Згідно з прогнозом Gartner, до 2025 р кіберзлочинці будуть володіти повноцінним технологічним арсеналом для впливу на ІТ-інфраструктуру підприємств з метою навмисного вбивства людей. На думку аналітиків, служби безпеки компаній повинні вживати заходів не тільки для захисту даних, але також проти нанесення фізичної шкоди устаткуванню і співробітникам.
Промислові кібератаки для вбивства
Згідно із прогнозом дослідницької компанії Gartner, технологічне оснащення кіберзлочинців дозволить їм проводити цілеспрямовані атаки на підприємства з конкретною метою заподіяння каліцтв і вбивства людей. Аналітики прогнозують, що використання кіберзлочинцями воєнізованих операційних технологій та інших кіберфізичних систем тільки з урахуванням випадків смертельного результату до 2023 р завдасть шкоди по всьому світу на суму понад $ 50 млрд.
На думку аналітиків, навіть якщо не б не довелося говорити про цінність людського життя, витрати компаній на судові розгляди, компенсаційні виплати, страхування, виплати штрафів регулюючим органам будуть значними, не кажучи про гігантські репутаційні втрати. У компанії прогнозують, що більшість керівників будуть нести особисту відповідальність за такі інциденти.
«Керівникам служб безпеки та управління ризиками слід більше турбуватися про реальні загрози людям і навколишньому середовищу ніж про крадіжку інформації, – сказав старший директор з досліджень Gartner Вам Востер (Wam Voster). – Вивчення досвіду клієнтів Gartner показує, що компаніям ресурсномістких галузей – таких як виробництво, видобуток корисних копалин і комунальні послуги, деколи складно визначитися з підходящими для них системами контролю».
Повстання роботів, за яким стирчать хакерські вуха
Атаками кіберзлочинців на ІТ-інфраструктуру підприємств в Gartner називають сторонній зловмисний вплив на комплекси апаратного і програмного забезпечення, які відстежують або контролюють роботу промислового обладнання. На тлі цифровізації і впровадження автоматичних процесів на виробництві, воєнізовані операційні технології також проходять свій шлях еволюції, відзначають аналітики – від інцидентів для тимчасової зупинки технологічного процесу на заводі до порушення цілісності промислового середовища і цілеспрямованого заподіяння фізичної шкоди.
До 2025 р оснащення кіберзлочинців дозволить їм атакувати підприємства з метою вбивства людей
У Gartner класифікують інциденти безпеки в середовищі операційних технологій за трьома основними класами мотивації:
- для нанесення фактичних збитків;
- з метою комерційного вандалізму, що веде до зниження продуктивності;
- з метою репутаційного вандалізму, в результаті чого виробник визнається ненадійним і не заслуговує на довіру.
Для підвищення безпеки на промислових об’єктах і запобіганню цифрових кібератак з метою пошкодження обладнання або нанесення фізичної шкоди співробітникам, в Gartner розробили десять рекомендацій, які викладені в документі Reduce Risk to Human Life by Implementing this OT Security Control Framework («Зниження ризику для життя людей за рахунок реалізації концепції контролю безпеки операційних технологій»).
Розподіл ролей та обов’язків
Фахівці Gartner рекомендують призначити менеджера з безпеки операційних технологій для кожного промислового або виробничого об’єкта. Менеджер повинен відповідати за розподіл і документування ролей і обов’язків, пов’язаних з безпекою, для всіх співробітників, старших менеджерів і будь-яких третіх осіб, що мають доступ до об’єкта.
Обов’язкова профільна підготовка та інформованість
Кожен співробітник, який має відношення до операційних технологій, зобов’язаний володіти необхідними навичками для виконання своїх обов’язків. Працівники на кожному об’єкті повинні бути навчені розпізнавати і оцінювати ризики безпеки, найбільш поширені напрямку поширення атак, а також натреновані на здійснення конкретних дій в разі інциденту безпеки.
Впровадження та тестування комплексу реагування
Для кожного об’єкта підприємства повинен бути впроваджений спеціальний протокол управління інцидентами безпеки операційних технологій. У нього повинно входити чотири етапи:
- підготовка;
- виявлення та аналіз;
- локалізація, ліквідація і відновлення;
- дії після інциденту.
Резервування і відновлення після збою
ІТ-інфраструктура підприємства повинна бути оснащена належними механізмами резервування і аварійного відновлення даних. Щоб уникнути впливу фізичних деструктивних подій – наприклад, пожежі, слід зберігати носії резервних копій окремо від резервної системи.
Носії резервної копії повинні мати захист від несанкціонованого доступу або неправомірного використання. Для виключення фатальних подій за підсумками інцидентів високого ступеня серйозності, повинна бути забезпечена можливість відновлення резервної копії в новій системі або віртуальній машині.
Однозначна політика щодо портативних носіїв
На підприємстві повинна бути впроваджена політика обов’язкового сканування всіх портативних носіїв даних, включаючи USB-накопичувачі і портативні комп’ютери, незалежно від приналежності пристрою співробітнику або сторонньому відвідувачу – наприклад, представнику субпідрядника або виробника обладнання.
До середовища операційних технологій можуть бути підключені тільки перевірені носії без шкідливого коду або небажаного ПЗ.
Актуальна інвентаризація активів
Менеджер з безпеки повинен виробляти інвентаризацію обладнання і ПЗ, задіяного в середовищі операційних технологій, і постійно оновлювати цей список актуальними даними.
Належний поділ мереж
Мережі середовища операційних технологій повинні бути фізично або логічно відокремлені від будь-якої іншої мережі – як всередині, так і зовні периметру ІТ-інфраструктури підприємства. Весь мережевий трафік між операційними технологіями та іншою частиною мережі повинен здійснюватися через безпечний шлюз, при цьому сесії взаємодії з операційними технологіями повинні відбуватися з багатофакторною аутентифікацією на шлюзі.
Список і виявлення загроз в реальному часі
Для автоматичної реєстрації і аналізу потенційних і фактичних обставин безпеки на підприємстві повинні бути впроваджені відповідні політики і процедури. Вони повинні чітко визначати терміни зберігання журналів безпеки і бути захищені від несанкціонованого доступу або модифікації.
Захищений процес налаштування
Для всіх систем, що застосовуються в середовищі операційних технологій – таких як робочі місця, сервери, мережеві пристрої і пристрої для виїзної роботи, повинні бути розроблені, стандартизовані і розгорнуті безпечні конфігурації. ПЗ для безпеки робочих місць – таке як антивіруси, має бути встановлено на всіх підтримуваних компонентах середовища операційних технологій.
Верифікований процес встановлення оновлень
До розгортання середовища операційних технологій необхідно впровадити процес перевірки та встановлення оновлень. Після верифікації виробниками обладнання, оновлення можуть бути розгорнуті в відповідних системах із заздалегідь заданою періодичністю.