знаний, в которой любая компания может видеть требования регуляторов к конкретному бизнесу и получить рекомендации по их выполнению.
Но есть и проблемы. Например, отраслей много, а требования к ним пока едины. Это затрудняет реализацию нормативов по ИБ: предприятия не всегда понимают, как применять общие нормы к своей специфике.
В исследовании говорилось, что треть компаний считает выполнение требований слишком ресурсоемким. Что именно имеется в виду под ресурсами - только деньги?
Андрей Бондюгин: Деньги - лишь часть. Еще одна большая проблема - нехватка квалифицированных кадров. Вузы наращивают подготовку специалистов, но дефицит сохраняется. Кроме того, не все компании - корпорации.
Для малого и среднего бизнеса затраты на выполнение всех требований действительно высоки. В таких случаях хорошим решением может быть аутсорсинг ИБ. Например, сервисы с круглосуточным мониторингом инфраструктуры, как у нас, - это дешевле и быстрее, чем строить все самостоятельно.