Публикация пресс-релизов Поиск по компании
Решения, технологии, стандарты Рынок, отрасль, люди Основы
Отменить подписку Подписка
Производители Системные интеграторы Дистрибьюторы
Продукты месяца Поиск по категории Добавить продукт
Добавить мероприятие
Добавить вакансию Специалисты по АСУ ТП, КИП Специалисты по электротехнике, энергетике Главные инженеры, технологи, электрики Менеджеры по продажам, консультанты, другое
Технические требования Публикация статей Публикация пресс-релизов Media Kit 2014
Перейти:  
 


 

Статьи, интервью, обзоры на Ua.Automation.com

Обеспечивая информационную безопасность в промышленности

Обеспечивая информационную безопасность в промышленности

 

Джонатан Вилкинс, European Automation
 
В 2014 году общее количество инцидентов информационной безопасности (ИБ) выросло до 42,8 млн, согласно исследованию PwC: Global State of Information Security Survey 2015. Поясню: это 117 339 атак каждый день. И это только те, которые были обнаружены, и о которых было сообщено.
 
Для понимания реального масштаба современных угроз, антивирусная компания Касперского создала интерактивную карту. Она отражает количество и типы кибератак в реальном времени. Общее количество атак выросло на 48% с 2013 года по 2014 год, и нет никаких оснований надеяться, что оно уменьшится в 2015 году. Несмотря на эти цифры, программы по информационной безопасности, на самом деле, уменьшились в масштабах, в основном – из-за наивности и недостаточных инвестиций.
 
В то же время, в промышленности отмечен 17% рост числа инцидентов безопасности в 2014 г. Размер сопутствующих финансовых потерь вырос на 34%. А по данным Barclays около 50% компаний, переживших серьезную кибератак, прекращают свою деятельность. В вышеупомянутом отчете анализируется рост глобальных угроз ИБ и важность внедрения стратегий безопасности, сфокусированных на бизнесе, для того, чтобы обеспечить нормальную работу и сотрудников, и систем автоматизации бизнеса.  
 
Кто за это ответственен?
 
В 2014 году произошли некоторые из самых крупных кибератак десятилетия. Кажется, что никто не был в безопасности, даже крупные корпоративные игроки. eBay, Sony Pictures Entertainment, Apple и Sony Playstation стали жертвами атак той или иной формы.
 
Интересным является тот факт, что у большинства атак есть одна общая черта, а именно – источник. Результаты исследования PwC показывают, что 34,55 % компаний подверглись атакам собственных сотрудников, и 30,42% - атакам своих бывших сотрудников. И это две основных группы источников.
 
С точки зрения статистики, намного больше шансов на то, что вы подвергнитесь атаке из-за того, что кто-то подключит зараженную флешку к компьютеру в корпоративной сети, а не из-за того, что на вас откроет атаку международная хакерская группа, нацелившаяся на уязвимость в автоматизированной системе. Впрочем, это не значит, что не нужно быть готовым к обоим вероятностям.
 
Хакеры с показателем 23,98% занимают почетное третье место среди причин информационных атак. Впрочем, есть и другие угрозы, менее очевидные, но которые надо обязательно учитывать.
 
Каждый бизнес сталкивается со сторонними компаниями каждый день – консультантами, контрагентами, поставщиками и т.д. Необходимо, чтобы объем информации, доступной им, контролировался. По мнению 18,16% компаний, именно их партнеры были явно или неявно виноваты в кибератаках.
 
К примеру, американский торговый гигант Target испытал серьезные проблемы в 2013 году, когда личные данные и данные кредитных карт клиентов были украдены. Многоходовая атака началась из-за поставщика систем ОВК для Target, у которого был доступ к сети своего большого клиента. Данные были украдены с помощью обычного вредоносного ПО, примененного с помощью фишинговой email-кампании. Это был вход для хакеров.
 
Мораль истории проста – при разработке систем и стратегий безопасности компании должны прибегать к техническим, концептуальным и организационным мерам для предотвращения угроз безопасности.
 
Где начать?
 
В производственном контексте типичные инциденты информационной безопасности включают заражение вредоносным ПО, неавторизованное использование, манипуляции с данными, шпионаж и атаки типа «отказ в обслуживании» (DDoS) – при осуществлении которых то или иное оборудование или сервис становятся недоступными для потенциальных пользователей.
 
Защита от этих типов угроз требует не просто инвестиций в новое ПО или найма начальника подразделения по информационной безопасности, хотя оба этих шага являются хорошим стартом. Изменения необходимо осуществлять на всех уровнях. Ниже мы перечислим несколько вещей, которые действительно необходимо сделать в первую очередь.
 
Для адекватной оценки возможных угроз, владельцы соответствующих систем сначала должны оценить их слабые места – включая человеческий фактор. В автоматизированной среде это может означать сценарий, при котором общая собственность может быть выгодной с точки зрения автоматизации, однако, проблемной с точки зрения безопасности.
 
К примеру, удаленное устройство, которое может получить свободный доступ к ПЛК без аутентификации, экономит время при решении задач автоматизации, однако, с точки зрения безопасности – это явно слабое место.
 
Производители и промышленные компании должны быть особенно внимательны в трех ключевых средах. Во-первых, слабые места могут возникать из-за неправильной работы ПО или аппаратного обеспечения – например, сломанного устройства или программы с ошибками.
 
Развитие коммуникационных возможностей и интернет вещей позволяют любому оборудованию общаться с любым другим оборудованием с помощью единого протокола. Здесь мы подходим ко второй области, на которой должны сфокусироваться промышленные компании: обеспечение безопасности мощных потоков данных, чтобы их не могли использовать хакеры.
 
Наконец, слабыми моментами могут быть организационные меры, а вернее, их отсутствие. К примеру, важно обеспечить, чтобы команда по ИБ обновляла операционные системы, веб-браузеры или приложения всегда, когда необходимо. Это уменьшает вероятность использования продукта с известными ошибками, уже исправленными в новых версиях. Для достижения этого необходимо использовать соответствующую корпоративную политику.
 
В целом, необходимо, чтобы во время первоначального оценивания, команда по ИБ определила, идентифицировала и изолировала критически важную информацию, принадлежащую бизнесу – только так ее можно будет адекватно защитить. И это должно быть главным приоритетом для любой компании, обеспокоенной собственной информационной безопасностью.
 
Защита сети
 
Один из самых эффективных способов защиты автоматизированных производственных систем – зонная защита. Эта форма защиты особенно эффективна против целого ряда различных угроз, включая атаку «человек-внутри», когда у злоумышленника есть возможность мониторить, изменять, добавлять данные в коммуникационные системы.
 
Зонная защита использует интегрированный компонент безопасности, который следит за доступом к зоне. Этот компонент часто называют «привратником», так как он действует аналогично своему живому двойнику, решаю, чему можно войти, а чему нельзя.
 
Самым обычным устройством, используемым в этих целях, является промышленный коммуникационный процессор для Ethernet, который включает файервол и VPN, отфильтровывает атаки и сохраняет безопасность сетевых коммуникаций. Зона защиты также предотвращает неавторизованные доступ и управление, DDoS и онлайн-атаки на офисную сеть.
 
Важно учитывать, что оценка рисков и мер безопасности не ограничивается только системами автоматизации. Коллектив, поставщики и т.д. также должны быть проверены.
 
Безопасность через обучение
 
Частью текущей проблемы является то, что информационная безопасность не выходит на уровень руководства в большинстве компаний, несмотря на то, что последствия кибератак включают снижение производительности, ухудшение качества продукции, угрозы здоровью людей и целостности оборудования.  
 
Большинство правительств уже разработали, или разрабатывают законодательство в области информационной безопасности, предъявляющие соответствующие требования к защите корпоративной информации. Компании, которые оказываются неспособными защищать важную информацию, подвергаются риску финансовых штрафов. Несмотря на это, некоторые продолжают игнорировать требования.
 
Регуляторные требования особенно распространены в Европе, и могут служить примером для тех стран, у которых их пока нет. В США также есть соответствующее законодательство.
 
В начале 2014 года в США принят ряд законодательных требований по улучшению инфраструктуры кибербезопасности: набор промышленных стандартов и лучших практик, нацеленных на помощь организациям в управлении рисками безопасности. Однако, эти требования подверглись существенной критике из-за недостаточной эффективности, особенно в свете таких громких хакерских атак, как взлом Sony Pictures Entertainment, за который, предположительно, несет ответственность Северная Корея.
 
Для того, чтобы помочь бизнесу в сфере информационной безопасности, правительство Великобритании выделило £860 миллионов до 2016 года на создание Национальной программы кибербезопасности. Целью этой программы является сделать Великобританию одним из самых безопасных мест для ведения бизнеса онлайн. Программа была создана после того, как выяснилось, что 81% крупных компаний и 60% малых компаний Великобритании подверглись нарушениям информационной безопасности в 2014 году.
В рамках программы, правительство сформулировало ряд основных шагов в области кибербезопасности, с тем, чтобы у компаний были четкие ориентиры действий. Программа не только позволит компаниям защищаться от типичных киберугроз, но и демонстрировать то, что они соответствуют стандартам.
 
Кроме того, доступен буклет «10 шагов к кибербезопасности», который дает основную информацию о текущих рисках и методах их предотвращения. Описываются важнейшие элементы стратегии безопасности, сфокусированной на бизнесе, таких, как режимы управления рисками, конфигурации безопасности, безопасность сети, пользовательские привилегии, защита от вредоносного ПО, управление инцидентами, мониторинг и мобильный доступ.
 
Тем, кто захочет узнать больше о повышении уровня безопасности, можно воспользоваться полезным руководством от агентства PROFIBUS & PROFINET International (PI).
 
Руководство по безопасности PROFINET было изначально разработано в 2006 году и пересмотрено в 2013 году. В нем отражены идеи и концепции относительно того, какие меры и как должны быть применены.
 
Промышленность
 
В целом, уровень киберугроз растет, и, тем не менее, бюджеты на безопасность в 2014 году в среднем уменьшились. Промышленный сегмент является в этом плане исключением и находит бюджеты для защиты.
 
Согласно исследованию PWC по безопасности, этот сегмент в большей степени, чем другие – энергетика, здравоохранение, торговля, технологии и финансовые услуги – понимает растущие киберриски и делает соответствующие инвестиции.
 
ИБ-бюджеты промышленных компаний выросли более чем на 150% за последние два года. В 2014 году расходы на обеспечение ИБ составили почти 6,9% общих ИТ-бюджетов респондентов исследования PWC – выше чем в любой другой отрасли. Однако в 2014 году количество инцидентов безопасности также выросло – в 6 раз. Так что, роста инвестиций на 150% наверное может не хватить.  
 
Результатом этих инвестиций стали существенные улучшения в процессах и технологиях безопасности, а также, в процедурах обучения. Впрочем, потенциал для улучшения есть.
 
Оставайтесь в безопасности
 
Мегатренды, такие как Промышленность 4.0, интернет вещей и большие данные, подняли промышленную информацию на новый уровень, к более эффективным и изощренным производственным линиям. Промышленность интегрирует производственные линии с ИТ-инфраструктурой и традиционная пирамида промышленной автоматизации уменьшается – в силу потребности в более быстром дешевом и эффективном производстве. Однако, вместе с возможностями приходят и опасности: с большей открытостью и совместимостью приходит большая уязвимость.
 
Когда речь идет об информационной безопасности, безусловно, обучение очень важно – причем на всех уровнях производственной лестницы. Слишком уж часто компании попадают впросак, полагая, что они надежно защищены или не являются целью.
 
Если большинство кибератак в 2014 году было совершено работниками пострадавших компаний, как вы думаете, сколько из них было совершено осознанно, а сколько стали итогом действий людей, не понимавших, что они ведут к нарушению безопасности?
 
Конечно, вы можете не быть желательной целью для хакеров, однако киберугрозы могут прийти просто из-за неправильных действий одного из сотрудников – в принципе, это и есть ключ к пониманию основных рисков.
 
Даже если руководство искренне предпринимает действия по внедрению специальных мер по ИБ сверху-вниз, будет достаточно всего одной зараженной флешки, вставленной в сетевой компьютер, для возникновения проблем. Мы не можем полностью предотвратить инциденты, однако можно ими управлять – давая соответствующие знания сотрудникам, используя устройства мониторинга и разрабатывая процедуры действий на случай атаки.  
 
Обучение безопасности не должно ограничиваться одним семинаром и первоначальной модернизацией систем. Управление обновлениями также позволяет не пропускать выход новых версий или обнаружение новых уязвимостей. Старший менеджмент должен обеспечить внедрение политик поддержки и мониторинга. Безопасность это постоянная тема для постоянного беспокойства, а не проблема, которую можно решить одной простой заплатой.
 
Оценка рисков должна осуществляться для различных контрагентов, и должны внедрятся необходимые ограничения на распространение информации. И это не может быть просто первоначальная оценка. Должны быть прописаны унифицированные процедуры, которым необходимо следовать при контактах с любой третьей стороной, требующей от вашего бизнеса какой-либо информации.
 
С финансовыми инвестициями и должным вниманием к инфраструктуре систем информационной безопасности и соответствующим процедурами, бизнес будет готов к опасным внешним атакам. В противном случае, компания не только испытает потерю производительности, но и потерю репутации, а также, потенциальный ущерб здоровью сотрудников и целостности оборудования.