Киберэксперт Даренский рассказал о главных проблемах защиты от хакеров на заводах России
100% «Газета.Ru» В 2022 году российская промышленность столкнулась с хакерскими атаками, которые потенциально могли привести к техногенным катастрофам. Например, хактивисты пытались выключать электросети в моногородах, от которых питаются не только заводы, но и дома обычных граждан, больницы и магазины. Об этом и других кибервызовах прошлого года — в интервью руководителя практики промышленной кибербезопасности Positive Technologies Дмитрия Даренского «Газете.Ru».
– Что входит в зону компетенций специалистов по промышленной информационной безопасности, которой вы занимаетесь?
– Это промышленность в самом широком смысле. Список очень большой: легкая и тяжелая промышленность, транспортная отрасль и ЖКХ, и даже «умная медицина». Мы, к примеру, занимаемся защитой предприятий в энергетике, металлургии, добывающих и перерабатывающих нефть и газ компаний, машиностроительных предприятий и не только.
– В чем особенность этих предприятий с точки зрения кибербезопасности?
– Промышленные предприятия существуют десятилетиями, и у них очень своеобразные жизненные циклы развития.
Главная их особенность – это планомерное и небыстрое развитие ИТ-инфраструктуры в целом, и такое же небыстрое решение проблем безопасности.
В последние годы темп постепенно повышается. В основном это произошло благодаря законодательным инициативам государства, в частности Федеральной службы по техническому и экспортному контролю (ФСТЭК). Она регулирует безопасность критической инфраструктуры страны, которую промышленные предприятия и составляют.
Тем не менее, это не моментальный процесс. Некоторые проекты по повышению защищенности компаний длятся по три-четыре года.
– Насколько предприятия были готовы к массовым атакам, которые «посыпались» на них в 2022 году?
– В большинстве случаев компании готовились к защите от известных угроз и типовых атак. Часто принцип действий бывает такой: если вчера что-то плохое случилось у соседа, сегодня нужно подумать, как завтра от этого плохого защититься мне. Фактически сначала где-то происходит инцидент, и только потом в компаниях начинают думать, как его не допустить у себя. Получается, что проактивным поиском угроз и реализацией мер защиты на предприятиях не занимаются.
2022 год обозначил угрозы, с которыми никто раньше не сталкивался и не готовился от них защищаться.
Поэтому предприятия начали менять подходы к своей защите буквально на ходу. Даже терминология начала меняться: за 2022 год окончательно прижился термин «недопустимое событие», который означает наиболее опасные для предприятия последствия кибератак, подразумевающие остановку его деятельности или бизнеса в целом.
– Можете привести пример недопустимого события?
– Возьмем, к примеру, гипотетическое градообразующее машиностроительное предприятие «А». У него есть основное производство, где, собственно, пилят, сверлят, отливают какие-то детали из металла и пластика. А есть вспомогательные инфраструктурные участки, к которым относятся склады, котельные, электростанция и прочие.
В прежние времена парадигма промышленной кибербезопасности подразумевала, что защиты основных систем достаточно. Вспомогательные участки при этом выпадали из поля зрения. По итогам 2022 года стало ясно, что этот путь ошибочен.
Потому что атаковать могут (и опыт показывает, что именно так чаще всего и происходит) не основные производственные системы, а как раз вспомогательные – например, котельные или электростанции.
Возникает реальная угроза остановки предприятия.
При этом часто предприятия находятся в моногородах. От работы атакованной электростанции или котельной зависит не только оно само, но и сам город: нет света и тепла на заводе, – нет их и в городе. И в этом случае речь уже не об инциденте, касающемся одного предприятия, – проблема может стать существенно шире.
– Кто именно атаковал такие предприятия в 2022 году?
– В 2022 году сильно изменился профиль атакующего.
Раньше на промышленные предприятия нацеливались подготовленные коммерчески мотивированные хакерские группировки.
Атаки всегда проводились, потому что группировкам за них платили: либо непосредственно заказчики такой атаки, либо сами атакованные предприятия, если, например, использовался вирус-шифровальщик (хакеры при помощи вируса шифруют все данные компании, а потом вымогают у нее деньги за расшифровку – «Газета.Ru»).
В прошлом году вектор интересов атакующих изменился, и появилось множество злоумышленников, заинтересованных не в финансовой выгоде. Они атаковали не за деньги, а по политическим или социальным мотивам. Их называют хактивистами.
– Мне казалось, что хактивисты занимаются в основном DDoS-атаками, которые вырубают сайты или онлайн-системы…
– DDoS, конечно, в деятельности хактивистов занимает значимую долю, но только этими атаками она не ограничивается. Хактивисты – это люди со знаниями в сфере компьютерных систем. Студенты, обычные сисадмины у которых есть доступ к базовым инструментам для проведения разных кибератак.
– Насколько доступны эти инструменты?
– Их довольно просто найти в сети, если знать, что искать.
Более того, хакерский инструментарий активно развивается в сторону автоматизации: уже есть функционал, который содержит элементы машинного обучения и искусственного интеллекта. То есть растет не только их общая доступность, но и простота использования.
Кроме того, сейчас продаются уже готовые доступы в компании. Нужно только ввести логин и пароль в панели администрирования. Наше исследование дарквеба показало, что за прошедший год количество выставленных на продажу доступов к инфраструктуре промышленных предприятий выросло на 40%. И стоят они от $500.
– Что обычно представляет собой доступ, который продается?
– Различные данные для авторизации вроде логинов и паролей, взломанные сервисы, которые позволяют войти незамеченным в IT-инфраструктуру промышленного предприятия.
– Можете описать самый примечательный инцидент 2022 года из вашей практики?
– Возьмем пример из сферы электроэнергетики.
Один из серверов управления производственными процессами на некоем предприятии в определенный момент начинает самостоятельно устанавливать сетевое соединение с веб-ресурсами органов власти других стран.
Речь идет о сервере, на котором установлено программное обеспечение, управляющее энергооборудованием. Этот «шкаф» находится в закрытом контуре, к нему строго ограничен доступ. Это технологическая сеть, которая не должна иметь связь с внешним интернетом. И вдруг этот «шкаф» не просто выходит в интернет, но еще и пытается соединиться с серверами в другим странах.
Видя контакт со стороны критической инфраструктуры РФ, силовые ведомства другого государства могут инициировать ответную кибероперацию. Причем операция эта ввиду канала связи, который установил российский сервер, может привести к остановке энергооборудования, вызвать аварию и вылиться в техногенную катастрофу.
– Сервер «сошел с ума» из-за хакеров?
– К счастью, нет. Причина – человеческий фактор: инженер, который за три недели до инцидента приезжал на объект и некорректно настроил сервер.
Провели расследование, обнаружили ошибку в действиях сотрудника, исправили. Все продолжило работать как надо.
– А может ли быть, что инженер специально сделал что-то не то?
– Нет. Просто некачественная настройка программного обеспечения. То есть, инженер плохо выполнил свою работу, — но была выявлена проблема, которая стала бы критической при хакерской атаке.
– Почему в России не принято рассказывать о подобных инцидентах? Компании боятся репутационных потерь?
– Здесь важно отметить два момента. Во-первых, раскрытие информации о кибератаках на объекты критической инфраструктуры запрещено законодательством. Причем не только в России. А во-вторых, российский рынок промышленности работает несколько иначе, чем, например, в США.
На Западе часто применяется практика открытого распространения информации о последствиях и действиях по устранению последствий кибератак, потому что это позволяет сохранить лояльность инвесторов и снизить негатив у страховщиков.
– То есть у нас главное – молча залатать дыру в безопасности и работать дальше?
– Не только. Нужно еще сделать выводы на будущее, определить для себя недопустимые события и меры, которые надо предпринять, чтобы подобное не случилось в будущем. Ну, и не допустить утечки личных данных первых лиц предприятия.
– Что вы имеете ввиду?
– Когда становится доступна персональная информация первых лиц (семья, друзья, поездки, общение), возникает риск шантажа. А шантаж, в итоге, влияет на операционное управление компании. Поэтому в промышленной кибербезопасности часто в число первостепенных задач входит защита как раз-таки первых лиц.
– Можете назвать главную проблему информационной безопасности в российской промышленности, которая обнажилась в 2022 году?
– Одной из главных проблем является так называемые «унаследованные системы», то есть устаревшее ПО и оборудование.
Это очень старые системы. Например, мы часто встречаем Windows XP, операционную систему (ОС) из начала «нулевых». А старые ОС – это старые уязвимости. Такие компании легче атаковать.
Кажется, в 2022 году проблема унаследованных систем стала очевидно всем.
– Ну, хоть перфокарт нет…
– Вы удивитесь! Перфокарт, конечно, нет, но во многих критичных отраслях или предприятиях используется технологическое оборудование, которое работает еще под MS-DOS. Эта операционная система до эпохи Windows, она совсем ничего не знает про защиту.
Чтобы показать клиенту, насколько старое у него ПО, мы однажды на такой системе запускали Doom, игру 1993 года.
– В чем проблема переустановить Windows?
– Речь идет не об офисных компьютерах, за которым работает, например, секретарь или бухгалтер. Речь идет о системах, отвечающих за работу, скажем, турбин на ГЭС. Организация не может каждый месяц останавливать работу электростанции на день, чтобы обновлять десятки компьютеров и серверов.
– И как же тогда решается проблема?
– Нам приходится защищать то, что имеется. Это сложно, потому что все современные решения по кибербезопасности промышленных предприятий ориентированы на более актуальные версии операционных систем и программного обеспечения. Для этого мы доработали свои продукты, чтобы они могли функционировать, в том числе, и с унаследованными системами.
– А хакеров прельщают компании со старыми системами?
– Еще как.
В 2022 году мы видели волны атак на инфраструктуры со старыми ОС.
В большинстве случаев в организациях использовались продукты нашей компании и атаки оказались провальными, так как мы успели своевременно расширить возможности наших решений.
– Есть ли что-то абсолютно новое, что сейчас вы увидели, из типов атак?
— Нет. Методы, тактики используют даже те, которые применялись десять лет назад, к сожалению. «К сожалению» потому, что они ввиду старых ОС и оборудования остаются эффективными для атакующих.