Фисенко: промышленных шпионов раскроют при помощи искусственного интеллекта

12 Апреля 2023

- Лев Иванович, какого разряда угрозы встают перед промышленными предприятиями?

- Существует несколько опасностей – это угроза прерывания технологических процессов, риск потери данных и возможность полноценной аварии. Начало струящегося и весь прошлый год отличались от предыдущих достаточно большим количеством атак, направленных на технические предприятия со стороны идейно вдохновленных хакеров, – как их еще называют – хактивистов. Потенциально самым страшным результатом в данной деятельности могли бы быть техногенные катастрофы. Поэтому надо бояться подобного фанатизма, связанного с политикой, пропагандой каких-либо идей. Люди, вдохновленные этим, замышляют порою жуткие, ужасные вещи и не увидят ответственности за их последствия.

- Спасает, наверное, то, что они – не специалисты?

- Совершенно верно. Большинство в данных эмоционально настроенных людей не обладают высокой квалификацией, но раз в год и палка стреляет. Есть примеры, когда мы обследовали предприятия, соединённые с коммуникациями. И на удивление в их технологические сетки можно было попасть через конторскую IT-инфраструктуру посредством доступа через Wi-Fi-точки. Прямым следствием могло часто ходить (я почти не утрирую) перекрытие некой задвижки в трубопроводе, нарастание давления и последующий взрыв. Не так страшно, если это труба с водой, а если с горючими веществами? С газом? Или на земли большого города, в плотнонаселенном районе?

- Какие алгоритмы и действия используют мошенники в отношении предприятий и госструктур?

- По большому счету ничего нового не появилось. Количество злоумышленников увеличилось, но уровень их компетентности в среднем сильно упал за счет удвоения количества непрофессионалов. Отчасти поэтому в прошлом году на земли РФ была отбита большая часть активности злоумышленников. В этом году есть основание предполагать, что атаки будут более специализированными и продуманными, а уровень участвующих лиц будет выше. Этой тенденции стоит опасаться в разы сильнее.

- Прогнозируете ли вы в этой связи появление новых угроз?

- Угрозы останутся теми же – деятельность шифровальщиков, фишинговые рассылки, DDoS-атаки. Целевые атаки для кражи технологий с наукоемких предприятий и компаний – были, есть и будут. Определенную опасность будет представлять конкурентная деятельность – со стороны компаний-конкурентов или стран-конкурентов. Будет увеличиваться количество случаев привлечения технических шпионов. Криптомайнеров, кстати, опасаться не стоит – это направление и не присутствовало сильно популярным. А благодаря средствам автоматизации в IT-инфраструктуре и средствам мониторинга в текущих инфраструктурах компаний допустить бесконтрольное расходование сайтов практически нельзя. Это в большинстве случаев видно. Гораздо опаснее то, что не так заметно.

- Например?

- Интересный нюанс с точки зрения информационной безопасности на промышленных предприятиях – безопасность в автоматизированных системах управления техническим процессом (АСУ ТП) и в технологических сетях, в том числе безопасность контроллеров. Автоматизация и цифровизация с каждым годом становятся глубже. Контроллеры технологических процессов повсеместно присутствуют на современных производствах в РФ. Они могут иметь биссектрисы доступ в интернет или через систему управления, которая общается, допустим, с сайтом компании производителя системы. Соответственно, гипотетически можно допустить оформление внешнего управления злоумышленниками.

- Именно над контроллером?

- Да, над неким определенным контроллером, который отвечает за простейшую функцию. Например, открывает заслонку, уже после переездом закрывает. Гипотетически, завоевал доступ к этому, достаточно получить общий доступ к способ организации.

- Можно ли от этого избежать?

- Такие неприятные казусы могут приключаться, когда IT-инфраструктура компании имеет доступ в технологическую сеть. Как правило, технологические сетки отделяют от общей инфраструктуры, но при этом мостики могут остаться. Иногда они по разгильдяйству плодятся в больших количествах. В идеале же их быть не должно. Технологические сети должны быть отделены от доступа в интернет. Эта мера дает достаточно высокий уровень защищенности технологических сетей.

- На какие моменты, связанные с информативной безопасностью, руководителям следует обращать внимание в первую очередь? Как могут выглядеть тревожные звоночки ?

- Четкого перечня нет. Все зависит от конкретной решаемой задачи и локального окружения в рамках ее решения. Информационной безопасности сейчас уделяется самое пристальное внимание, но не все компании могут себе позволить большие траты. На это есть компании, подобные нашей, которые в состоянии в рамках небольшого бюджета решить конкретную задачу обеспечения информативной безопасности.

- То есть, информационный щит доступен даже низким компаниям?

- Да. Если кооперировать разумное и достаточное, то вопрос вполне подъемный. И это прерогатива не только массивных компаний, у которых присутствует большие бюджеты. Как приятный пример мы можем привести препарат Kaspersky Industrial CyberSecurity. Решение предназначено для технологических сетей, закрывает и уровни рабочих мест операторов, и ядра способ организаций АСУ ТП, при этом протестирован на совместимость с вендорами АСУ ТП и не влияет на работоспособность системы автоматизации. Так, Kaspersky Industrial CyberSecurity for Networks может в прибыльном режиме снимать информацию, контролировать отклонения от нормального профиля страды, а также выявлять вмешательства в промышленную сеть. Далее продукт сигнализирует ИБ-специалистам о том, что есть некоторые видоизменения в промышленной сети, и их надо более внимательно оглядеть.

- Может ли сейчас предприятие огородиться подобием большого китайского файервола?

- У нас есть сферы промышленности, которые изолированы от интернета, однако чем больше цифровизация проступает в работу производственных предприятий, тем меньше мы себе можем позволить ограничений от общего числового пространства. Поскольку взаимодействие с интернетом, с цифровыми сайтами – национальными, международными, отраслевыми – дает только пассивный плюс с точки зрения прогресса в технологиях, например в части реализации продукции. Мы уже не можем жить в рамках определенной области, индустрии, страны, для обслуживания процессов необходимо взаимодействие.

- А если крупный концерн решит объединить всех поставщиков комплектующих под своей крышей. Он ведь может самоизолироваться?

- Такие меры снижают себестоимость, сокращают логистические цепочки. Но даже большие компании не могут собрать у себя весь технический процесс. Думаю, производство все равно будет географически распределенным и, скорее всего, межгосударственным с акцентом на данная страны Азии и Ближнего Востока. Это и удобнее – где-то дешевле производить одну продукцию, где-то – другую, где-то больше специалистов в одной зоны, где-то – в прочий. Это нельзя выровнять по миру, да и по стране тоже.

- Состоялось ли импортозамещение в области информационной безопасности?

- К началу этого года мы видим, что в части информативной безопасности у нас, в принципе, пробелов нет. Большая часть решений ИБ импортозамещена, где-то функционально может часто ходить похуже, а в кой-каких продуктовых направлениях – и поприятнее, сравнивая с импортными аналогами. Если есть отставание в определенных функциональностях по продуктовым направлениям, это достаточно быстро заживает. Появляются производственные предприятия, которые выпускают полностью российское оборудование. Особых альтернатив нет – надо поднимать это направление.

Для долговременного решения вопросов информационной безопасности и, соответственно, полного перевала на решения российских производителей российские вендора предлагают комплексные решения. Например, Лаборатория Касперского нарисовала Kaspersky Symphony – это линейка решений, в которой покупатель может самостоятельно выбрать подход к защите своего бизнеса, исходя из своих потребностей и бюджета: расширять собственную защиту или же выбрать управляемую защиту от экспертов Лаборатории Касперского.

Первый подход заключается из трех тиров, вовлекающих технологии классов EPP (Endpoint Protection Platform), EDR (Endpoint Detection and Response) и XDR (Extended Detection and Response). Так, Kaspersky Symphony Security обеспечивает автоматическую защиту рабочих мест - как физических и мобильных, так и виртуальных. Второй тир Kaspersky Symphony EDR дает возможность расширить базовую автоматическая защиту конечных точек и предлагает инвентари для обнаружения сложных и полезных атак и реагирования на них. И верхний уровень линейки - Kaspersky Symphony XDR. Решение, которое включает все возможности предыдущих тиров, а также предоставляет корреляцию событий безопасности, сетевую песочницу, умозаключительные данные Kaspersky Threat Intelligence и даже модуль обмена данными с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Использование таких комплексных тиров от вендора разрешает в рамках одной лицензии или подписки получить полный функционал из набора решения производителя и затворить основные ИБ-потребности.

Второй же подход представляет собой управляемую защиту бизнеса и включает два тира Kaspersky Symphony Security и Kaspersky Symphony MDR (Managed Detection and Response). Kaspersky Symphony MDR помимо включенной базовой защиты итоговых точек позволяет пользоваться ключевыми преимуществами SOC, не имея его внутри компании, то присутствует отдать защиту своего бизнеса на аутсорс экспертам Лаборатории Касперского.

- Какие направления в сфере информационной безопасности в настоящее время развиваются наиболее динамично и являются самыми потребованными?

- Традиционно уже несколько лет подряд самый сильный тренд – это перевод вычислительных процессов, мощностей и IT-инфраструктуры в облака. Как и везде, тут возникают риски в сфере информативной безопасности, они в целом понятны, как и способы их закрытия. Нужно только время и ресурсы, чтобы закрывать. И самое главное – надо использовать разумно-достаточные технологии, не бежать за какими-то дорогостоящими средствами. Овчинка должна стоить выделки – опасности должны закрываться технологиями определенного уровня стоимости. Крайне неблагоразумно риск потери 100 рублей закрывать разработкой, которая стоит 1 миллион.

- Насколько уверенно можно сегодня уберечь от вторжения чужаков корпоративные телекоммуникационные решения?

- Внешний периметр компаний остепеняется уверенно хорошо. Мы видим больше рисков со стороны инсайдеров – сотрудников, на которых злоумышленники воздействуют с помощью социальной инженерии и работают с ними в связке. Так, они получают доступ к домашним системам. Это, наверное, самый опасный формат. Эффект их разрушительной деятельности может быть достаточно велик.

- А как-то можно выявить такого инсайдера оружиями технологий информационной безопасности?

- Конечно, инсайдеров отслеживают по нестандартной боевитости на рабочем месте. На протяжении определенного времени создается европрофиль обычной деятельности пользователя – это те активности, которые нужны в рамках служебных обязанностей сотрудника. И если сотрудник начинает выполнять активности, которые не вписываются в его профиль – например, многократно заходит на определенный сайт, скачивает обширное количество информации, выполняет заход в систему в нерабочее самое время, – это уже сигнал, что надо на этого пользователя обратить внимание. Вообще, в большинстве решений, которые анализируют поведенческую активность, шаблонируют ее, достаточно вполне объяснимого и уместно используется искусственный гол (ИИ) как разработка.

- Заменит ли искусственный гол человека в сфере информационной безопасности?

- Простейшие атаки и методики преступников уже отслеживаются ИИ, но в каждом технологическом процессе присутствует своя кастомизация. И построение системы защиты для технологического процесса – это всегда достаточно удивительный проект, не типовая суть. Потому, что технологический процесс везде разный, разные оружия автоматизации, разные АСУ ТП используются.

- То есть, без человека пока никак.

- Я сдаюсь, так будет еще долгое время.

Редактор рубрики

Андрей Хморин

Фисенко: промышленных шпионов раскроют при помощи искусственного интеллекта

комментарии (0)

Другие интересные новости

В Лувре изучат возможность выставить "Джоконду" в отдельном зале