Как пандемия COVID–19 влияет на кибербезопасность производства
Пандемия коронавируса COVID-19 уже привела к крупнейшим со времен Второй мировой войны сбоям в самых различных отраслях промышленности, а ее последствия для кибербезопасности систем управления будут не менее драматичными. Думающие в этих непростых условиях о своем будущем организации и предприятия понимают, что им нужен такой же уровень агрессивности для защиты своих активов (под этим термином сейчас понимается совокупность производственного оборудования, транспорта, зданий, сооружений и персонала), какой они использовали для снижения рисков от COVID-19. Представляемая трехкомпонентная стратегия как раз помогает ликвидировать пробелы в кибербезопасности так, чтобы основная инфраструктура продолжала работать без сбоев в новом режиме и необычных для нее условиях.
Развивающаяся на наших глазах пандемия коронавируса — один из тех «экзогенных шоков», которые в мгновение ока ускоряют темпы изменений, происходящих в промышленности. За последние 15–20 лет системы управления эволюционировали в сторону большей сетевой связности и использования готовых коммерческих компонентов — концепций, которые в последнее время называются такими громкими именами, как «Индустрия 4.0» и «IIoT» (индустриальный «Интернет вещей»). Однако все эти изменения носили скорее эволюционный, чем революционный характер. Невысокий темп изменений был связан с тем, что подобные инициативы предполагают комплексный подход в виде тех или иных организационных решений, выработку и проверку технических концепций, определенные капитальные вложения, модернизацию существующих систем управления и т. п. И все это требовало не только сил и средств, но и времени. Соответственно, средства, как и не менее дорогое время, в первую очередь выделялись на решение текущих задач, приносящих прибыль сейчас, а не когда-то потом.
И тут случился COVID-19. Внезапно, в течение четырех-шести недель, организации обнаружили, что удаленное управление объектами стало не далекой перспективой, а насущной необходимостью.
Для обеспечения безопасности был сокращен до минимума персонал на местах, без которого предприятия не могли функционировать даже в дежурном режиме. Одновременно, для возможности использования труда сотрудников, удаленно работающих, но при этом принимающих решения по текущим вопросам и возникающим проблемам, руководству и специалистам по системам пришлось в спешке решать откладываемые ранее задачи по кибербезопасности и удаленному управлению. За последние шесть месяцев потребность в удаленном доступе к промышленным объектам увеличивалась быстрее, чем за последние шесть лет. В то время как организации годами обсуждали преимущества удаленного доступа и мониторинга, кризис, порожденный коронавирусом COVID-19, заставил их действовать и действовать быстро, причем независимо от того, готовы они были к этому или нет.
Загнать этого джинна в бутылку будет сложно, если вообще возможно. Поскольку экономический кризис длится дольше, чем предполагалось, новые бизнес-процессы пусть и вынужденно, под давлением обстоятельств, становятся более обыденными. Соответственно, в этой ситуации, выхода из которой еще не видно, руководители стали больше инвестировать в новые подходы. И пусть с момента осознания того, что проблема сама собой не рассосется и ее как-то надо решать, прошло не столь много времени, но уже сейчас существуют наглядные примеры и доказательства правильности концепции удаленного управления активами, так что прежний статус-кво меняется. То, что считалось краткосрочным, превратилось в постоянное изменение, которое нужно из аврального состояния превратить в управляемый, оптимальный и, главное, безопасный для функционирования предприятия процесс.
Пандемия коронавируса COVID-19 ведет и к долгосрочному изменению стратегии в отношении того, где будет происходить производство. Длинные и сложные глобальные цепочки поставок, которые были частично прерваны вирусом, постепенно уступают место изготовлению важнейших компонентов не «там, где это дешевле», а поближе к местам их применения. По мере восстановления экономики промышленные организации, наученные нынешним горьким опытом, теперь должны будут инвестировать в новые мощности для производства уже в своих странах. Эти новые промышленные объекты, вероятно, раздвинут границы «подключенной индустрии» или «Индустрии 4.0», используя в качестве ориентира модель действий, которая будет выработана во время пандемии.
Кибербезопасность на уровне слияния промышленных систем управления и операционных технологий
Некоторые могут утверждать, что коронавирус COVID-19 был необходим как некий катализатор для достижения обещанного более эффективного функционирования промышленной базы в связи с переходом на цифровизацию производства. Так, международная консалтинговая компания, специализирующаяся на решении задач, связанных со стратегическим управлением, McKinsey & Company и другие аналитики оценивают возможности от цифрового и подключенного производства на сумму в $1 трлн.
Однако обрушившаяся на нас пандемия внесла в этот процесс свои коррективы, выдвинув на первый план риски безопасности систем промышленного управления и операционных технологий (ОТ) (конвергенцию ICS/OT), которые вынужденно переходят на цифровизацию, хотя и без надлежащей инфраструктуры. А это проблема, поскольку системы управления обычно «небезопасны по своей природе». Эти системы не разработаны, как современные системы информационных технологий (ИТ), с предположением, что они будут связаны с внешним миром и существующими в нем киберугрозами. Соответственно, они довольно часто не получают такого же неукоснительного управления безопасностью, как ИТ-системы, предусматривающие регулярные исправления патчами (такими себе «заплатками» в программном обеспечении, устраняющими в нем проблемы, в том числе и с безопасностью), укрепление устойчивости системы, управление ее конфигурацией, требования к резервному копированию или защите от вредоносных программ.
По мере того как в системы управления вводится все больше коммерческих готовых компонентов, уязвимости, присутствующие в этих системах, распространяются и на промышленные объекты. Запланированный переход к расширению возможностей подключения уравновесил бы обещания от этих инициатив и внес бы необходимые коррективы в политику защиты компаний от рисков кибербезопасности. Коронавирус COVID-19, как уже было сказано, вынудил многие организации перейти на удаленное управление с ограниченным числом сотрудников, присутствующих на работе. В ближайшем будущем стремительный рост удаленного доступа откроет системы промышленного контроля и ОТ для угроз от целевых атак и сопутствующего ущерба от программ-вымогателей.
Однако сокращение количества обслуживающего персонала на местах также ограничивает пропускную способность для безопасного управления активами. Безопасность систем управления часто обеспечивается на месте персоналом, который вручную исправляет или обновляет антивирус или делает резервное копирование. Эти задачи иногда теряют приоритет в мире ограниченных локальных ресурсов.
Во многих случаях, для того чтобы ограничить возможность доступа к этим «небезопасным по своей природе» системам, к промышленной кибербезопасности подходили как к возведению очень высоких и прочных стен между системами ИТ и ОТ. Хотя многие специалисты призывали к конвергенции ИТ и ОТ. Теперь же, из-за пандемии COVID-19, под давлением обстоятельств, ворота предприятий были открыты, и через эти ворота было допущено много разных организаций, что, соответственно, сказалось на обеспечении безопасности и снизило защиту активов внутри предприятия, впрочем, это было вполне естественно и ожидаемо в такой безвыходной ситуации.
Преимущества трехкомпонентного подхода для защиты критически важных объектов инфраструктуры
Для того чтобы защитить подключенные к сетям системы, недостаточно просто контролировать доступ к сети, необходимо также управлять конечными точками внутри стен. По мере расширения возможностей подключения и увеличения удаленного доступа конечные точки становятся более доступными, чем когда-либо, и, к сожалению, возможности локального управления и защиты производственных активов снизились. А значит, для обеспечения безопасности критически важной инфраструктуры понадобится новый метод управления системами OT, отражающий подходы к ИТ-системам, которые использовались в течение уже многих лет. Хорошей основой для начала преобразования здесь является трехкомпонентный подход к управлению конечными точками системы контроля, и для его реализации требуются следующие шаги.
- Обеспечьте визуализацию рисков и состояния безопасности всех операционных активов в режиме реального времени. То, что вы не видите, вы не можете защитить — это аксиома, но защита актива требует другого мышления. Пользователи актива должны выйти за рамки знания о его существовании, чтобы определить, подвержен ли актив риску и активна ли и обновлена ли развернутая система безопасности. Новый подход предполагает знание базового программного обеспечения и прошивки устройства, критичности этого устройства для процесса, уровней исправлений и имеющихся уязвимостей, состояния ключевых элементов управления безопасностью, таких как антивирус или белый список (по типу McAfee от американской компании Intel Security), резервное копирование, безопасность конфигурации, степень защищенности устройства хорошо настроенным брандмауэром и т. д. Для управления конечными точками успешные организации используют, скажем так, 360-градусный взгляд на риски своих активов, как это наглядно представлено на рисунке.
- Думайте глобально, используйте широкое масштабирование анализа безопасности. Промышленные системы управления ICS нельзя защитить, оставив безопасность управления ресурсами на уровне сайта, когда все меньше активов в виде персонала будет на месте. Здесь для понимания потенциальных рисков для операций и определения приоритетов также требуется знание системы контроля. Соответственно, для всех сайтов и активов, чтобы можно было проводить межпроизводственный анализ рисков и вырабатывать потенциальные стратегии исправления, необходима централизованная база данных. Понимание этого позволяет распространять инструкции по устранению рисков для их развертывания, обеспечивая эффективность и согласованность в управлении рисками, при выработке приоритетов и планировании исправлений.
- Обеспечьте безопасность на месте. Эффективная система промышленной безопасности требует управления, а не только мониторинга,
и в этом должны участвовать опытные специалисты на местах. Как уже было сказано выше, многие риски для систем контроля связаны с отсутствием должного управления системами безопасности. Слишком часто организации останавливаются на мониторинге из-за альтернативы конечной неэффективности (ручной) или рискованной (инструменты автоматизации управления ИТ-системами) системы управления безопасностью активов.
У организаций теперь есть еще один вариант — инструменты управления системами ОТ, созданные для систем управления, предлагают те же возможности автоматизации, но находятся под контролем местных инженеров по управлению. Эти инструменты автоматизируют такие процессы, как установка исправлений, настройка и управление программным обеспечением, управление пользователями и учетными записями, а также резервное копирование, но контролируемое локально, поэтому для обеспечения надежной работы они развертываются в подходящее время и в рамках надлежащей последовательности тестирования системы на устойчивость в части кибербезопасности.
Распространение коронавируса COVID-19 вызвало потрясение во многих сферах и стало реальной угрозой для большинства отдельных предприятий. Критическая инфраструктура сталкивается с незнакомыми ранее проблемами и новыми рисками, вызванными внезапным резким переходом к удаленной работе с более серьезными угрозами кибербезопасности, чем это было когда-либо ранее. Чтобы идти в ногу со временем, организации должны активизировать свои усилия по управлению системами операционных технологий и активами. Предлагаемый трехкомпонентный подход может помочь защитить критически важную инфраструктуру предприятия.