Экспертно-аналитический центр группы компаний InfoWatch подготовил отчёт по результатам исследования кибербезопасности АСУ ТП.

В исследовании выявлен ряд изменений в подходах к защите АСУ ТП и КИИ за последний год, наиболее популярные и востребованные меры защиты, а также сопоставлены подходы к защите АСУ ТП в России и за рубежом. В ходе исследования эксперты выявили разницу в подходах к обеспечению безопасности у групп организаций в зависимости от наличия или отсутствия объектов КИИ, а также разницу и сходство между мнениями специалистов АСУ и ИБ.

Для большинства (84%) организаций-владельцев объектов КИИ характерна реализация различных комплексов мер безопасности для объектов КИИ и систем, к ним не относящимся. Одинаковые меры защиты всех категорий объектов применяются, в основном, в малых и средних компаниях, говорится в исследовании.

Для владельцев объектов КИИ приоритетными мерами защиты рабочих станций являются антивирусная защита, журналирование и передача логов в отдел ИБ и многофакторная аутентификация. Для организаций, которые не владеют КИИ, имеют значение антивирусная защита, журналирование и сканирование рабочих станций. Для групп в разрезе специалистов ИБ и АСУ приоритетной мерой является антивирусная защита и контроль подключаемых устройств. Для специалистов АСУ важны периодическое сканирование рабочих станций и контроль запускаемых приложений, для специалистов ИБ эта мера не столь приоритетна.

Для защиты промышленных сетей владельцы КИИ уделяют приоритетное значение межсетевым экранам и системам обнаружения вторжений. Для организаций, которые не владеют КИИ, основной мерой также считают межсетевой экран. Как и владельцы КИИ, так и специалисты ИБ и АСУ самой необходимой функцией защиты промышленной сети считают межсетевой экран и системы обнаружения вторжений.

Говоря об общих подходах к защите информации, исследователи выяснили, что обе группы респондентов показали наименьший интерес к использованию антишифровальщиков и многофакторной аутентификации.

Исследователи InfoWatch приводят данные отчетов ряда западных компаний по кибербезопасности, которые отмечают высокий риск угроз вирусов-шифровальщиков, в т. ч. развитие атак подобного типа, поскольку шифровальщики предлагают в качестве услуги. Экспертов компании Dragos5 в отчёте по итогам 2022 года говорят, что металлургия, автомобильная промышленность, электроника и полупроводниковая промышленность стали отраслями, наиболее подверженными атакам c помощью вирусов-вымогателей. По данным отчёта компании Otorio, по итогам второго полугодия прошлого года самые атакуемые секторы — это критический производственный сектор и электроэнергетика.

Эксперты InfoWatch обращают внимание, что Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) в своих рекомендациях неоднократно отмечает высокий риск угроз вирусов-шифровальщиков, способных нанести крупный ущерб организации. Именно «антишифровальщики» и настройка многофакторной аутентификации — часть основных мер для обеспечения кибербезопасности АСУ ТП в США. О высокой роли МФА говорит и отчёт о кибербугрозах для АСУ на 2023 год «Лаборатории Касперского».

Более 70% опрошенных InfoWatch специалистов обеих категорий считают, что средства защиты информации на предприятии должны соответствовать официальным требованиям (например, ТУ от вендора, требованиям от ФСТЭК России, ФСБ России). В группе специалистов АСУ такого мнения придерживаются 84% респондентов.

Для организаций-владельцев объектов КИИ в большей степени имеет значение установка СЗИ, соответствующих официальным требованиям, что объясняется требованиями нормативно-правовых актов и документов, регулирующих безопасность КИИ.

Респонденты в большинстве случаев считают, что необходимо устанавливать СЗИ, рекомендованные производителем АСУ. При этом специалисты АСУ предпочитают установку СЗИ, рекомендованных и согласованных с производителем или поставщиком АСУ, а не сертифицированных средств защиты. Во многом этот выбор обусловлен ответственностью за непрерывность функционирования систем. Поэтому специалисты АСУ критически относятся к появлению дополнительных средств, которые могут нарушить функционирование АСУ ТП. Решением проблемы может являться оценка соответствия СЗИ (в т. ч. совместимости с АСУ) в ходе пилотных проектов на этапе выбора СЗИ (на этапе проектирования).

В ходе исследования выявлены различные мнения о перспективах перехода на российские операционные системы. Специалисты АСУ более скептически относятся к импортозамещению ОС в сфере АСУ — половина считает, что даже через три года переход на российские ОС для них неосуществим.

Владельцы объектов КИИ проявляют больший интерес к внедрению промышленного Интернета вещей (IIoT), внедрять его планируют 12%. Это говорит как о следовании общей тенденции на конвергенцию ИТ/ОТ, так и о необходимости создания новых моделей угроз, собственных систем IIoT и СЗИ, которые обеспечивать их безопасность.

82% опрошенных представителей субъектов КИИ сообщили, что в их организации разделены корпоративная и промышленная сети. У компаний, не владеющих объектами КИИ, этот показатель составил 58%. При этом подходы обеих групп похожи в реализации разделения сетей — 55% и 56% сетей разделены через СЗИ.

Опрос проводился с мая по июнь 2023 года. Основную долю респондентов (70%) составили специалисты ИБ, ИТ и АСУ ТП из промышленного сектора, в частности, из нефтегазовой отрасли (15%) и электроэнергетики (13%). В опросе также приняли участие респонденты из оборонного сектора, атомной отрасли, приборостроения, транспорта и других. Специалисты ИБ составили наибольшую долю опрошенных — 63%, специалисты АСУ — 7%. 65% участников исследования сообщили, что работают в организациях, являющихся владельцами объектов КИИ.