О влиянии пандемии коронавируса на промышленную безопасность

©Dmitry Gaich 2020

Вспышка коронавируса COVID-19, возникшая в Китае в конце 2019 г., в кратчайшие сроки распространилась по всему миру, и уже в марте с. г.  Всемирная организация здравоохранения признала эту вспышку пандемией[1]. Новая болезнь оказывает существенное воздействие на все сферы деятельности человечества, коренным образом меняя привычный уклад жизни, работы, отношений между людьми и других аспектов повседневного существования.

Ввиду предпринимаемых мер по борьбе с вирусом, огромный удар был нанесён по экономике всех, без исключения, стран мира. Некоторые предприятия полностью остановили производство, многие сократили его до минимума. Одним из способов уменьшить масштабы пандемии стала самоизоляция персонала этих предприятий и необходимость организации работы из дома. Отечественные и западные эксперты рассматривают вопрос, как это отражается на безопасности промышленности, особое внимание при этом уделяется элементам критической инфраструктуры, обеспечение безопасности которых имеет первостепенное значение как в обычных условиях, так и в условиях чрезвычайных обстоятельств, к которым можно отнести ситуацию, сложившуюся в мире на сегодняшний день.

Так Майкл Ротшильд, главный директор по маркетингу компании кибербезопасности «Tenable», справедливо отмечает, что работа сотрудников из дома – не всегда вариант. Для промышленности, которая относится к “критической инфраструктуре”, определяемой местными и национальными правительствами, установленный уровень работы на местах необходим для обеспечения базовых нужд, таких, как поставка пищи, воды и электроэнергии соответствующим потребителям. В этих процессах, включающих производство продуктов питания и напитков, электричества, нефти и газа, организацию поставок, транспорт и водоснабжение, среди прочих, невозможно снизить масштаб операций, остановить деятельность и запросто перейти на модель работы из дома[2].

По мере развёртывания этого беспрецедентного кризиса, производители и операторы критической инфраструктуры обязаны продолжать своевременно и качественно выполнять производственные задачи в безопасной среде. А поскольку большинство промышленных операторов сегодня в высшей степени автоматизированы, это подключенные системы могут стать ахиллесовой пятой всего цикла производства.

Специалисты выделяют две цели, на которые направлены атаки злоумышленников – информационные технологии (ИТ) и операционные технологии (ОТ). ИТ представляют собой информационное обеспечение, а ОТ – сам цикл производства. ИТ и ОТ в последнее время сливаются воедино, поэтому атаки становятся комплексными, и вмешательство, к примеру, в программное обеспечение какого-то программируемого логического контроллера (ПЛК) ставит под удар управление и процесс эксплуатации. Исходя из этого, подход к промышленной безопасности также должен носить комплексный характер.

В обычное время организации критической инфраструктуры поддерживают обеспечение безопасности в соответствии со своим регламентом, требованиями регулирующих органов и запросами потребителей. Но что происходит, когда непредвиденные события, такие как глобальная пандемия, нарушают рутинные операции? С уменьшением масштабов работ и отправкой служащих низшего уровня на работу из дома, возникает реальная возможность обойти меры безопасности просто потому, что нормальные операции выполняет меньшее количество людей. Результатами этого могут стать:

Ошибочные изменения: меньшее количество людей на предприятии увеличивает возможность внесения кем-либо ошибочных конфигураций в программируемые логические контроллеры, к примеру, когда неопытный инженер, мало знакомый с процессом, устанавливает эти настройки.

Задержка с ответом: ввиду малочисленности штата или необходимости перенаправить людей на другие задачи, повышается возможность негативного воздействия на способность сотрудников безопасности реагировать на происшествия в рамках установленного времени.

Ситуативно-обусловленные атаки: зловредная активность с высокой степенью вероятности возрастёт в такой период, так как злоумышленники будут пытаться воспользоваться процедурными срывами и загруженностью имеющегося персонала, связанными с нестандартными бизнес-операциями[3].

Особенно подвержены атакам компании, использующие системы промышленного контроля (ICS) (напр., DCS, SCADA, или PLS) для мониторинга и управления критическим оборудованием и процессами.

Данные системы жизненно важны для работы таких объектов критической инфраструктуры, как трубопроводы, объекты производства и поставки электроэнергии, предприятия химической промышленности, которые зачастую связаны между собой и зависят друг от друга. С точки зрения киберуязвимости, ICS отличаются от традиционных систем обработки информации, в частности, потому что при взломе на них оказывается прямое и немедленное воздействие. Повышенный уровень взаимосвязи открывает эти системы для кибератак, которые могут привести к серьёзным финансовым проблемам, таким как потеря продукции или компрометация конфиденциальной информации, к законодательным проблемам, или, что ещё хуже, к ущербу для окружающей среды, здоровья и безопасности людей и общества.

 В результате распространения COVID-19, операционный и технический персонал работает неполным составом, соответственно к ресурсам предъявляются новые требования, что делает системы ICS потенциально (и беспрецедентно) уязвимыми. Такая ситуация создаёт возможности киберпреступникам или другим злоумышленникам использовать различные методы для того, чтобы воспользоваться этими уязвимостями, к которым можно отнести:

Неадекватная политика/процедуры;

Несоответствующее управление дистанционным доступом;

Некорректное обслуживание ПО;

Неправильно настроенные файерволы;

Невозможность наблюдать и/или реагировать на подозрительную активность в системе[4].

Киберпреступники атакуют критическую инфраструктуру, чтобы воспользоваться преимуществами текущего отклонения от нормальных рабочих операций. Последним примером является обнаружение нового вируса-вымогателя EKANS (или “Змея”), шифрующего файлы и способного нарушить работу определённых процессов в системах промышленного контроля[5]. Принцип работы вируса похож на работу вымогателя MegaCortex[6], который появился в 2019 г. Очевидно, что злоумышленники эксплуатируют вспышку COVID-19 и возникшие в связи с этим уязвимости безопасности.

В период, когда так много сотрудников работает дома, считает Ларри О’Брайен, вице-президент компании ARC Advisory Group[7] по исследованиям , COVID-19 обнажает уязвимости и риски кибербезопасности, так как домашние сети зачастую не так безопасны, как рабочие. Касательно приложений, которыми нельзя управлять извне, он сообщает, что некоторые пользователи устанавливают физические барьеры в комнатах контроля, передавая функции управления периферийным офисам на их оборудовании, или расширяя возможности использования ноутбуков и планшетов[8]

«Ожидается всплеск фишинга и других форм интернет-мошенничества, поскольку пользователи отвлечены на текущие события и являются более уязвимыми», утверждает он. «Поэтому сейчас больше чем когда-либо важно соблюдение должной гигиены кибербезопасности».

Некоторые специалисты считают, что ущерб компаниям в период сложившегося кризиса будет нанесён и в такой области, как обучение персонала.

«С точки зрения Международного сообщества автоматизации (ISA)[9], я уверен, что сейчас слишком рано в полной мере оценивать влияние и воздействие на наших клиентов и потребителей,» заявил Эрик Косман, президент ISA 2020 года, главный консультант компании OIT Concepts[10], и сопредседатель комитета ISA99 по программе кибербезопасности систем промышленного автоматизированного контроля (IACS)[11]. «Однако, я считаю разумным ожидать, что мы столкнёмся с воздействием на некоторые элементы нашего бизнеса в таких сферах, например, как обучение, поскольку компании сфокусированы на более насущных вопросах. Надеюсь, это быстро разрешится после того, как кризис пройдёт»[12].

Очевидно, что меры безопасности, которые необходимо принимать в условиях пандемии, должны быть адекватными складывающейся обстановке.

Несмотря на то, что COVID-19 быстро меняет текущую ситуацию, промышленная безопасность страдать не должна. Есть ряд шагов, которые могут сделать предприятия и производители для защиты своих операционных сетей и обеспечения безопасной работы персонала как на месте, так и работающего из дома. Бесперебойность зависит от жёсткого и гибкого подхода к концепции безопасности, включающего:

Обеспечение полного обзора инфраструктуры ИТ/OT. Это включает как глобальное наблюдение за всей распределённой сетью, так и способность детализировать мельчайшие детали устройств (например, серийный номер, ОС, прошивка). Постоянный безопасный доступ к этим унифицированным элементам управления сможет обеспечить работу авторизованного персонала и удалённых работников по рутинному мониторингу и мерам безопасности, как если бы они находились на своих рабочих местах.

Обновление мобильной политики и методов реагирования на происшествия. Цепочки уведомлений о нарушениях и подозрительных случаях должны учитывать новую удалённую и мобилизованную рабочую силу. Это означает, что надо убедиться в том, что каждый сигнал доходит до нужного человека в нужное время и через наиболее подходящие средства (телефон, компьютер, СМС), в зависимости от того, работает получатель на месте или удалённо.

Ведение документации по изменениям в промышленных контроллерах. Контроль конфигурации должен автоматически фиксировать любое программное изменение ПЛК, с сохранением «последнего рабочего состояния», сведений о том, кто был в сети, какие действия были им предприняты, последующие результаты и сбои, если они произошли. Вредоносные программы могут затронуть программное обеспечение на ПЛК, опасные изменения легко могут стать последствием вмешательства невнимательного сотрудника или неопытного инженера, который был нагружен другой работой, помимо своей, или же отвлёкся на другие задачи[13].

Для многих критических элементов промышленности основная реальность периода COVID-19 – производство должно продолжаться, независимо от того, как складываются обстоятельства.

Специалисты международной юридической фирмы Baker Botts[14], занимающиеся вопросами безопасности промышленных систем управления, полагают, что компании должны серьёзно отнестись к киберугрозам и обеспечить, чтобы персонал соблюдал и следовал общим правилам и практике безопасности, уделяя особенное внимание следующему:

Сканирование и фильтрация всей электронной корреспонденции для предотвращения заражения вредоносным ПО;

Обеспечение обновления знаний по безопасности среди всех сотрудников;

Применение проверок безопасности сетевой инфраструктуры (например, точная конфигурация файрволов);

Обеспечение защиты всех устройств и служб от текущих известных уязвимостей;

Обеспечение должной политики резервного копирования для быстрого доступа к повреждённым файлам;

Обновление политики реагирования на инциденты всех команд в плане реагирования компании;

Пересмотр политики и процедур кибербезопасности с целью обеспечения их документацией, приведения в соответствие с практикой и обеспечения соблюдения правовых норм по результатам инцидентов[15].

Эксперты напоминают и об указаниях и рекомендациях Национального института стандартов и технологий по защите ICS США, которые остаются актуальными для проверки защиты инфраструктуры. Данные указания включают:

Ограничение логического доступа к сетям ICS и сетевой активности;

Ограничение физического доступа к сетям ICS и устройствам;

Ограничение неавторизованной модификации данных;

Мониторинг, обнаружение и реагирование на события безопасности и инциденты;

Поддержание функциональности в неблагоприятных условиях[16].

Компании, использующие ICS, должны быть предельно внимательны в плане выявления схем фишинга и обеспечения соответствующей политики безопасности среди всех сотрудников. Также важно помнить, что все компании разные, процедуры и управление могут отличаться в зависимости от размера и структуры компании, особенно в таких нестандартных и неожиданных условиях.

Несмотря на сделанные выводы об ущербе, наносимом объектам критической инфраструктуры принципом удалённой работы сотрудников, есть мнения, что компаниям необходимо всё же адаптироваться к новым условиям.

«Я работаю в специализированной инженерной фирме, которая поддерживает сферы промышленности критических процессов, и у нас много дел», говорит Пол Грун, профессиональный инженер, президент ISA в 2019 г. и консультант по глобальной безопасности в компании aeSolutions[17], консалтинговом инженерном системном интеграторе и участнике Асоциации интеграции систем управления (CSIA)[18] в Гринвилле, штат Южная Каролина. «Большая часть наших 150 сотрудников находится в трёх разных городах и работает из дома, поэтому мы можем обслуживать наших клиентов дистанционно. Мы также ограничили незначительные поездки, утроили пропускную способность наших VPN и разработали документацию по организации и проведению удалённых совещаний. Большая часть нашей работы включает обеспечение командных собраний, таких как анализ процессов и киберугроз, выбор уровня интеграции безопасности и рационализация оповещений. Реальные собрания лицом к лицу существенно сократились, но мы способны организовывать их удалённо, и мы разработали письменную политику в данном вопросе»[19].

Специалисты считают, что кризис COVID-19 также инициирует введение цифровой трансформации[20] и проектов промышленного интернета вещей (IIoT[21]), которые могут дать пользователям больше гибкости, доступа к персоналу, централизованные функции и возможности удалённой работы, которые необходимы для поддержания оперативной продуктивности несмотря на закрытие предприятий и самоизоляцию, необходимые для сдерживания вируса.

«Все говорят, что были застигнуты врасплох COVID-19, но очевидно, что это не последняя пандемия, к примеру, катастрофы, связанные с изменением климата, такие как ураганы, наводнения и торнадо, никуда не исчезают», говорит Крэйг Ресник, вице-президент и член консультативной команды по автоматизации ARC Advisory Group. «Даже если сейчас капитальные и оперативные расходы сокращены, пандемия заставляет конечных пользователей промышленности перейти в режим планирования и обучения. С другой стороны, это заставит их убедиться, что их возможности по управлению бизнесом не будут ограничены снова и они будут использовать удалённое сотрудничество, мониторинг и контроль или другие формы технологий цифровой трансформации, которые они планируют или применяют на текущий момент»[22].

 Традиционные поставки продуктов питания, напитков, лекарств и других товаров подразумевают организацию крупных отгрузок от производителя, хранение их на складах и распределение между розничными продавцами. Эксперты полагают, что цифровая трансформация стремится к модели по принципу Amazon – прямые поставки от производителя потребителю, включая отрасли бизнеса и промышленности[23]. «Это меняет и продукт, и всё ему сопутствующее, потому что товару не нужно проходить через склады и магазины», объясняет вице-президент ARC по исследованиям Ларри О’Брайен. «Сейчас мы меняем цепь поставок из-за пандемии, но цифровая трансформация позволит быстро развернуть её там, где нужно, и она станет в будущем более гибкой и надёжной»[24]

Очевидно, что пандемия COVID-19 значительно повлияла на концепцию безопасности промышленных сетей, однако, нельзя сказать, что данный вопрос на текущий момент детально изучен. Как видно из вышеизложенного, многие специалисты внимательно рассматривают эту тему, но, исходя из их выводов, можно предположить, что в целом, за некоторым исключением, они практически приравнивают пандемию коронавируса к другим чрезвычайным ситуациям. И рекомендации их, соответственно, сводятся к тому, чтобы просто усилить меры безопасности и контроль за операционными сетями.

Не вызывает сомнений тот факт, что период пандемии COVID-19 – наиболее удобное время для атак сетей со стороны злоумышленников, при этом особое внимание необходимо уделить безопасной удалённой работе сотрудников в домашних сетях, которые, как правило, не защищены. Факты атак уже подтверждены.

Из реальных рекомендаций можно отметить отсылку специалистов к человеческому фактору, когда уменьшение штата и удалённая работа, действительно, могут привести к ошибкам и, соответственно, к сбоям в работе объектов критической инфраструктуры. Хотя, это в полной мере относится и к другим объектам, не обязательно промышленным или автоматизированным.

Другим интересным моментом можно считать выводы экспертов о неизбежности цифровой трансформации и широкого внедрения промышленного интернета вещей. Абсолютно очевидно, что COVID-19 является фактором, который подталкивает промышленные сети к изменениям не только в плане безопасности, но и в других аспектах, поэтому, даже когда пандемия пойдёт на убыль, или даже исчезнет вовсе, многие вещи должны быть подвергнуты изменениям, и, в первую очередь, концепция безопасности и реагирования на чрезвычайные ситуации.


[1] https://www.who.int/emergencies/diseases/novel-coronavirus-2019

[2] https://www.tenable.com/blog/when-remote-work-isnt-an-option-industrial-security-in-the-covid-19-era

[3] https://www.tenable.com/blog/when-remote-work-isnt-an-option-industrial-security-in-the-covid-19-era

[4] https://www.bakerbotts.com/insights/publications/2020/march/how-a-crisis-impacts-industrial-control-systems-covid-19

[5] https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/

[6] https://blog.malwarebytes.com/detections/ransom-megacortex/

[7] https://www.arcweb.com/

[8] https://www.controlglobal.com/industrynews/2020/covid-19-impacts-process-users-industries/

[9] https://www.isa.org/

[10] http://www.oitconcepts.com/

[11] https://www.isa.org/training-certifications/isa-training/instructor-led/course-descriptions/ic34/

[12] https://www.controlglobal.com/industrynews/2020/covid-19-impacts-process-users-industries/

[13] https://www.tenable.com/blog/when-remote-work-isnt-an-option-industrial-security-in-the-covid-19-era

[14] https://www.bakerbotts.com/

[15] https://www.bakerbotts.com/insights/publications/2020/march/how-a-crisis-impacts-industrial-control-systems-covid-19

[16] https://www.nist.gov/publications/guide-industrial-control-systems-ics-security?pub_id=918368

[17] https://www.aesolns.com/

[18] https://www.controlsys.org/home

[19] https://www.controlglobal.com/industrynews/2020/covid-19-impacts-process-users-industries/

[20] https://www.arcweb.com/digital-transformation-council

[21] https://en.wikipedia.org/wiki/Industrial_internet_of_things

[22] https://www.controlglobal.com/industrynews/2020/covid-19-impacts-process-users-industries/

[23] https://fourweekmba.com/amazon-business-model/

[24] https://www.controlglobal.com/industrynews/2020/covid-19-impacts-process-users-industries/

Поделиться ссылкой:

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *