Нефтегаз в зоне киберриска

Цифровизация производства в нефтегазовой отрасли невозможна без совершенствования систем кибербезопасности, риск несанкционированного проникновения и утечки данных с развитием технологий растет прямо пропорционально. По результатам исследования компании «СерчИнформ», в российских нефтегазовых компаниях гораздо шире, чем в других отраслях, внедрены инструменты защиты информации, включая такие специфические, как SIEM-системы (применяет 31% опрошенных компаний) и DLP-системы (47%). В исследовании приняли участие 1024 представителя российского бизнеса, 55 – компании нефтегазового сектора.

Информация утекает

Подавляющее большинство российских нефтегазовых компаний (90% ответов) подписывает с сотрудниками соглашение о неразглашении конфиденциальных данных.

Тем не менее в 2018 г. в отрасли чаще, чем в других, сталкивались с утечками персональных данных.

Рост отметили 22% опрошенных против 15% в других отраслях. С утечками информации в 2018 г. столкнулся 71% опрошенных нефтегазовых компаний.

Среди других серьезных инцидентов респонденты выделили промышленный шпионаж (20%) и организацию «фирмы-боковика» (8%), четверть инцидентов произошла по вине представителей руководящего состава. В большинстве случаев (31%) инциденты наносили имиджевый ущерб; крупный финансовый ущерб тоже имел место (13%).

Безопасность требует денег

Такие данные вынуждают нефтегазовые компании в 39% случаев увеличивать бюджет на информационную безопасность (ИБ). Правда, 44% сообщили об отсутствии динамики в бюджете 2018 г., а 17% и вовсе сократили бюджет.

К сожалению, в силу неоднородности отрасли оценить средний объем годового бюджета нефтегазовой компании на поддержку и развитие ИБ не представляется возможным, но, так или иначе, ИБ требует внушительных затрат. Обеспечить абсолютную безопасность невозможно.

«С учетом устойчивого тренда по повышению роли ИБ в нефтегазовой сфере бюджеты на обеспечение информационной безопасности приближаются к 10% от ИТ-затрат. Буквально несколько лет назад бюджеты на ИБ были в разы меньше.

Современный менеджмент нефтегазового сектора стал понимать, что количество выявленных инцидентов в сфере ИБ сокращается с ростом объемов инвестиций в обеспечение безопасности», – комментирует Михаил Петрик, руководитель группы отраслевого продвижения департамента информационной безопасности Softline.

По его словам, в компаниях отрасли ущерб от угрозы, приведшей даже к кратковременному сбою в работе добывающего или транспортирующего оборудования, может измеряться миллионами, а утечка проектной документации может повлечь серьезные коммерческие и репутационные издержки. Бюджет зависит от ряда факторов: масштабности компании, текущего состояния информационной безопасности и даже корпоративной культуры. Но есть прямая корреляция между инвестициями в ИБ и снижением количества инцидентов, с ней связанных.

Как отмечает адвокат Дмитрий Зацаринский, расходы на информационную безопасность в нефтегазовой сфере необходимо пересматривать и повышать минимум раз в год – злоумышленники становятся все более изощренными и находят новые способы кражи данных и нанесения ущерба. Нефтегазовые предприятия вкладывают в ИБ не столь значительные суммы, если сравнивать их с потенциальным ущербом.

«За последние годы жертвами кибератак стали такие компании, в которых вопросам безопасности уделялось очень серьезное внимание; абсолютно защищенных нет. Объем финансирования безопасности в первую очередь определяется как объемом защищаемой инфраструктуры, так и количеством людей, использующих ИТ-системы. Для крупных организаций бюджет может составлять сотни миллионов рублей в год», – комментирует Александр Бондаренко, генеральный директор компании R-Vision.

Он отмечает, что на рынке в последние годы заметен ощутимый рост финансирования вопросов, связанных с ИБ. Этому способствовали и законодательные инициативы – в первую очередь закон, предусматривающий защиту критической информационной инфраструктуры. Свою роль также сыграли последние громкие инциденты в области ИБ и общий рост напряженности в мире.

Павел Волчков, начальник отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет», дополняет, что бюджеты нефтегазовых компаний на ИБ являются закрытой информацией, защищенной NDA (соглашениями о неразглашении конфиденциальной информации). Развитие ИБ часто проводится вместе с модернизацией ИТ-инфраструктуры; фактически на эти цели идет ИТ-бюджет организации или бюджет автоматизации.

«Технологические риски в отрасли гораздо более глобальны, чем в других сферах. Год за годом растут и необходимые на защиту ИБ бюджеты, это общемировая тенденция. Суммы, необходимые для качественного обеспечения информационной безопасности, зависят от размера компании.

Для определения бюджета на кибербезопасность действует правило оценки рисков: сумма затрат должна кратно увеличиваться в зависимости от суммы активов, которые могут быть похищены или испорчены»,

– говорит Татьяна Игуменшева, директор по маркетингу компании Attack Killer.

Риски велики

Алексей Парфентьев, руководитель отдела аналитики «СерчИнформ», отмечает, что нефтегазовые компании имеют более сложные, чем в других отраслях, бизнес-процессы. В основном это компании, территориально распределенные и с очень неоднородной ИТ-инфраструктурой.

«Развитая филиальная сеть – это всегда большая головная боль для ИБ-специалистов, число инцидентов в таких компаниях всегда выше. И самое главное, мотивация злоумышленников очень высока – в отрасли много денег», – отмечает Парфентьев.

По его мнению, наряду с банковской, нефтегазовую сферу можно назвать хорошо защищенной. Как правило, в ИБ-отделах выстроена стройная вертикаль распространения практик внутри компании, есть средства на закупку дорогостоящего программного оборудования защиты информации, есть возможность нанимать лучшие кадры.

«В этом и объяснение парадокса, почему при хорошей оснащенности средствами защиты процент инцидентов, утечек информации так высок, – много выявляется.

Там, где другие пропустят инцидент, нефтегазовые, благодаря более развитому контролю, выявят и пресекут. Но главная угроза для отрасли не в утечке информации, а в инцидентах по вине человека (финансовые нарушения, мошенничество)», – убежден Парфентьев.

Бондаренко считает, что в общем и целом компании отрасли не более и не менее уязвимы, чем организации других отраслей. Единственный отличительный фактор – в силу особенностей технологических циклов, по которым живет отрасль, модернизация и внедрение механизмов безопасности и ИТ-систем осуществляется медленнее.

«В результате в нефтегазовых компаниях чаще можно встретить морально устаревшие системы, содержащие серьезные уязвимости, но все еще используемые в производственных процессах и нуждающиеся в механизмах защиты», – говорит эксперт.

По словам Волчкова, ИБ-риски нефтегазовых компаний обусловлены географической распределенностью (сложнее реагировать на инциденты), большой поверхностью атаки (обилие разнородных устройств в сети), традиционными сложностями в защите АСУ ТП (устаревшее оборудование).

«Как ни парадоксально, эти факторы в совокупности дают компаниям потенциал роста. Объективно необходимая цифровизация бизнеса при правильном подходе и встраивании аспектов ИБ может служить отличным драйвером развития информационной безопасности и реализации принципа security-by-design», – убежден Волчков.

Данил Дрожжин, эксперт по сетевой безопасности компании КРОК, дополняет, что критичное оборудование, подключенное к сети передачи данных, не всегда получает своевременное обновление из-за низкой пропускной способности каналов связи.

Причина все та же – территориальная удаленность.

«Здесь физически невозможно прокачать все обновления безопасности и закрыть все бреши в оборудовании. Чем больше «зоопарк» необновленных устройств, тем обширнее площадь кибератаки (attack surface). Злоумышленники активно используют возможности эксплуатации уязвимостей ПО в своих целях – от кражи конфиденциальных данных до приостановки производственных процессов», – говорит Дрожжин.

По его мнению, уязвимой инфраструктуру нефтегазовой компании может сделать отсутствие или неправильная сегментация сети. К чему это может привести?

«Возьмем, к примеру, буровую установку. Из-за неправильной сегментации сотрудник может получить несанкционированный доступ к сегменту АСУ ТП, что может привести к простоям производственных и бизнес-процессов и, как следствие, многомиллионным убыткам»,

– поясняет Дрожжин.

Игуменшева отмечает, что, если успешная атака на АСУ ТП прервет технологический процесс на несколько секунд, это может привести к его остановке на многие часы или недели, к выходу из строя дорогостоящего оборудования и к серьезным техногенным катастрофам. Еще недавно считалось, что изоляция технологической части от сетей общего пользования делает хакерские атаки на АСУ ТП невозможными; с развитием цифровизации производства изоляция уменьшается, а количество угроз растет.

Игорь Зельдец, директор по комплексным продажам компании КРОК, обращает внимание на то, что предприятия нефтегазовой отрасли – это опасные производственные объекты (ОПО). В худших случаях хакерские атаки могут привести к экологическим катастрофам и человеческим жертвам. Поэтому информационная безопасность промышленных систем – критически важный фактор для предприятий отрасли.

Спасение в комплексе

Среди систем обеспечения ИБ в нефтегазовой отрасли наиболее актуальными эксперты называют позволяющие максимально быстро реагировать на инциденты – всё, что касается центров мониторинга событий и накопления информации о текущих угрозах. Актуальность не теряют и «гигиенические» средства: антивирусы, межсетевые экраны, средства защиты почты и т. д.

Как отмечает Зацаринский, для повышения уровня безопасности необходимо на постоянной основе мониторить работу всей системы безопасности, проводить разработку политики безопасности, обеспечивая ее соблюдение, также проводить оценку угрозы/уязвимости.

Дрожжин дополняет, что обеспечение ИБ – процесс, к которому необходимо подходить комплексно. Отдельная локальная система, направленная, например, на выявление вирусов в потоке поступающей извне информации, не защитит от угроз, которые проникнут, условно, через флешку.

По его словам, каждый эшелон защиты должен быть закрыт специализированными ИТ-инструментами. Есть лучшие практики политик сегментации сети: межсетевые экраны нового поколения, отвечающие за фильтрацию трафика; «песочницы», помогающие обнаруживать неизвестные угрозы; технологии обеспечения безопасной работы конечных пользовательских устройств.

«Управление всеми этими решениями должно быть централизовано, иначе полноценную систему не выстроить. Как показывает практика, большая часть проблем в обеспечении ИБ связана с недостаточно гибким и прозрачным процессом управления сетевой инфраструктурой»,

– подчеркнул Дрожжин.

Петрик дополняет, что практика проведения тестов на проникновение показала, что большинство технологических сетей нефтегазовой отрасли сейчас уязвимо. Тема безопасности критичной инфраструктуры в ближайшие несколько лет будет очень актуальна, и это подтверждает политика государства и законодательство в этой области.

Мария Ромашкина