СКДПУ НТ в нефтегазовой отрасли
[ СКДПУ НТ ]
В первом полугодии 2024 года наибольшее число киберинцидентов (38%) было зафиксировано в российской промышленности и энергетике (согласно отчету BI.ZONE TDR). В частности, нефтегазовая отрасль - одна из самых привлекательных для злоумышленников, поскольку данные в этой сфере оцениваются в триллионы рублей. Компании, занимающиеся добычей, транспортировкой и переработкой углеводородов, играют ключевую роль в критической информационной инфраструктуре России. Большинство успешных кибератак происходят из-за слабой парольной политики, недостаточно эффективного контроля доступа и существующих уязвимостей. И зачастую их главная цель - это не материальная выгода, а получение данных для достижение конкурентного преимущества. Действия злоумышленников могут повлечь за собой разнообразные последствия: финансовые потери из-за полной или частичной остановки производства, нарушения в процессах транспортировки сырья и негативное влияние на окружающую среду. Чтобы не допустить подобного исхода и сохранить операционную эффективность предприятий нефтегазовой отрасли, необходимо обеспечить максимально высокий уровень защиты их ИТ-инфраструктур, включая использование систем по контролю привилегированного доступа.
[ 01 ]
Проблематика
В нефтегазовой отрасли выделяются основные проблемы, связанные с защитой информации:
Утечка конфиденциальной информации. Целями киберпреступников могут стать коммерческая тайна, планы разработки или данные о месторождениях. Утечка подобной информации может привести к финансовым потерям, утрате конкурентных преимуществ и юридическим последствиям.
Уязвимости IoT-устройств. С увеличением использования Интернета вещей (IoT), например, беспроводных датчиков или камер с функцией видеоаналитики возрастает риск кибератак через эти устройства, которые могут быть недостаточно защищены.
Устаревшие средства защиты. Зачастую на предприятиях обнаруживаются критические уровни уязвимостей, связанные с использованием устаревших систем и программных решений, которые не соответствуют современным стандартам безопасности. Они могут стать причиной остановок производственных процессов.
Недостаток специалистов по кибербезопасности. Нехватка квалифицированных ИБ-кадров в нефтегазовой сфере может привести к повышению числа успешных атак со стороны злоумышленников.
Саботаж инфраструктуры. Модификация настроек систем управления, удаление или блокировка критических данных, фальсификация показаний датчиков могут привести к остановке производственного цикла, что способно вызвать значительные финансовые потери и негативно сказаться на репутации компании.
Недостаточный уровень контроля в рамках цепочки поставок. В ситуации отсутствия единых политик кибербезопасности ее уровень может снижаться из-за несоответствия стандартов защиты между разными участниками цепочки поставок.
Киберхактивизм. Действия активистов, направленные на подрыв производственной деятельности, могут привести к значительным сбоям в работе и общественному резонансу, что способно негативно повлиять на развитие бизнеса.
Нарушение законодательства и стандартов. Несоблюдение государственных регламентов в области информационной безопасности может привести к штрафам и санкциям со стороны регуляторов.
Недостаточная защищенность распределенных АСУ ТП. Распределенные системы управления, используемые в нефтегазовой отрасли, зачастую имеют недостаточную защиту, что делает их уязвимыми для атак и повышает вероятность серьезных сбоев в производственных процессах.
[ 02 ]
Риски
1. Финансовые потери из-за нарушения производственных процессов или кибератак.
2. Нарушения в работе распределенных АСУ ТП вследствие кибератак со стороны злоумышленников.
3. Возможность потери контроля над безопасностью данных из-за использования облачных сервисов и IoT-устройств.
4. Экологические катастрофы: кибератаки способны вызвать аварии, угрожающие жизни и здоровью населения.
5. Потеря конкурентных преимуществ вследствие утечек конфиденциальной информации о производстве.
[ 03 ]
Векторные атаки
1. Атаки на SCADA-системы. Целевые атаки на системы управления технологическими процессами, которые способны приостановить или полностью прекратить работу объектов.
2. Действия злоумышленников через нелояльных сотрудников. С помощью шантажа или прямого подкупа злоумышленники получают доступ к АСУ ТП и могут, например, остановить процесс каталитического крекинга на НПЗ либо просто зашифровать всю ИТ-инфраструктуру, чтобы предприятие встало и понесло многомиллиардные убытки.
3. Атаки на недостаточно защищенные удаленные рабочие места. Их уязвимость упрощает злоумышленникам процесс получения доступа к системам с конфиденциальной информацией.
4. Неправомерное использование доступов сотрудников или подрядчиков с повышенными привилегиями. Такие пользователи могут злоупотреблять своими полномочиями, например, изменять данные, удалять записи или пользоваться своими правами для доступа к неиспользуемым в их работе данным с целью кражи информации.
5. Взлом IoT-устройств. Использование слабых паролей или уязвимостей в протоколах безопасности для получения доступа к системам управления.
6. Социальная инженерия и заражение вредоносным ПО. Эффективные методы получения доступа к учетным данным сотрудников и их кражи, а также изменения работы систем управления.
7. Эксплуатация уязвимостей. Использование известных уязвимостей ПО для доступа к системам, а также к конфиденциальной информации, например, к проектной документации или данным о месторождениях.
8. Атаки на цепочки поставок. Многоуровневые цепочки поставок создают дополнительные риски атак через подрядчиков.
[ 04 ]
Решение
1. Выдача доступа к привилегированным учетным записям и целевым системам только определенным сотрудникам и только на время, необходимое для выполнения задач, чтобы снизить вероятность саботажа инфраструктуры.
2. Мониторинг и аудит действий пользователей с повышенными привилегиями для выявления подозрительной активности, анализа событий и детектирования отклонений в рамках их поведения, чтобы предотвратить отправку вредоносных команд.
3. Внедрение многофакторной аутентификации для защиты от несанкционированного доступа к управлению IoT-устройствами.
4. Централизованное управление доступом и автоматизация процессов управления привилегиями во избежание эксплуатации уязвимостей.
5. Управление паролями целевых учетных записей без необходимости установки агентов на целевые устройства по настраиваемым политикам, чтобы минимизировать возможность атак на SCADA-системы.
6. Полная запись видео и метаданных сессий с созданием долгосрочного архива для использования их в качестве доказательной базы при выяснении причин неосторожных или злонамеренных действий операционного и эксплуатирующего персонала, КИПовцев и подрядчиков.
7. Защита доступа к информационным системам объектов КИИ и распределенных АСУ ТП, в том числе для сохранения целостности ИТ-инфраструктуры нефтегазовых предприятий, непрерывности их технологических процессов, а также обеспечение выполнения мер защиты, изложенных регуляторами, в частности, ФСТЭК России.