Информационная безопасность предприятия: защита от угроз

В современном мире информация становится всё более доступной. Однако у этого процесса есть и оборотная сторона. Предприятия добывающей промышленности, активно внедряющие механизмы цифровизации производства, в то же время становятся мишенью для кибератак и угроз. Как можно защитить информацию в цифровом мире?

Почему нужно защищать информацию на предприятии?

Активное внедрение технологии «Интернет вещей» и цифровизация производственных процессов в той или иной мере происходят во всех отраслях экономики. Но у предприятий добывающей промышленности здесь своя специфика. Долгое время отрасль не сталкивалась с киберугрозами, в отличие от той же банковской сферы.

Залогом информационной безопасности предприятий выступала их удалённость. Например, компьютерные системы на буровых станциях разрабатывались на основе теории «изолированной сети», в рамках которой подразумевалось, что сотни километров расстояния и физические барьеры создают естественную защиту от кибератаки.

Однако с переходом к Индустрии 4.0 эти подходы устарели. Так, промышленные системы управления у многих предприятий добывающей промышленности не учитывают, например, таких рисков, как возможность удалённого доступа и подключения к корпоративной сети, что создаёт уязвимости.

При этом приоритеты операционных систем в нефтедобывающей отрасли расставлены в пользу доступности, а не целостности и конфиденциальности данных, отмечают в своём исследовании эксперты «Делойт». Инженеры на производстве опасаются, что ужесточение информационной безопасности может привести к задержке при обработке данных в системах управления.

При этом, как правило, существуют жесткие требования по времени, нарушения которых негативно скажется на принятии решений. В этих условиях заминка может оказаться недопустимой. Но и чрезмерная открытость может привести к печальным последствиям.

«Переход к Индустрии 4.0 также требует трансформации, в том числе и в сфере кибербезопасности. Наивно полагать, что, используя современные технологии, можно остаться неуязвимым и защищённым к внешним кибератакам. Использование общих IT-протоколов, технологий привносит огромные риски, инфраструктуру становится сложнее контролировать. Фактически с ростом операционной эффективности у нас пропорционально растёт и уязвимость к кибератакам», — отметил системный инженер Fortinet Александр Румянцев, выступая на онлайн-конференции «DIGITAL MANUFACTURING Online Conf: на пути к Индустрии 4.0».

Важно понимать, что у предприятия появляются новые уязвимости. Одна из них — расширение поверхности атаки. По мнению специалистов «Делойт», раньше риски были ниже, в том числе потому, что связи между различными системами предприятий не были такими тесными, а значит, и информационная безопасность обеспечивалась децентрализованно. Однако цифровые месторождения, когда все процессы тесно связаны между собой в режиме реального времени, открывают хакерам новые направления для атаки.

«Сегодня периметр цифрового производства не так-то просто определить. Подключения к сети могут осуществляться удалённо как сотрудниками, так и внешними партнёрами. И именно пользователи становятся основной целью злоумышленников, так как они имеют доступ к бизнес-серверам и одновременно пользуются рабочим компьютером для бытовых задач. В этих условиях даже слабо подготовленное фишинговое письмо может дать эффект», — развивает мысль Александр Румянцев.

Как именно может навредить хакерская атака добывающему предприятию? Обычно злоумышленников интересует информация, содержащая коммерческую тайну. Это могут эксклюзивные технологии, например, способы обработки сырья или данные о потенциальных месторождениях.

Но помимо хищения информации, хакеры могут вызвать значительные финансовые потери, сбив настройки датчиков «цифрового месторождения» или изменив, даже незначительно, GPS-координаты вышки и данные об оптимальном размещении скважин.

SOC — решение для информационной безопасности

Как защитить себя от киберугроз? Первое, что приходит в голову, — ограничить возможности пользователей. Однако этот вариант, как мы уже видим, снижает эффективность компании. В мире «Интернета вещей» полностью избежать кибератак невозможно. Значит, надо искать методы защиты. 

Практически на каждом персональном компьютере сейчас установлен антивирус. Однако для защиты данных целой компании, которую целенаправленно атакуют хакеры, этого недостаточно. Выход — создание SOC (Security Operations Center, или центр обеспечения безопасности), который сочетает в себе технологии и команду экспертов.

Система начинает работать, когда появляется нарушитель, стремящийся получить доступ к информации. Он может быть как внешним, так и внутренним (то есть кто-то из сотрудников). Далее происходит оценка, и если «электронный мозг» сочтёт это событие подозрительным, информация будет передана аналитику центра, который решает, ложное это срабатывание или позитивное.

Периодически происходит дообучение модели — для того, чтобы искусственный интеллект в дальнейшем прекращал подобные атаки в автоматическом режиме. SOC может непрерывно сканировать сети на предмет уязвимостей, искать и анализировать вторжения, быстро реагировать на инциденты, формировать отчёты о состоянии безопасности.

Этот механизм подходит для защиты и небольшого ЦОДа, и облачной инфраструктуры, и гибридной среды, рассказал во время своего выступления на онлайн-конференции «DIGITAL MINING & METALLURGY Online Conf: Решения для интеллектуальной добычи и металлургии» руководитель по развитию продаж в отрасли промышленности Angara Technologies Group Всеволод Ивлеев.

Встаёт вопрос: создавать собственный SOC или использовать готовое решение, которых сейчас достаточно на рынке? Главная проблема, с которой столкнутся предприятия, решившие создать собственный SOC, — нехватка специалистов.

«Есть исследование IBM, что в России нехорошая ситуация со специалистами по информационной безопасности. В среднем пять тысяч специалистов, профилированных на информационную безопасность в год, выпускают вузы, а потребность растёт от года и сейчас она составляет где-то 20 тысяч специалистов», — приводит данные Всеволод Ивлеев.

Так что создание собственного центра кибербезопасности — это решение для крупных компаний, в том числе и потому, что требует серьёзных капитальных вложений. Это инвестиции в оборудование, программное обеспечение, создание целого подразделения, в котором должны работать квалифицированные специалисты, перечисляет Всеволод Ивлеев.

Зато собственник бизнеса ощущает себя в полной мере «хозяином» своих данных. Как раз с тем, что все данные будут находиться у операторов, и связаны главные опасения собственников бизнеса по поводу коммерческих SOC. Впрочем, есть решения, при которых всё программное обеспечение будет находиться в зоне клиента, а центр киберустойчивости будет получать только события от СОДа, анализировать и работать с ними по выделенному каналу.

Также возможен гибридный сценарий, когда у заказчика размещается часть компонентов, но основные мощности и аналитика — у исполнителя, который располагает профессиональными вычислительными мощностями.

Отдельная тема — использование облачных хранилищ. Современные облака предоставляют большие возможности, а их разработчики дают гарантии безопасности. Однако для собственников бизнеса может быть психологически некомфортно, что все вычисления происходят за пределами организации.

Ещё одна сложность для тех, кто желает создать собственный SOC, — предусмотреть грядущее масштабирование.  Для того чтобы центр кибербезопасности успешно рос вместе с компаний, необходимо продумать качественную архитектуру.

Впрочем, по мнению Всеволода Ивлеева, есть сценарии, когда и крупным компаниям проще и эффективнее обратиться к коммерческому SOC. Например, когда задачи по киберзащите нужно решить срочно.

«С того момента, как мы осознали, что стоит такая задача, выделили необходимые ресурсы и согласовали бюджет. До того, как SOC выходит на полную рабочую мощность, ориентировочно проходит 2–3 года в зависимости от размера бизнеса. Коммерческий SOC предоставляет защиту буквально в течение нескольких месяцев», — объясняет Всеволод Ивлеев.

Для тех, кто решил создать SOC на базе своего предприятия или заняться подобным бизнесом, нужно помнить, что эта сфера в России находится под контролем государства. Так, разработчикам промышленных антивирусов нужно получить сертификат Федеральной службы по техническому и экспортному контролю (ФСТЭК) для того, чтобы доказать соблюдение норм №142-ФЗ «О персональных данных». Также вопросами информационной безопасности занимаются ФСБ и НКЦКИ (национальной координационный центр по компьютерным инцидентам).  

При этом стоит понимать, что идеальной системы на сегодня не существует. SOC может минимизировать риски, но не даёт 100-процентной защиты. Об этом говорит и статистика, которую привел Всеволод Ивлеев, говоря о реакции на кибератаки.

«В 7% случаев собственники вообще не получали оповещение от систем безопасности. Ещё 44% оповещений не анализируется потому, чтобы качественно отработать все инциденты, нужна очень точная система мониторинга и достаточно квалифицированный штат персонала. Из тех, что были проанализированы, только в 46% были приняты меры, а в 54% нет. То есть даже используя в компании систему информационной безопасности, мы рискуем пропустить достаточно серьёзную атаку и предоставить доступ злоумышленникам в нашу операционную систему. При этом 28% оповещений связано с реальной угрозой», — рассказывает Всеволод Ивлеев.

Таким образом, тенденции последних лет говорят о том, что предприятия добывающей промышленности уделяют всё больше внимания вопросам информационной безопасности. Однако очевидно, что здесь предстоит ещё много работы. Для успеха важно, чтобы процессы цифровизации и совершенствования механизмов киберзащиты шли рука об руку.

Читайте также: «На пути к цифровой трансформации».