«Информационные технологии стали очень интересными для злоумышленников, и они решили сделать на этом бизнес»
Действительно ли российские промышленники неадекватно оценивают риски и оставляют вопрос кибербезопасности «на потом»?
Как появился бизнес, основанный на использовании кибероружия? Сколько вирусов появляется в мире ежедневно? Может ли подключенный к рабочему компьютеру телефон остановить производство или привести к масштабной аварии на промышленном предприятии? Насколько тщательно предприятия ПФО выполняют требования свежепринятого закона «О защите критической информационной инфраструктуры»? Не угробит ли этот ФЗ часть малого бизнеса? Как на общем фоне выглядят татарстанские предприятия? Ответы на эти вопросы прозвучали на прошедшей накануне совместной пресс-конференции компаний Softline и «Лаборатория Касперского», посвященной киберугрозам. Подробности — в материале «Реального времени».
«Раньше создатели вирусов просто самоутверждались — пытались написать программу, а не навредить»
В качестве спикеров на вчерашней пресс-конференции, посвященной киберугрозам и защите промышленных предприятий, выступили специалист по защите КИИ (критической информационной инфраструктуры) группы компаний Softline Максим Прохоров и руководитель обособленного подразделения Иннополиса «Лаборатория Касперского» Андрей Ужаков.
Первым делом аудитории были представлены любопытные статистические данные о том, как менялось число и характер киберинцидентов. К примеру, если в далеком 1994 году один новый вирус появлялся ежечасно, а в 2011-м — ежесекундно, то в 2018 году на один день приходилось более 360 тыс. новых вредоносных программ. По словам Ужакова, число зловредов растет в геометрической прогрессии, и сейчас дошло до того, что их очень сложно обработать.
— Если говорить о видах угроз, то большая часть — это типовое вредоносное ПО, которое берет свое начало с появления первых компьютеров. В то время создатели вирусов просто самоутверждались — пытались написать программу, а не навредить. Но начиная с определенного момента информационные технологии стали очень интересными для злоумышленников, и они решили сделать на этом бизнес. Соответственно, появились APT-атаки (кибероружие), доля которых пока достаточно мала, — рассказал представитель «Лаборатории Касперского».
Согласно озвученной статистике, количество атакованных пользователей по России за 2018 год составило 33% (корпоративных пользователей — 21%), по Татарстану — 25% (корпоративных — 16%), по Башкортостану — 24% (корпоративных — 16%). В то же время доля компьютеров АСУ ТП (автоматизированная система управления технологическим процессом), на которых были задетектированы вредоносные объекты, по всей России составила порядка 45%. Для сравнения, в Африке эта цифра достигает 61%.
Если говорить о причинах возникновения в промышленном секторе инцидентов, связанных с кибербезопасностью, то в 64% случаев всему виной обычное вредоносное ПО. На втором месте по популярности стоят атаки программ-вымогателей, затем ошибки или халатность сотрудников, далее — угрозы на стороне поставщиков (например, в цепочке поставок или у партнеров). На последнем месте — саботаж со стороны сотрудников, он встречается лишь в 5% случаев.
«Предприятия находятся на разных уровнях подготовленности»
По словам Андрея Ужакова, буквально три года назад для обеспечения безопасности было достаточно защитить хост простым антивирусом. Сегодня же антивирусная программа обросла огромным функционалом. «Защищать хосты на сегодняшний день недостаточно — к примеру, нужно как минимум проводить анализ защищенности, который позволяет увидеть сотрудникам предприятий состояние их защиты», — рассказывает эксперт.
Отметим, что риски для предприятий велики: от простоя, ущерба оборудованию и утечки данных до нанесения вреда экологии и здоровью людей. Если же говорить о рисках для государства, то недостаточное внимание к кибербезопасности может привести к реальным социальным последствиям и, разумеется, снижению обороноспособности. При этом, как признают сами спикеры, зачастую кибербезопасность промышленных сетей — это то, что оставляют «на потом».
— С точки зрения IT, есть айтишник, у него есть инфраструктура, серверы, вирусы — все ясно, складывалось годами, и он давно с этим борется. На уровне АСУ ТП же очень тяжело определить ответственных. Зачастую уровень именно технологического сегмента сети остается несколько заброшенным по причине того, что каждый завод внутри предприятия имеет разные системы защиты, соответственно, проконтролировать их очень тяжело. Плюс, когда человеку на производстве ставят планку выполнения продукта, ему не до обеспечения ИБ. А это ежедневный процесс, который необходимо соблюдать, чтобы не было инцидентов, — считает Ужаков.
В то же время ошибка рядового сотрудника может легко привести как минимум к простою предприятия. К примеру, на смартфон через соцсети попадает зловред, владелец гаджета решает подключить телефон к рабочему компьютеру, чтобы зарядиться, из-за чего в систему предприятия беспрепятственно попадет вирус.
— Мы зачастую слышим фразу: «У нас корпоративный сегмент отделен от технологического, и они никак не пересекаются». Но был интересный кейс во времена бума WannaCry, когда к нам пришли за помощью и сказали, что встало все производство, хотя WannaCry изначально предполагался для корпоративных или домашних компьютеров. Несмотря на то, что у них «все отделено», вирус проник в технологический сегмент, и встало все оборудование. Пришлось восстанавливать всю инфраструктуру с нуля. Проверка показала, что заражение произошло из-за внешнего накопителя, который один из сотрудников подключил к компьютеру, — рассказал специалист по защите КИИ компании Softline Максим Прохоров.
Наше издание поинтересовалось у экспертов, как себя показывают татарстанские предприятия в плане обеспечения информационной безопасности, однако точного ответа так и не прозвучало. «Продуктами пользуются, но другое дело, что каждое предприятие находится на разных уровнях подготовленности. И на разных уровнях понимания возможных последствий», — высказался представитель «Лаборатории Касперского».
«Хотелось бы, чтобы закон вступил в силу именно тогда, когда в России начало появляться наибольшее количество угроз»
Помимо промышленного сектора, к КИИ относятся организации, работающие в сфере здравоохранения, транспорта, науки и энергетики. Пересмотреть подход к обеспечению информационной безопасности на этих объектах заставляет вступивший в начале этого года федеральный закон «О безопасности критической информационной инфраструктуры РФ».
— Конечно, хотелось бы, чтобы федеральный закон вступил [в силу] именно тогда, когда в России начало появляться наибольшее количество угроз. Но, учитывая то, что это закон, он должен пройти согласование. Хотелось бы, чтобы он вышел в 2013—2014 году, но, на самом деле, еще ничего не потеряно: сейчас субъектам КИИ нужно сгруппироваться и начать выполнять требования ФЗ, — ответил на вопрос «Реального времени» Максим Прохоров.
Под действие ФЗ попадают госорганы, госучреждения, а также российские юрлица и ИП. В случае наступления инцидента с тяжкими последствиями из-за невыполнения требований закона ответственным лицам грозит 10 лет лишения свободы. За невыполнение требований по безопасности КИИ и нарушение правил эксплуатации — до 6 лет лишения свободы. За невыполнение предписания регулятора об устранении нарушения законодательства — административный штраф до 20 тыс.рублей.
Представитель компании Softline рассказал о ситуации с выполнением требований закона на предприятиях ПФО: «Здесь не такие радужные перспективы, как хотелось бы. Если брать другие регионы, то там к ФЗ подошли более ответственно. Но стоит учитывать, что здесь многое зависит от бюджетирования — это довольно долгий процесс».
«Очень сложно оценить стоимость выполнения требований ФЗ»
Мероприятия по обеспечению требований ФЗ обширны: от категорирования объекта КИИ (инвентаризация всех процессов, анализ угроз, сопоставление с показателями, присвоение категории) до обеспечения непрерывного взаимодействия объекта КИИ с ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
— Очень сложно оценить или назвать порядок цифр в плане стоимости выполнения требований закона, поскольку все зависит от конкретного предприятия и комплекса проводимых работ. Многое зависит от сферы деятельности. Если мы возьмем медицину, то у них не так много объектов. В этом случае этап аудита или категорирования и формирование техзадания, плюс проектирование может обойтись в сумму от 300 тысяч до 1 миллиона рублей. Если мы видим, что из этих нескольких объектов необходимо защитить, к примеру, только три, то мы также подбираем решение, — рассказал представитель Softline.
Как было сказано выше, субъектами КИИ, помимо прочего, являются индивидуальные предприниматели. Отсюда вытекает вполне закономерный вопрос: а не угробят ли требования ФЗ по обеспечению информационной безопасности и без того перегруженный российский бизнес?
Спикеры мероприятия сошлись на том, что под определение КИИ попадает не так уж и много ИП, а те, кому все-таки «повезло», должны осознавать свою ответственность. В качестве примера снова был приведен медицинский кейс: если из частной клиники утекут персональные данные или же будет взломан рентгеновский аппарат, то последствия будут крайне серьезными.
Предположение о том, что из-за ФЗ малый бизнес начнет отказываться от автоматизации процессов, было моментально отметено экспертами. Так, по мнению Максима Прохорова, если производитель «вернется к кувалде и лопате, то он просто будет неконкурентен на рынке, и его бизнес проживет всего несколько месяцев».