Чтобы цифровизация работала во благо, нужно отстраивать процессы ИБ
О ситуации с цифровизацией на предприятиях в Казахстане и рисках информационной безопасности рассказывает Владимир Дащенко, эксперт Kaspersky ICS CERT
Владимир Дащенко, эксперт Kaspersky ICS CERT, рассказал о ситуации с цифровизацией на предприятиях в Казахстане и о том, какие риски информационной безопасности нужно учитывать при внедрении новых технологий.
По вашей оценке, можно ли говорить, что уровень цифровизации в Казахстане высокий?
— В целом уровень цифровизации в Казахстане достаточно высокий. Многие компании внедряют новые технологии, активно применяют машинное обучение в технологических процессах. Сегодня эффективность предприятия во многом зависит от уровня его цифровизации, поскольку внедрение современных технологий способствует оптимизации процессов, улучшению качества продукции, снижению рисков, в том числе экологических, человеческих.
В новостях то и дело всплывает информация о различных инцидентах безопасности в компаниях, от малого до крупного бизнеса. А как дела обстоят с вашей точки зрения? Какие компании больше атакуют, какие более интересны?
— Любые, любого размера и отрасли. Среди атакующих много финансово мотивированных злоумышленников, то есть их цель — деньги. И промышленность для них тоже лакомый кусок. Производственные предприятия зачастую находятся «на радаре» атакующих. В первую очередь это предприятия таких отраслей, как автоматизация зданий, энергетика, строительство, производство, нефть и газ. Злоумышленники активно атакуют интеграторов, доверенных партнёров и подрядчиков.
Однако не всегда атаки мотивированы финансово. Системы могут «ломать» не ради денег, а из-за убеждений, то есть это хактивисты, чья цель — остановить производство. Но бывает и такое, что сотрудник подрядной организации использует удалённый доступ в сеть АСУ ТП, предоставленный ему на легитимной основе, в попытке совершить диверсию. Человеческий фактор исключать никогда нельзя. Сотрудник может оказаться недоволен оценкой своей работы, оплатой или может быть политически или идеологически мотивирован.
Почему становятся успешными атаки на промышленные предприятия?
— Основным источником киберугроз для промышленности остаётся интернет. Фишинг через интернет-страницы и письма электронной почты всё ещё один из наиболее распространённых способов первоначальной компрометации системы для злоумышленников, которые проводят атаки промышленных объектов. Требования изоляции технологической сети часто нарушаются, технологические сети часто проектируются без учёта рисков информационной безопасности. Кроме того, удалённый доступ в технологическую сеть для сотрудников предприятия и подрядных организаций тоже далеко не всегда организован с соблюдением всех необходимых мер ИБ. Среди других причин — человеческий фактор, отсутствие надлежащих средств защиты или их неправильная настройка, отсутствие своевременных обновлений, которые содержат закрытие уязвимостей.
Что бы вы посоветовали компаниям, как выстраивать работу внутренних ИБ-отделов, совершенствовать процессы по защите информации?
— Серебряной пули для всех команд не существует, но есть важные, необходимые шаги. Ключевое — нужно регулярно обучать свою команду, то есть отправлять её на специализированные тренинги, например по компьютерной криминалистике, поиску угроз, обратному инжинирингу вредоносных программных продуктов. Это помогает держать команду, которая обеспечивает безопасность, в тонусе и делать так, чтобы она была в курсе последних подходов и «трюков».
Кроме того, я бы рекомендовал озаботиться подпиской на какие-то сервисы по раннему информированию об угрозах. Есть такое понятие — threat intelligence, или информация об угрозах. У нас есть такая подписка, мы пишем закрытые непубличные отчёты, которые доступны для узкого круга лиц — наших заказчиков. Мы предоставляем информацию о том, какой тип атаки произошёл, какая кибергруппа, предположительно, за ней стоит, какие тактики и техники использовались при атаке, и другие индикаторы компрометации, которые были найдены в результате исследования или расследования. И команды, которые занимаются обеспечением безопасности, могут брать эту информацию и начинать искать у себя в сети, то есть искать по этим индикаторам компрометации, есть ли признаки кибератаки в сети предприятия.
Также очень важно, чтобы сотрудники ИБ-отделов постоянно читали статьи, обзоры, публичные исследования по своей теме, ходили на конференции, потому что там очень часто рассказывают какие-то интересные штуки и детали, которые не встретишь в публичном поле.
Есть ли в Казахстане зарекомендовавшие себя ИТ-компании по направлению средств защиты информации?
— В Казахстане вопросам развития сферы информационной безопасности уделяется большое внимание, в том числе развиваются компании, занимающиеся внедрением средств защиты информации. В последние годы заметным трендом стало укрепление позиций страны в глобальном индексе кибербезопасности.
Можно ли сказать, что компании всегда будут находиться в догоняющих по отношению к злоумышленникам, что атакующие всегда находятся впереди?
— Как только появляются новые технологии для защиты, злоумышленники пытаются её каким-то образом обойти. Как только появляется ранее неизвестный вектор атаки или ранее неизвестная уязвимость, её тут же пытаются начать эксплуатировать. А компании - вендоры ИБ, в свою очередь, начинают придумывать не просто способ, как защититься от конкретного вектора атаки, а как обеспечить проактивную защиту, которая будет работать на опережение и сможет детектировать схожие вектора атак. И эта бесконечная гонка привела к тому, что мы в «Лаборатории Касперского» разработали концепцию кибериммунитета.
Это потенциально новая концепция, которая подразумевает, что безопасность заложена в дизайн цифрового решения. Мы сейчас активно занимаемся уже конкретной реализацией именно кибериммунных, то есть исходно безопасных, решений. На выходе это устройство получается таким, что даже если какой-то кусочек программного кода будет уязвим и эту уязвимость будут эксплуатировать злоумышленники, то полностью всё устройство не будет скомпрометировано. Сейчас в продаже уже доступны кибериммунные шлюзы, а для прототипирования доступна специализированная платформа для разработки электронных блоков автомобилей. Считаем, что именно за технологиями такого рода — безопасное будущее.
