Конвергенция в промышленных масштабах: зачем бизнесу объединять информационные и операционные технологии
Для этого объединения есть несколько предпосылок:
- Индустрия 4.0. Cтремительная цифровизация производства вынуждает выстраивать сетевое общение между активами предприятия таким образом, чтобы данные датчиков и конечных устройств собирались уже в корпоративных IT-сетях.
- Требования с точки зрения эффективности. Сбор всевозможных данных о состоянии технологического процесса в каждый момент времени позволяет выстраивать этот процесс наиболее эффективно для бизнеса – минимизирует потери, получая предиктивную аналитику, и более разумно планирует затраты на сопровождение и обслуживание всей системы.
- Промышленный и обычный интернет вещей. В последние годы обретает повсеместное развитие набор технологий, который также позволяет предприятиям сократить затраты на обслуживание самого технологического процесса.
С такими предпосылками, развитием бизнеса и технологическим прогрессом возникает острая необходимость совмещения того «старого», разделенного и изолированного света в виде промышленных сетей, с новым светом – корпоративными IT-сетями.
Эти изменения в сетевой инфраструктуре неизбежно ведут к пересмотру моделей угроз, ранее сформированных для разных типов сетей и обрабатываемых в них данных. Потому что в связи с этим площадь поверхности атаки заметно вырастает.
В результате недавно проведенных исследований кибератак, эксперты команды Kaspersky ICS CERT подтвердили, что даже в местах физического разделения сетей воздушного зазора, называемого air gap, в системах больше не существует. Раньше под воздушным зазором подразумевалось как раз физическое разделение IT и промышленных сетей. Однако злоумышленники, применяя современные и продвинутые техники и тактики проведения кибератак, умудряются преодолевать такую изоляцию и, успешно заражая промышленный сегмент, красть важные данные. Проникновение в изолированную инфраструктуру является мощной точкой отказа для всего технологического процесса, а иногда и для бизнеса в целом.
Даже 5-7 лет назад аудиты безопасности в ряде предприятий показывали, что вполне реально получить доступ из обычного интернета в промышленный сегмент. Иногда происходили курьезные моменты для компании, но не для заказчиков. Например, представители заказчика говорили, что удаленного доступа, тем более из сети интернет, в промышленный контур нет. Однако в результате тестирования на проникновение был найден незадокументированный доступ: он был реализован нелегально ленивым сотрудником, которому попросту не хотелось ходить до производственного процесса из своего комфортного офиса.
В современных реалиях такие доступы уже официально реализованы и регламентированы, но введение подобных регламентов – лишь верхушка айсберга в защите предприятий. В таких случаях нужно осуществлять комплексную защиту как IT-сегмента, так и промышленного. И такая система должна учитывать все особенности цифровизации и грамотно коррелировать события – соотносить данные из этих двух типов сетей, – чтобы было возможно выделить аномальную и потенциально зловредную активность на самом раннем этапе ее возникновения.
Важно понимать, что с развитием современных методов атак, техник и тактик компрометации систем, промышленный контур нужно также защищать продвинутыми средствами защиты. Однако уже сейчас на российском рынке есть защитные решения класса XDR (Extended Detection and Response) для активов из мира промышленной автоматизации, которые позволяют обеспечивать обнаружение угроз и своевременное реагирование.
Спикер: Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT