Вне зависимости от специализации, крупные промышленные корпорации составляют важнейшую инфраструктуру для глобальной экономики. Как следствие, их активы становятся привлекательными объектами для кибер-преступлений. В 2018 году около 60% организаций [1] столкнулись с нарушениями в своих системах промышленного контроля (ICS) или сбора данных (SCADA).

По мере возрастания осведомленности об угрозе, многие топ-менеджеры уделяют все больше внимания кибер-безопасности. Ведущие компании переосмысливают модели управления, ориентируясь на внедрение инновационных стартапов. Большинство из них основаны на оценке риска посредством идентификации критически важных резервов и надлежащих мер контроля.

Трансформация кибер-безопасности

Одна из крупнейших нефтегазовых компаний сталкивалась с частыми кибер-атаками, во время проведения цифровых преобразований на всех структурных уровнях. За 18 месяцев ей удалось защитить свои активы и повысить общую устойчивость информационных технологий. Преобразование коснулось 30 000 сотрудников на 450 площадках [1], которые ежедневно решали проблемы безопасности.

Поскольку корпорация оцифровывала многие бизнес-операции, включая критические контроллеры, огромные объемы данных подвергались потенциальным манипуляциям, что могло привести к катастрофическим авариям. В итоге компания сосредоточилась на 3 важных моментах:

  1. Определение приоритетов. Всесторонне сопоставив бизнес-активы, топ-менеджеры указали на наиболее важные из них: от автоматических датчиков уровня в резервуарах на нефтяных вышках до данных о состоянии здоровья сотрудников и кредитных картах клиентов.
  2. Быстрое наращивание потенциала. Чтобы заниматься разрозненными операциями, предприятие создало интегрированную систему кибер-безопасности под руководством главного специалиста по комплаенсу. Компания также адаптировала стандарты промышленной безопасности для нефтегазовой отрасли и ее регионального контекста. Для контроля и реагирования на угрозы был создан центр безопасности и разработана программа предотвращения потери данных во избежание утечек конфиденциальной информации.
  3. Комплексная трансформация кибер-безопасности. Компания предложила 3-х летнюю программу внедрения с приоритетными инициативами, сметным бюджетом и новыми цифровыми системами, с принципами безопасного кодирования.

В настоящее время организация кибер-безопасности данной компании ориентирована на ежедневное повышение собственной устойчивости, что помогает ей удерживать высокие позиции в национальном рейтинге.

Эволюция ландшафта угроз

Электроэнергетические, горнодобывающие и нефтегазовые компании подвержены уникальным проблемам безопасности, которые менее распространены в иных экономических отраслях. Одна из них связана с диджитал-преобразованиями, другие относятся к разработке характерных параметров продукции, технологической среде и степени подверженности риску со стороны третьих лиц.

Упущения цифровых преобразований

Разрабатывая экономический базис диджитал-трансформации, руководители компаний часто упускают из виду стоимость управления рисками. Безопасность редко выступает центральным элементом изменений, уступая место продукции. Такой подход  увеличивает стоимость оцифровки в связи с проведением обзоров инструментов безопасности в последнюю минуту.

Кроме того, возможности безопасности, которые связаны с технологическими системами, по своей природе менее эффективны, чем их аналоги, встроенные в общую стратегию. Подобное отношение может отрицательно сказаться на удобстве использования продукта, вызывая трения между разработчиками и пользователями интерфейса. Напряженная атмосфера приводит к тому, что сотрудники стараются обойти установленные меры безопасности, при первом удобном случае.

Обширный географический след, характерный для тяжёлой промышленности, может стать препятствием для эффективной системы кибер-безопасности ввиду ограниченных возможностей защитить ключевые активы. Централизованное управление обеспечивает контроль общих систем, но не дает представления о состоянии дел в отдельных бизнес-единицах или процессах, с привлечением третьих лиц. Примерами основных технологических средств являются:

  • информационные технологии: сетевые диаграммы, системные журналы и каталог доступа к сети
  • операционные технологии: программируемые логические контроллеры, протоколы SCADA и сведения о конфигурации системы
  • управление активами: документы по внутренней стратегии, коммуникация между менеджерами и советом директоров, личная информация клиентов и сотрудников.

Дело в том, что специалист по информационной безопасности (CISO) может устанавливать политику и разрабатывать стандарты, но часто не несет ответственности за внедрение норм в текущие операции. В то же время многие подразделения компании не назначают отдельного сотрудника, отвечающего за развертывание и поддержание средств контроля безопасности технологической среды.

Проблемы защиты эксплуатационных технологий

Большинство усилий по обеспечению безопасности в указанном контексте включают сетевые элементы управления, такие как брандмауэры, которые позволяют использовать технологические данные для анализа, но препятствуют поступлению посторонних сигналов. Такие средства контроля неэффективны против атак вирусных программ на съемных устройствах.

Кроме того, многие традиционные инструменты безопасности могут повредить чувствительные устройства, которые управляют оборудованием предприятия. Даже простое сканирование на наличие уязвимостей чревато серьезными сбоями в процессе. Обновление инструментов безопасности для устранения ошибок представляет еще один операционный риск, поскольку лишь немногие сайты имеют репрезентативные системы резервного копирования для тестирования изменений.

Помимо технологического измерения, существует человеческий фактор, так как многие отрасли сталкиваются с нехваткой знаний и навыков относительно кибер-безопасности. Отчет о глобальной рабочей силе прогнозирует, что к 2022 году разрыв между квалифицированными IT-специалистами и вакантными должностями увеличится до 1,8 млн [1]. Опыт в области кибер-безопасности трудно приобрести, что делает его особенно ценным для компании.

Подверженность стороннему риску

Полагаясь на третью сторону в обслуживании технологических компонентов, руководители приобретают своеобразный «черный ящик», поскольку не имеют представления о специфике продукта. Привлечение сторонних специалистов связано с получением физического доступа к корпоративным сетям. Корпорации сообщают о подключении третьими лицами ноутбуков и съемных устройств хранения данных непосредственно к внутренней сети компании без каких-либо предварительных проверок кибер-безопасности, несмотря на очевидную опасность заражения.

Контракты сторонних поставщиков часто не включают пункт о кибер-безопасности, что не позволяет компаниям применять стандарты безопасности без пересмотра условий договоров. В некоторых случаях, даже если функции безопасности включены по умолчанию или без каких-либо дополнительных затрат, покупатель не использует их.

Новые решения

Для слаженного управления рисками безопасности, во время цифровых преобразований, компании должны встраивать соответствующие стандарты уже на раннем этапе процесса, инвестируя в обучение разработчиков и мониторинг. Одним из методов служит создание интегрированного операционного центра безопасности, с подробными протоколами эскалации и планами реагирования на инциденты атак. В качестве примера можно привести компанию Shell [1], которая работает с провайдерами IT-сетей и некоторыми производителями технического оборудования над созданием унифицированного решения по управлению безопасностью.

В качестве второй линии обороны могут выступать команды, управляющие информационными рисками (IRM) на стратегическом и операционном уровнях [1]. Некоторые компании определили функции внутреннего аудита в качестве независимой третьей линии защиты. К инновационным техническим решениям обеспечения безопасности относят:

  • Брандмауэры ограничивают способность злоумышленников перемещаться по сети и блокируют выявленные угрозы.
  • Унифицированная идентификация и управление доступом. Эти инструменты позволяют компании централизованно добавлять, изменять и удалять доступ пользователей к системам и устройствам компании. Такая особенность позволяет отслеживать источники атак.
  • Инвентаризация активов. Подобные средства идентифицируют уязвимости в определенных устройствах, исходя из их версии и производителя. В дополнение к приложениям безопасности, данные инструменты могут оптимизировать эффективность и выявить неисправности в подключенных гаджетах.
  • Приманки. Относительно новые средства создают ложные цели и учетные данные, как отдельных пользователей, так и целых систем, включая SCADA.

В заключении стоит отметить, что ни расходы, ни соответствие нормативным требованиям не являются надежными показателями устойчивости цифровых технологий. Используя выше приведенные инструменты, компании могут обеспечить стабильность при последовательном подходе к проведению кибер-трансформации и снизить риски до приемлемых уровней.

Список источников:

1.     https://www.mckinsey.com/business-functions/risk/our-insights/critical-infrastructure-companies-and-the-global-cybersecurity-threat

Читайте также: