Специалисты по безопасности работают вместе для защиты от растущих киберугроз в энергетике

В прошлом энергетическим организациям и другим промышленным операторам приходилось беспокоиться только о физической безопасности. Теперь, когда большинство промышленных систем управления (АСУ ТП) подключено к Интернету, энергетическая отрасль должна обратить внимание на новые киберугрозы. Мы часто слышим о хакерах, которые взламывают компьютерные системы для кражи данных, как правило, с целью получения финансовой выгоды. Однако в случае критически важной инфраструктуры кибератаки могут нарушить критически важные операции, повредить физическое оборудование и даже привести к гибели людей. Мы видим все больше и больше примеров из реальной жизни.

В недавний исторический момент ФБР и Министерство внутренней безопасности опубликовал совместный отчет, в котором описывается масштабная российская хакерская кампания по проникновению в критически важную инфраструктуру Америки. Вначале правительство США публично обвинило правительство России в атаках на энергетическую инфраструктуру.

Мы также видели такие открытия, как Triton (он же Trisis), который в прошлом году остановил саудовский нефтехимический завод и, как считается, был спроектирован так, чтобы вызвать взрыв. За шесть месяцев до этого появилась модульная вредоносная программа Industroyer, которая может вывести из строя системы АСУ ТП путем обращения к промышленным протоколам связи и развертывания вредоносных программ-очистителей.

Реагирование на угрозу

В опросе специалистов по безопасности в энергетической отрасли, проведенном Tripwire, 59% заявили, что их компании увеличили инвестиции в безопасность из-за атак, нацеленных на АСУ ТП, таких как Trisis / Triton, Industroyer / CrashOverride и Stuxnet. Однако многие считают, что у них по-прежнему недостаточно инвестиций для достижения целей безопасности АСУ ТП.

Более половины (56%) респондентов опроса Tripwire считают, что потребуется серьезная атака, чтобы заставить их компании инвестировать в безопасность должным образом. Возможно, именно поэтому только 35% участников используют многоуровневый подход к безопасности АСУ ТП, который широко признан передовой практикой. 34% заявили, что уделяют основное внимание сетевой безопасности, а 14% - безопасности устройств АСУ ТП.

Другая проблема в области промышленной кибербезопасности носит организационный характер:давняя пропасть между командами информационных технологий (ИТ) и операционных технологий (ОТ). Однако, согласно опросу Tripwire, 73% участников заявили, что их ИТ-команды и ОТ работают вместе лучше, чем в прошлом.

Организации понимают, что у них нет другого выбора, кроме как заставить свои команды работать вместе, поскольку угроза нападения продолжает расти. В ходе опроса ИТ- и ОТ-команды сошлись во мнении, что может произойти, если они не обеспечат надлежащую промышленную безопасность, например, остановку работы и безопасность своих сотрудников.

Хотя сотрудничество, безусловно, улучшается, большинство респондентов нашего опроса предположили, что ИТ-специалисты по-прежнему возглавляют инициативу. На вопрос, играют ли ИТ-команды или OT-команды лидирующую роль в обеспечении безопасности АСУ ТП, 50% от общего числа участников ответили, что ИТ-отделы, 35% ответили, что они равномерно распределяются между ИТ и ОТ, а 15% ответили, что ОТ.

Неудивительно, что ИТ-команды берут на себя инициативу, поскольку обычно у них больше опыта в области кибербезопасности. Цифровая угроза относительно нова для ОТ. Тем не менее, операционная среда сильно отличается от ИТ-среды, и успешные конвергентные команды позволяют своим коллегам из ОТ, когда у них есть опыт. Партнерство со стороны команды OT абсолютно необходимо для реализации программы безопасности АСУ ТП, которая не нарушит работу.

Трехэтапный подход к построению глубокоэшелонированной защиты:

Хотя это не так просто, как 1-2-3, организации могут подойти к промышленной кибербезопасности в три этапа:

Во-первых, обезопасьте сеть. Организации должны сегментировать сети, внедряя стандарт ISA IEC 62443, защищать все беспроводные приложения и развертывать безопасные решения удаленного доступа для поиска и устранения неисправностей. Компаниям также следует контролировать свои сети, включая оборудование инфраструктуры промышленных сетей.

Во-вторых, обезопасьте конечные точки. Это может начаться с инвестирования в обнаружение активов и создания реестра конечных точек в сети. Затем организации должны обеспечить безопасную настройку конечных точек и отслеживание изменений.

В-третьих, обезопасьте контроллеры. Компании могут лучше защитить АСУ ТП за счет расширения возможностей обнаружения и прозрачности сети за счет внедрения мер безопасности для уязвимых контроллеров, отслеживания подозрительного доступа и контроля изменений, а также своевременного обнаружения / сдерживания угроз.

Физический и цифровой миры продолжают сближаться, открывая новые возможности для повышения производительности и оптимизации операций. Однако важно интегрировать безопасность в процесс цифровой трансформации, чтобы защитить критически важную инфраструктуру от новых цифровых угроз.