18/05/22
17 мая на форуме Positive Hack Days 11 компания Positive Technologies провела пресс-конференцию, посвященную комплексной защите промышленных предприятий от киберугроз. Участники обсудили текущую ситуацию с хакерскими атаками на промышленные предприятия, что необходимо для повышения уровня защиты в технологическом сегменте, поговорили о сложностях и перспективах импортозамещения, а также поделились своим видением трендов в промышленной кибербезопасности на ближайшие 1–3 года.
«Количество атак на промышленные предприятия серьезно увеличивается, и компаниям, занимающимся ИБ, еще только предстоит подсчитать, насколько именно, — начал Роман Краснов, руководитель направления промышленной кибербезопасности Positive Technologies. — В сегодняшних реалиях пока не до статистики. За три недели марта общее число обращений за сервисами защиты, например в Positive Technologies, составило как минимум треть от всех запросов в 2021 году. Эти промежуточные данные характеризуют то, что происходит в данный момент. Число атак на промышленность действительно стало в десятки, а может и в сотни раз больше, чем было раньше».
С Романом согласился Виталий Сиянов, менеджер по развитию бизнеса направления «Solar Интеграция» компании «РТК-Солар». «Промышленность не следует отделять от других отраслей. Сейчас мы находимся в состоянии кибервойны, и промышленный сектор подвержен ровно таким же атакам кибервойск, как и другие компании», — отметил он.
Роман Краснов признался, что «с точки зрения безопасности промышленность — это все еще черный ящик. Большинство кибератак не предается огласке из-за репутационных рисков. Поэтому точно определить, как обстоят дела в конкретной отрасли промышленности, фактически не представляется возможным пока даже на уровне государства».
При этом предпринимаются шаги, направленные на «обеление» черного ящика. Об одном из них рассказал Виталий Сиянов: «НКЦКИ — государственный орган, который на данный момент является центром по борьбе с киберпреступностью. Он аккумулирует инциденты со всех тринадцати отраслей промышленности[1] и направляет предприятиям бюллетени безопасности, в которых описан конкретный сценарий атаки и перечислены субъекты, подверженные угрозам. К сожалению, предприятия не всегда воспринимают бюллетени всерьез и не принимают необходимые меры защиты».
Оба эксперта отметили возросший запрос на отечественные продукты ИБ. «Уход зарубежных производителей как систем АСУ ТП, так и решений по информационной безопасности сильно ухудшил положение промышленных компаний в области защиты от киберугроз. Например, такие производители, как Cisco и Fortinet, занимали большую долю рынка в межсетевом экранировании. И в краткосрочной перспективе у нас пока нет полной альтернативы их решениям, — пояснил Виталий Сиянов. — С другой стороны, компании обратили внимание на отечественные средства защиты. Что касается межсетевых экранов, спрос на них увеличился в два-три раза, и отечественные производители файрволов пока не могут удовлетворить его».
Если в ситуации с программным обеспечением на российском рынке практически везде есть альтернативные решения, то с оборудованием, комплектующими, чипами и всем, «на чем ПО должно работать», положение сложнее. Ощущается явный недостаток серверов, отметил Виталий Сиянов.
По мнению Романа Краснова, промышленная кибербезопасность выйдет на новый уровень уже в этом году. «Защита промышленного предприятия — это не история частного применения отдельного класса продуктов, а комплексная история. На технологическом объекте множество систем, которые необходимо защищать разными средствами ИБ. И в последние месяцы все это осознали. Поэтому мы и видим лавинообразный рост продаж всех классов решений для защиты промышленных предприятий, — продолжает Роман. — Помимо этого, есть задача по внедрению приобретенных средств защиты, и здесь предприятиям придется пройти сложный путь, так как квалифицированных специалистов по ИБ в масштабе страны не хватает».
Виталий Сиянов считает, что промышленные предприятия достаточно консервативны, и не стоит ожидать от них резкого перехода на новые продукты. По его прогнозам, «бум замены всего, что у промышленных предприятий сейчас стоит в инфраструктуре, скорее придется на следующий год».
Отдельной темой беседы стал патчинг уязвимостей, который продолжил тему ухода зарубежных вендоров с российского рынка.
«Любое решение априори „дырявое“, и эти „бреши“ находят постоянно. Основная проблема ухода иностранных производителей в том, что они оказывали сервис для своих продуктов. В сегодняшних реалиях вендоры уже не доставляют патчинг, то есть через год у предприятий будет не средство защиты, а решето, — поясняет Виталий. — Сообщество хакеров, разумеется, отслеживает информацию об уязвимостях и активно эксплуатирует их в атаках, поэтому вопрос патчинга стоит чрезвычайно остро».
Роман Краснов добавляет, что в условиях, когда патчинг уязвимостей недоступен, критически повышается роль мониторинга: «Мониторинг всегда подразумевает применение профессиональных продуктов ИБ. Например, SIEM- и NTR/NDR-системы отлично подходят для использования в индустриальной сети. Если предприятия не могут „патчиться“, им необходимо внимательно мониторить, что происходит с известными им уязвимостями, а также понимать, когда к ним попытаются приблизиться злоумышленники». Кроме того, без полноценного мониторинга технологической сети нельзя качественно и существенно повысить защищенность промышленного предприятия, резюмировал Роман.
