Директор по развитию бизнеса безопасности критической инфраструктуры «Лаборатории Касперского» Андрей Суворов в интервью RISKNEWS рассказал, почему хакеры стали атаковать промышленные объекты, о сотрудничестве со Schneider Electric и где можно повысить образование в сфере кибербезопасности.

Андрей, добрый день! Расскажите, пожалуйста, подробнее про недавно заключенное соглашение со Schneider Electric. В СМИ речь шла, в том числе, о создании совместного продукта специально для российского рынка.

Добрый день! В целом промышленная кибербезопасность очень сильно зависит от тех средств промышленной автоматизации, которые уже стоят на заводах и подстанциях или скоро будут поставлены туда. В мире существует не очень много крупных компаний, которые эти средства автоматизации производят. Schneider Electric – как раз один из таких мировых грандов, компания поставляет полный спектр оборудования для разных индустрий. Безусловно, для нас сотрудничество с этой компанией – очень важный стратегический шаг, поскольку необходимой частью нашей работы является взаимодействие с вендорами. Сотрудничество со Schneider Electric посвящено достаточно серьезному пулу вопросов. Во-первых, полная сертификация нашей системы, которая отвечает за промышленную кибербезопасность, на соответствие требованиям Schneider Electric. На сегодня мы прошли сертификацию по 9 системам – это, наверное, больше, чем с кем бы то ни было. То есть 9 промышленных систем Schneider Electric полностью совместимы с нашими защитными средствами, которые можно устанавливать на заводы, пароходы, электростанции. Во-вторых, мы не замыкаемся только на защите существующих объектов, а также развиваем перспективные технологии, такие как «безопасность по определению». Любой вендор, и Schneider Electric не исключение, заинтересован в том, чтобы отсматривать и применять у себя наши технологии. Поэтому у нас есть договоренности о совместных инновационных разработках и возможном их применении в последующих продуктах. В-третьих, взаимодействие касается открытого в 2016 году центра компетенции по промышленной кибербезопасности в нефтегазовом секторе в Иннополисе.

Компания Schneider Electric также приняла решение открыть там офис. Учитывая, что мы обладаем хорошей индустриальной экспертизой, было принято решение выстроить взаимодействие, включающее работу с заказчиками. Так, мы формируем решение на базе сертифицированных продуктов и вместе представляем его производственным площадкам. Вот три направления, по которым мы работаем со Schneider Electric.

Поскольку мы уже затронули тему Центра компетенций промышленной безопасности в Иннополисе, скажите, многие ли компании отправляют своих сотрудников на обучение в центре?

У нас есть три вида обучения. Первый – это массовый 2-дневный тренинг для инженерного состава, на котором рассказывается о современном ландшафте киберугроз в промышленности, способах, чтобы распознавать начало атак, и методах защиты. Это не просто курс лекций на 2 дня. Мы сначала рассказываем про инциденты и их историю, а потом разбираем реальные примеры. В этом году мы планируем провести около 30 таких тренингов. Однако поскольку мы не специализируемся на обучении, мы будем постепенно передавать ведение этих программ другим компаниям. Второй тренинг – 5-дневный. Он рассчитан на очень серьезных специалистов, занимающихся кибербезопасностью. Обычно в крупных компаниях есть выделенные команды, которые отвечают за расследование инцидентов, за проведение тестов на проникновение в контуре АСУ ТП. Второй наш тренинг как раз для них. И третий тренинг – это расследование инцидентов в промышленности. У нас есть уверенность, что компании, чьи специалисты пройдут эти программы, серьезно повысят свою защищенность.

Отдельно хочу немного рассказать про сам центр. Он не только и не столько про обучение. В этом центре люди занимаются моделированием элементов технологического процесса вместе с крупнейшими предприятиями Татарстана. Всего в регионе около 80 предприятий, правда, работаем пока не со всеми. Объясню на примере нефтеперерабатывающего завода. На подобном объекте есть специфические технологические процессы и технологические установки, которые могут быть уязвимы для инцидентов различного рода. Изучив уникальные особенности каждого предприятия, мы предлагаем модель, которая ляжет в основу защиты. Грубо говоря, мы прорабатываем все возможные ситуации, например, какие уязвимости могут быть у бойлера и какой будет потенциальный ущерб от инцидента. Дальше мы закладываем это в систему.

По вашим данным, из всех целевых атак, обнаруженных «Лабораторией Касперского» в 2016 году, каждая четвертая была направлена на предприятия. Как вы считаете, почему злоумышленников вдруг стали интересовать подобные объекты?

Давайте я сначала объясню, как мы получаем эту статистику. У нас 270 тысяч корпоративных клиентов по всему миру. Большинство из них добровольно соглашаются передавать информацию о реальных событиях, происходящих в данный момент на их компьютерах. Эти анонимные данные обрабатываются и анализируются. В прошлом году мы увидели тенденцию, что порядка 25% компьютеров работают в контуре промышленной автоматизации, то есть это точно не офисные компьютеры. На них наш софт обнаруживает и обезвреживает определенного рода вредоносное действие – на основе этих данных предоставляется аналитика. Статистика 2016 года говорит о том, что эти промышленные компьютеры доступны для вредоносного ПО, более того, тренд идет по возрастающей.

Теперь отвечаю на вопрос, кому это надо. Существуют тысячи причин, влияющих на непрерывную работу предприятий, но среди них прослеживаются три основных класса инцидентов, которые могут привести к остановке работы на предприятии. Первый – это человеческий фактор, умышленный или нет. Один из самых ярких примеров, который был в Советском Союзе в 1977 году – это остановка конвейера АвтоВаза. Человек ушел в отпуск, написал небольшую программку и, видимо, думал, что он вернется и будет героем. А эта программа запустилась раньше на 3 дня, и конвейер встал. Один из последних случаев - 16 февраля 2017 года cуд в США приговорил бывшего сотрудника крупной производственной компании к 34 месяцам тюрьмы за то, что тот, будучи уволенным, сконструировал кибератаку на промышленную часть этого завода. Это привело к ущербу, который оценили в 1,134 миллиона долларов. Эти истории связаны как с умышленным, так и с неумышленным действием. Сюда бы, как ни странно, я отнес нашумевшую атаку WannaCry, от которой пострадало как минимум четыре завода. Люди, которые хотели получить 300 долларов с каждого рабочего места, вряд ли ожидали, что они остановят работу четырех крупных заводов. Для таких случаев у нас есть замечательная фраза: «Вам не обязательно быть целью, чтобы стать жертвой кибератаки».

Второй класс причин – это так называемый промышленный фрод (fraud – прим.ред.). Люди, которые хорошо разбираются в промышленной автоматизации, могут воровать физические активы, к примеру, готовые осветленные нефтепродукты. Мы сейчас с очень крупной консалтинговой компанией занимаемся анализом таких сценариев. Так вот, глобальная статистика говорит о том, что очень крупные производственные компании таким образом теряют от злоумышленников 5% от выручки, а это огромные деньги. По России эти данные чуть меньше, как ни странно, но в среднем по миру – 5%. Промышленный фрод является частью этих потерь.

Третий класс – это сложные целевые атаки, на них приходится около 0,1% от всех возможных инцидентов. При подготовленной целевой атаке злоумышленники несколько месяцев, а то и лет, собирают информацию о конфигурации, логике работы промышленных процессов конкретного объекта. Таким образом, предприятие много лет подвергалось атаке, а сотрудники этого даже не замечали. При этом, естественно, теряется прибыль, затраты растут, а поломки напоминают короткие замыкания и т.д. На первый взгляд кажется, что это все не связано с кибератакой. Целью таких атак могут быть политические аспекты, государственная конкуренция либо конкуренция на уровне индустрии. Атака на сталелитейный завод в 2014 году привела к остановке домны, а специалисты знают, что если домну потушить, то ее уже надо разрушать и строить на этом месте новую. По одной из версий, это была атака конкурентов.

Если в случае с компьютерами и мобильными устройствами уже практически все знают, что их нужно защищать от хакеров, то, когда речь идет о промышленных объектах, наверное, очень малое число предприятий реально оценивают угрозу. В компании предпринимают какие-то меры для ознакомления руководителей с текущей картиной в сфере промышленной безопасности?  

Моя работа как раз в том и заключается, чтобы рассказывать об этом. Помимо потенциальных заказчиков мы очень много времени посвящаем работе с теми, кто формирует юридическую базу: законы, нормативные акты, требования к решениям. Мы также много сотрудничаем с вендорами. Кроме того, мы взаимодействуем с участниками рынка, которые не являются ни клиентами, ни вендорами, ни регулятором. К примеру, это страховой рынок. Допустим, если доказано, что инцидент по выводу из строя оборудования либо простой линии произошел по причине киберсоставляющей, то страховая компания показывает написанное мелким шрифтом в договоре исключение, в котором сказано, что это не страховой случай. Представьте себе, что из-за атаки остановлен конвейер автомобильного завода, и он стоит несколько часов. Это очень серьезные деньги помимо других, в частности, репутационных потерь. Так вот финансовые директора очень удивляются, когда первый раз читают это исключение. Сейчас мы работаем с очень крупными международными игроками как раз для того, чтобы ситуацию на страховом рынке промышленности изменить в лучшую строну по отношению к клиентам. В эту же группу я бы отнес промышленный интернет вещей, мы входим в консорциум Industrial Internet Consortium. Также мы вместе с «Ростелекомом» и рядом других компаний инициировали в середине прошлого года создание Национальной ассоциации промышленного интернета. Мы видим, что недостаточно работать только с клиентами и регуляторами, потому что часто просто мало информации.

К примеру, 25 апреля 2017 года мы презентовали в Ганновере на крупнейшей выставке наш подход многим, включая министра промышленности и торговли Д.В. Мантурова. Я показал ему плакат с 9 примерами того, чего работнику критической инфраструктуры делать категорически не следует. Денис Валентинович позвал помощника и сказал, что информацию, указанную в плакате, необходимо разместить на каждом заводе в стране.

Как вы взаимодействуете с организациями, отвечающими за отрасль промышленной безопасности? К примеру, с Ростехнадзором?

Здесь иерархия такая. ФСБ отвечает за политику в стране по защите критической инфраструктуры. Далее идет ФСТЭК, которая отвечает за выработку требований к конкретным решениям по защите критической инфраструктуры. Затем идет Ростехнадзор, который отвечает за надзорную политику по эксплуатации и прочее. Мы работаем со всей этой иерархией, доказываем, что нельзя взять инструкцию для IT-безопасности офиса, переписать название и переложить ее в промышленный контур. Ведомства с этим соглашаются и можно констатировать серьезную межведомственную кооперацию в данном вопросе. На уровне государства, не только в России, тема защиты критической инфраструктуры, включая промышленные объекты, очень серьезно рассматривается. Уже нет каких-то стереотипов, которые были раньше. Приведу пример: 24 апреля 2016 года произошло инфицирование ряда компьютеров на атомной станции в Баварии, причем эти компьютеры находились в контуре разгрузки использованного урана. Страшно представить, что эти компьютеры были не изолированы, не защищены. Так вот, 27 апреля эта информация уже была опубликована в отчетах. Это было сделано благодаря тому, что BSI – государственный орган в Германии, который отвечает за вопросы кибербезопасности, в том числе, требует от директоров предприятий, чтобы было проведено расследование инцидента и, если что-то обнаружено, немедленно доложено об этом. Так что ситуация меняется. Нехватка информации и нехватка обмена данными по инцидентам – это на руку хакерам.

Расскажите, пожалуйста, про совместную с компанией Kraftway разработку защищенного устройства под управлением операционной системы KasperskyOS.

С компанией Kraftway мы создали изначально безопасное устройство – роутер или маршрутизатор. Оно отвечает за информационный обмен внутри корпоративной сети. Kraftway – известный производитель аппаратного обеспечения, а мы предложили поставить на их роутер KasperskyOS – операционную систему, которая адаптирована именно под те задачи, которые должен выполнять роутер. По сути дела, разработанное устройство – комбинация hardware Kraftway и операционной системы KasperskyOS. Мы уже анонсировали роутер на рынке. В настоящее время он находится в стадии коммерческой эксплуатации у нескольких компаний. В данном случае «Лаборатория Касперского» поставила компоненту в маршрутизаторы, а производитель уже финального изделия – Kraftway – позиционирует его на рынке. На сегодня есть достаточно серьезные проекты, что немаловажно, в коммерческом секторе. Пока я не могу разглашать детали, поскольку сделки не завершены.

А у вас есть примерные данные по количеству компаний, которые заинтересованы в этом устройстве?

Сейчас готовые роутеры находятся в опытной эксплуатации у 5-6 заказчиков. При заключении контракта эти устройства пойдут на замену существующего на предприятии оборудования. Роутеры мы планируем представлять не только в России. Они полностью соответствуют международным спецификациям и гораздо более защищены, чем существующие аналогичные устройства.

В октябре прошлого года вы анонсировали открытие первого в России Центра реагирования на компьютерные инциденты на индустриальных и критически важных объектах. Сколько компаний за это время стали с вами сотрудничать? В каких отраслях они осуществляют свою деятельность?

Центр называется KasperskyLab ICS CERT. В мире много CERT-центров, но очень мало центров реагирования на компьютерные инциденты на индустриальных и критически важных объектах. Такие организации готовы помогать, если инцидент уже произошел, например, похитили данные, зашифровали компьютер. Мы в режиме реального времени собираем информацию об инцидентах в промышленности, о найденных уязвимостях. Причем информацию по последним мы публикуем на нашем сайте только после согласования с теми компаниями, чьи это уязвимости, я имею ввиду и клиентов, и вендоров. Также мы исследуем инструменты автоматизированных систем управления технологическими процессами (АСУ ТП) на уязвимости. За последние примерно 9 месяцев мы идентифицировали и отразили более 80 уязвимостей «нулевого» дня. История с WannaCry была связана с уязвимостью операционной системы, когда через один из портов можно было получить доступ к компьютеру и потом, используя эту уязвимость, получить полный контроль над компьютером. Мы нашли 80 уязвимостей на уровне таких элементов, как ПЛК – это контроллер, либо SCADA-система. Похожих типов уязвимостей очень много. Как пример: одна из них – это возможность установить соединение с контроллером по заданному порту с определенной последовательностью информации, что по сути приводит к полной блокировке работы контроллера. А если от этого контроллера зависит критическая инфраструктура, то это сразу блокирует работу. Эта конкретная уязвимость может быть ликвидирована только, когда инженер службы поддержки надевает каску, идет к контроллеру и меняет настройки либо перезагружает его. К сожалению, системы ПЛК не менее уязвимы, чем программы, о которых мы привыкли разговаривать.

Вторая очень важная задача центра – это молниеносное реагирование на инциденты, где бы они ни случались. У нас сильная международная команда, которая готова реагировать на случаи, которые похожи либо на заражения, либо на атаку, либо даже на неумышленные действия. С просьбой помочь, расшифровать информацию и другими к нам обращались организации из разных точек мира: Ближний Восток, Азия, Европа, Россия. При этом наш центр – это не коммерческий проект, он сам по себе является очень полезным источником информации. Через 3 часа после того, как пошла волна WannaCry, мы опубликовали на сайте и отправили нашим подписчикам информацию о причинах этой истории, какое потенциальное влияние на АСУ ТП или на системы ICS она может оказать, что нужно делать тем, кто использует наше решение и тем, кто наше решение не использует.

Данные, которые вы потом анализируете, вы собираете со своих клиентов?

У нас два источника данных. Первое – это наши клиенты, проекты. Второе – мы по согласованию с вендорами берем их оборудование, их системы и проводим доскональное исследование на возможные уязвимости. Поскольку они зарабатывают на продаже оборудования, то тоже очень в этом заинтересованы. Очевидно, что лучше мы найдем уязвимость, чем будет произведена атака, в результате которой они понесут серьезные убытки.

По прогнозу «Лаборатории Касперского», количество кибератак в России будет расти в 2017 году, причем они будут нацелены, в том числе на производственные объекты. Есть у вас данные по атакам на промышленные объекты за прошедшие месяцы этого года? Действительно ли зафиксирован рост?

У нас как раз в мае вышел отчет, согласно которому за последние 12 месяцев каждая вторая промышленная компания в мире пережила от одного до пяти киберинцидентов – они затронули критически важные инфраструктуры или автоматизированные системы управления технологическими процессами (АСУ ТП) на этих предприятиях. В нашем исследовании принимали участие более 350 представителей индустриальных организаций по всему миру, включая Россию. Примерно 53% пострадавших от инцидентов предприятий подтвердили случаи столкновения с различными зловредами, около трети компаний подвергались таргетированным атакам. Как видите, вредоносные программы и хорошо спланированные целенаправленные операции стали доминирующими угрозами для промышленных и критически важных инфраструктур. При этом компании недооценивают внутренние угрозы, а по нашим данным, именно внутренний фактор угрожал почти трети компаний.

Поэтому мы рекомендуем комплексно подходить к информационной безопасности критической инфраструктуры и промышленных объектов. Помимо стандартных защитных решений необходимо проводить объективную оценку защищенности существующих систем и идентифицировать уязвимости, обучать персонал и постоянно повышать их осведомленность о киберугрозах и мерах предотвращения, сегментировать сети и управление сетевыми потоками, а главное – непрерывно мониторить активности и состояния систем.