Критическая инфраструктура как образец для подражания

Промышленные объекты зависят от компьютеров и программного обеспечения точно также, как и обычные компании, вот только ассортимент используемых ими решений сильно отличается от типичного офисного набора.

После многих лет работы с клиентами, нуждающимися в обеспечении информационной безопасности промышленных систем, понимаешь одно: критическая инфраструктура требует особого внимания. Промышленные объекты зависят от компьютеров и программного обеспечения точно так же, как и обычные компании, вот только ассортимент используемых ими решений сильно отличается от типичного офисного набора. У них можно встретить даже машины десятилетней давности, спокойно работающие до сих пор. И операторов этих ЭВМ беспокоит не столько необходимость замены, сколько суммы, в которые обойдется остановка этих машин всего на час. Потому что на одной чаше весов убытки в миллионы долларов из-за простоя, а на другой — штрафы за несоответствие стандартам регуляторов в размере от тысячи до миллиона долларов в день.

В этой сфере обеспечение надежности и непрерывности процессов уже давно стало индустриальным стандартом, так что заимствование хотя бы части их практик теоретически могло бы послужить и нуждам «обычного» бизнеса. Но так ли это? Следует ли бизнесменам перенимать опыт у тех, кто занят безопасностью критической инфраструктуры? И да, и нет.

Разрабатывая решения для защиты промышленных объектов, мы по запросам клиентов реализовали в них несколько достаточно уникальных инструментов. Вот некоторые из них.

  • Режим наблюдения. Решения, обеспечивающие безопасность предприятий критической инфраструктуры должны уметь контролировать любую активность в сети и выявлять угрозы, но при этом команду на блокировку атаки должен отдавать оператор. Дело в том, что даже потенциальное вмешательство программы, обеспечивающей информационную безопасность, в работу софта, контролирующего критически важную систему (например, железную дорогу), недопустимо. Для защитников обычной ИТ-инфраструктуры это хороший пример грамотного внедрения инструмента для контроля приложений. Он работает в фоновом режиме, собирает всю статистику, анализирует, перерабатывает и только потом обращается за санкциями на крайние меры.
  • Оценка уровня безопасности. Системы критической инфраструктуры всегда работают совместно с обычными информационными сетями, и то, что за их безопасность, как правило, отвечают разные команды, изрядно осложняет задачу защиты. Независимая оценка экспертов, разбирающихся как в безопасности промышленных установок, так и в обычных ИТ-системах, помогает выявить потенциально слабые места, которые обычно находятся на стыке. Тот же самый метод хорошо подошел бы и для любой традиционной информационной инфраструктуры. На самом деле все разнообразие стационарных и мобильных устройств, локальных серверов и облачных сервисов не менее сложно, чем инфраструктура электростанции.
  • Система выявления эксплойтов. Технологии, предназначенные для выявления атак с использованием ранее неизвестных уязвимостей, должны работать на более высоком уровне, чем традиционные защитные системы. Как стало понятно после инцидента Stuxnet, в операциях против критических инфраструктур может применяться самое передовое кибероружие, и для борьбы с ним необходимы специальные инструменты. Однако сейчас направленные атаки угрожают коммерческим предприятиям гораздо чаще, чем промышленным объектам. Так что если вы спросите меня, когда уже настанет пора защищать бизнес от АРТ, то я отвечу: вчера.

Однако это все примеры практик, которые коммерческие компании могли бы перенять у предприятий критической инфраструктуры. Есть и другие примеры, не столь полезные. В ряде сфер деятельности они имеют право на жизнь, но их бездумный перенос в систему защиты бизнеса был бы крайне опрометчивым решением.

  • Старые аппаратные средства. Они стоят миллионы, они справляются со своими задачами на все сто, но среди них можно найти машины, до сих пор работающие на Windows 98. Для применения такого оборудования на предприятиях критической инфраструктуры основания есть, но использовать его в офисе однозначно небезопасно.
  • Изолирование операций. Сложно подвергнуть промышленную систему большему риску, чем подключив SCADA-систему напрямую к Интернету. Она должна быть изолирована. Однако для безопасности это определенно минус — изолированная система не сможет вовремя получить критические обновления. В традиционной корпоративной инфраструктуре изоляция крайне нежелательна — без изменения подхода к обеспечению безопасности в целом она может вызвать множество проблем.

Лучшее, что можно почерпнуть из опыта работы с критическими системами, — это необходимость правильного отношения к защите информации. Когда ты знаешь, что некорректное обновление программного обеспечения может на час вывести из строя всю систему и обернется потерей тысяч долларов в минуту, то ты просто не можешь не изменить свой подход. В случае обычного бизнеса, как правило, не все так страшно. Хотя и в этом случае можно лишиться от $66 тысяч (малый и средний бизнес) до $1,4 млн (крупные компании) из-за простоев вследствие инцидентов с безопасностью. С учетом этого выработка у себя «критического» отношения к вопросам защиты ИТ-инфраструктуры представляется мудрым выбором.

Советы