В Нижнем Новгороде стартовал конгресс NEFT 4.0. Участники рынка цифровизации собрались, чтобы поделиться опытом и новыми разработками, а также выработать эффективные стратегии обеспечения информационной безопасности в условиях импортозамещения, ужесточения нормативно-правовой базы и постоянных попыток организованных группировок нарушить работоспособность нефтяных и газовых предприятий.

Специалист по развитию продукта компании-разработчика систем контроля привилегированного доступа, защиты передачи данных и файлов между изолированными сетями «АйТи Бастион» Андрей КУЗНЕЦОВ рассказал Информагентству «Девон», какие киберугрозы сейчас наиболее актуальны для отрасли. 

ПОД ВНЕШНИМ ДАВЛЕНИЕМ.

Почти любое предприятие России в определенный момент столкнулось с вынужденным переходом своих цифровых активов. Для нефтегазового сектора это не стало исключением. А это одна из ведущих и значимых отраслей экономики, которая, к тому же, сталкивается с повышенным уровнем внимания как регуляторов, так и злоумышленников.

Это подтверждается и различными аналитическими отчетами за прошлый год. Каждая третья атака на автоматизированные системы осуществлялась именно на энергетический и нефтегазовый сектор – при возросшем на 20% количестве самих атак.

Сегодня эта отрасль вынуждена повторно проходить путь перестроения многих процессов. Чтобы адаптироваться к новой реальности и сохранить свой статус наиболее зрелых в плане ИТ и ИБ компаний, у игроков рынка, как и раньше, должен оставаться высокий уровень киберзащиты с отлаженными процессами.

ЗАВИСИМОСТЬ ОТ ПОДРЯДЧИКОВ.

Стоит понимать, что полный цикл от добычи и переработки сырья до реализации конечного продукта – это результат отлаженной работы целой сети высокотехнологичных предприятий, где используются автоматизированное оборудования, различные системы планирования и учета данных, а также системы, обеспечивающие транспортировку продукта.

В таких условиях крайне трудно обойтись силами только своего ИТ-департамента из одной точки. Поэтому зачастую работы по обслуживанию ИТ-систем отдаются сторонним компаниям. И даже если подрядчик выполняет свои задачи добросовестно, нет гарантий, что подрядная организация не станет целью атаки на цепочки поставок, превратившись в «переносчика заражения».

И это не просто эфемерная угроза, сами службы ИБ рассказывают, что атак стало не только больше, но они стали комплексными и целенаправленными. И если крупные компании усиленно защищают периметр, следят за происходящим внутри своей инфраструктуры, то у подрядных организаций не всегда хватает ресурсов на выстраивание комплексных систем информационной безопасности. 

И об этом знает не только защищающаяся сторона, хакер тоже в курсе. А если представить себя на его месте? Куда проще «вломиться» – в большую и богатую на средства информационной защиты нефтегазовую компанию или на ее не столь крупного партнера? Из таких вводных можно сделать простой вывод: существует необходимость выстраивания безопасных и прозрачных отношений с подрядчиками и филиальными подразделениями. 

Это первоочередная задача служб информационной безопасности любого предприятия, и не в последнюю очередь – нефтегазовой сферы. Необходимо обязать компанию-партнера реализовать меры по обеспечению ИБ, наладить контроль за действиями подрядчика, использовать исключительно защищенные каналы передачи данных, иметь возможность экстренно отключать сессии.

При этом не у всех партнеров в реальных условиях будет такая возможность, а значит, стоит применять концепцию нулевого доверия: не отдавать всевозможные доступы и права вовне, максимально ограничить их согласно перечню проводимых работ, иметь возможность экстренно отключать сессии управления. Такой подход отсечет множество проблем, не допустив превращения подрядчика в точку входа для злоумышленников. 

В качестве примера можно привести реальный случай одного из заказчиков, когда СЗИ внутри его контура обнаружили подозрительную активность подрядчика, идентифицировав ее как занесение вируса. Имея в арсенале PAM-систему, закрыли им все доступы в инфраструктуру и написали письмо: «Обнаружили у Вас Х, рекомендуем проверить Вашу инфраструктуру». Получив ответ «у нас все хорошо» и не увидев изменений, доступ открывать не стали. 

Спустя некоторое время в СМИ был опубликован факт успешной атаки на данную подрядную организацию. Тот случай, когда реальная, а не бумажная безопасность, вкупе с принципом нулевого доверия спасли компанию от неприятных последствий.

ЧЕЛОВЕЧЕСКИЙ ФАКТОР.

К «своим» тот же концепт нулевого доверия применять не просто можно, но и нужно. Согласно отчету Positive Technologies, в 2023 году 53% кибератак на нефтегазовый сектор России становились возможными именно из-за опасных действий со стороны собственных сотрудников. Это и преднамеренные действия, и случайные ошибки сотрудников. 

Если начинаем смотреть на своих сотрудников, как на потенциальный источник угроз, то реагируем на это, в том числе, внесением ограничительных политик. Например, проведение авторизации и аутентификации при каждой попытке доступа. Или вводятся разрешающие политики доступа только до тех ресурсов, которые нужны для выполнения задач. Уже эти простые меры могут помочь снизить риски предприятия.

Несмотря на все очевидные плюсы модели нулевого доверия, если держать всю экспертизу в тайне от коллег, то принцип может стать не столь эффективным. Поэтому проводите работу с сотрудниками, обучайте их, расскажите о причинах изменений в порядке получения новых доступов. Так можно подстрелить сразу двух зайцев: повысить общий уровень осведомленности по вопросам безопасности среди персонала компании, а также снять имеющееся напряжение между ИБ и всеми остальными подразделениями. Когда конечный специалист понимает причину имеющихся ограничений, он становится более лояльным к ним. 

БАЗОВЫЕ ПРИНЦИПЫ ЗАЩИТЫ.

Обновляйтесь. А если это невозможно (обычная сейчас ситуация – когда иностранный вендор прекратил техобслуживание установленного ПО или оборудования), то как можно быстрее переходите на другие ИТ-решения.

Используйте системы мониторинга. «Вскрывать» все решения и откапывать в них уязвимости – не всегда простая и даже порой невозможная задача. Но если у вас есть отлаженные системы мониторинга, они смогут вовремя просигнализировать ИБ-службе, что в контуре «что-то пошло не так».

Контролируйте действия администраторов. Уследить за всеми на большом предприятии невозможно, да и не нужно. Но знать, что делают сотрудники с привилегированными правами доступа – просто необходимо.

Избавляйтесь от «человека с флешкой». Проведённый «АйТи Бастион» опрос среди специалистов, работающих с АСУ ТП на критически важных объектах, показал: почти 70% организаций практикуют передачу данных между изолированными сетями на физических носителях. Процессы автоматизации при таком подходе не развиваются, а уровень угрозы компрометации данных остаётся высоким. 

Обучайте ваших сотрудников принципам информационной безопасности. Предупрежден – значит вооружен. 

Используйте концепцию нулевого доверия.