В последнее время информация о киберинцидентах на промышленных объектах стала появляться чаще. Причем компании становятся жертвами не столько целевых атак, сколько обычных вирусов-вымогателей. Глобальные атаки вирусов WannaCry и Petya показали уязвимость предприятий. Как отличается отношение властей разных стран к кибербезопасности критической инфраструктуры, во сколько может обойтись некомпетентность в этой сфере и каких новых угроз можно ожидать, рассказал в интервью РИА Новости директор по развитию бизнеса безопасности критической инфраструктуры "Лаборатории Касперского" Андрей Суворов. Беседовала Надежда Цыденова.
- Какие в настоящее время существуют проблемы кибербезопасности промышленных объектов?
Согласно нашему исследованию, 74% опрошенных полностью понимают, что существует риск стать целью кибератаки. При этом 54% промышленных предприятий подтвердили то, что за последние 12 месяцев у них такие инциденты были минимум один раз.
Однако динамика показывает, что сегодня люди уже достаточно конструктивно относятся к тому, что нужно сделать для того, чтобы как минимум снизить такие риски. К этому уже относятся как к определенного рода бизнес-рискам.
- В каких странах наиболее серьезно относятся к такого рода рискам?
В России четыре из пяти параметров есть. Мы даже во второй группе, которая близка к лидерам. В лидерах, например, Сингапур и Малайзия. В этих странах защите критической инфраструктуры придается очень серьезное значение — на уровне специализированных агентств. В Сингапуре, например, The Cyber Security Agency of Singapore (CSА) подчинено напрямую премьер-министру.
Можно к лидерам также отнести США и Германию. Среди отстающих — страны Латинской Америки, отдельные страны Восточной Европы.
- Какова статистика и география атак на объекты критической инфраструктуры и промышленные предприятия?
— По данным за второе полугодие 2016 года, были атакованы около 40% промышленных компьютеров во всем мире. Ежемесячно в среднем каждый пятый (20,1%) промышленный компьютер подвергается атакам вредоносного ПО. Причем процент атакованных компьютеров с каждым месяцем растет. В основном источником заражения является интернет.
Наибольшее количество кибератак на промышленные системы в том периоде было обнаружено в азиатских странах: во Вьетнаме, Китае, Индии, а также в Алжире, Марокко, Иране. Россия в этом рейтинге занимает 22 место.
- Атакуя банки, злоумышленники выводят из них крупные суммы денег. А какова цель кибератак на промышленные компании? Что могут получить преступники? Во сколько можно оценить ущерб от таких атак?
Бывают иногда даже ошибки операторов и это всегда очень серьезные потери. Как правило, они исчисляются миллионами. Проведя опрос, мы выяснили, что на устранение последствий этих инцидентов, случившихся в течение года, каждая компания потратила в среднем 497 тысяч долларов.
На сегодня все наши компании очень сильно зависят от технологий. Информационные технологии и все, что касается вычислительных систем, является очень дорогим активом любой компании. Уже не так важно похитить информацию со счетов карточек пользователей или даже с корреспондентских счетов банков. А достаточно попытаться остановить на минуту работу предприятия, которое зависит от IT и попросить за это денег. Это вымогательство со знанием того, сколько это может стоить компании.
- Какой средний выкуп просят преступники?
Стоимость остановки конвейера стоит намного больше. В Honda, например, речь шла о том, что они не смогли выпустить своевременно тысячу машин.С другой стороны, когда речь идет об атаках на промышленный объект, конечно, здесь другие параметры и показатели. История вымогательства с промышленных объектов началась в мае 2016 года, когда остановили компьютеры компании, которая занимается дистрибуцией энергии в Мичигане, именно в промышленном контуре. Попросили 17 тысяч долларов.
Поскольку эта история только начинается, то можно сказать, что это первые попытки, своего рода тестирование.
Евгений Касперский много раз говорил на выступлениях до атаки WannaCry, что вымогательство в 2017 году может быть достаточно печальным трендом. Почему мы хотим поднять отношение к этой проблеме? Потому что сейчас зависимость от технологий очень высока и уже не надо воровать деньги со счетов, а можно определенным образом блокировать работу предприятия для того, чтобы это предприятие само платило деньги этим киберкриминальным группировкам.
- После инцидента с WannaCry вы как-то зафиксировали увеличение интереса к кибербезопасности? Может быть, многие пересмотрели бюджет для IT-безопасности? Наблюдается ли тренд какой-то?
Последний вирус, который, наверное, очень серьезно обсуждается до сих пор, называется Win32/Industroyer. Информация по нему появилась 12 июня. Эта программа предназначена для нарушения рабочих процессов в промышленных системах управления, в частности, на электрических подстанциях. Эксперты предполагают, что вирус может быть связан с нарушением работы энергетической системы Украины в декабре прошлого года.
Энергетика очень уязвима. Одной из серьезных уязвимостей являются открытые стандарты и открытая передача данных. То есть в энергетике информацию о протоколах передачи данных, которая используется в достаточно серьезных системах, можно скачать из интернета и изучить.
Злоумышленники могут легитимно использовать специфические протоколы, которые в данном случае используют почти все энергетические системы независимо от стран, для того, чтобы эти атаки проводить.
Хорошая новость заключается в том, что если мы говорим о промышленной кибербезопасности, то никто, даже самый талантливый хакер, не может сделать атаку за один шаг. Такие подозрительные события можно детектировать на ранних стадиях, такие команды, как правило, отличаются по параметрам от штатной команды.
- А разве нельзя ограничить или закрыть доступ к этому протоколу?
— Закрыть, безусловно, можно. Но с одной стороны, если сейчас закрыть, то всю информацию уже, кому надо было, скачали. Мы видим больше эффекта, если люди, которые эксплуатируют такие объекты, понимают потенциальные вектора угроз и то, как защищаться от таких вариантов.
- Как с этим обстоят дела в России?
У нас в настоящее время проводится опытная эксплуатация решения в региональной компании "ВологдаЭнерго". Благодаря коллегам из "Россети" мы смоделировали угрозы, установили решения. Сейчас отрабатываем все те вопросы, которые в дальнейшем можно будет тиражировать.
Мы ведем работу не только по энергетике России.
- А в каких еще странах вы предоставляете свои услуги в сфере промышленной безопасности?
— Мы работаем в 200 странах. Но не во всех странах мы работаем с промышленной историей.
Наше решение для защиты критической инфраструктуры как продукт относительно молодое. Мы его на международный рынок вывели в апреле 2016 года. Зашли в ряд регионов, например, работаем с большинством основных энергетических компаний в Швейцарии.
У меня очень серьезный оптимизм по проектам на Ближнем Востоке, в Азии. В Латинской Америке мы начали серьезно работать с начала 2017 года.
- А в каких странах вас нет? На какие рынки сложно выйти из-за, например, законодательных ограничений?
— Сложнее работать в Америке, но у нас есть там команда. И есть даже перечень первых проектов, над которыми мы работаем.
Нам, как ни странно, чуть сложнее работается в Европе. Странность в том, что у нас в Европе очень хороший бизнес. Но может быть, поэтому нас воспринимают больше как компанию, которая делает решения для корпоративного блока, но не для производственных компаний.
И здесь мы очень серьезно инвестируем в работу с вендорами промышленной автоматизации. То есть это крупные компании, которые эти средства производят. Например, у нас пройдена сертификация с рядом крупнейших компаний, таких как Siemens, Emerson, Schneider Electric, General Electric.
Ну, наверное, в Антарктиде у нас нет перечня проектов по этому направлению. Хотя компания тоже там присутствует.
