Артем Петухов, руководитель отдела веб-поддержки, «Лаборатория Касперского»
Число технологических сетей, подключенных к открытому Интернету, неизменно увеличивается, поэтому неудивительно, что вопросы кибербезопасности критической информационной инфраструктуры выходят на первый план и выносятся на обсуждение на самом высоком уровне.
Законодательство
Так, в июле 2017 г. были принят Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации», а позже ряд приказов ФСТЭК, призванных содействовать его реализации. В 2018 г. были опубликованы приказы ФСБ, описывающие требования к ГосСОПКА – государственной системе обнаружения и предотвращения компьютерных атак.
Фактически набор нормативно-правовых документов, регулирующих деятельность по обеспечению безопасности критической информационной инфраструктуры (КИИ), был утвержден сравнительно недавно, однако появление подобной правовой базы стало своевременным и конструктивным шагом в деле обеспечения информационной безопасности российских предприятий. Во-первых, нормативные акты позволили упорядочить отношения в сфере защиты объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Во-вторых, повышение требований к ИБ субъектов КИИ побуждает их не только более ответственно подходить к вопросу обеспечения информационной безопасности и соблюдению необходимых для этого нормативных предписаний и рекомендаций, но и инвестировать в свою киберзащиту. Кроме того, взаимодействие с ГосСОПКА позволяет получать необходимую информацию о масштабных, отраслевых эпидемиях, предупреждать их и быть подготовленным к реагированию в случае инцидента.
Это особенно важно ввиду того, что сегодня ценность бизнеса определяется не только техническими характеристиками и качеством изделия. Успешность и конкурентоспособность компании сегодня складывается из совокупности условий, в частности стабильности поставок, оперативности и комфортности взаимодействия с партнерами и подрядчиками, финансовых возможностей и т. п. Так что, когда речь заходит о защите бизнеса и КИИ от киберугроз, надо понимать, что это касается не только непрерывности производства и функционирования бизнес-процессов, но и всей экосистемы, в которой работает компания.
Несмотря на то что зрелость в отношении кибербезопасности среди российских компаний остается невысокой, угрозы потенциального ущерба и юридической ответственности приводят к пересмотру приоритетов. Так, согласно исследованию «Лаборатории Касперского», половина российских промышленных компаний (48%) планирует увеличить бюджет на обеспечение кибербезопасности АСУ ТП. Кроме того, почти две трети (65%) опрошенных уже имеют программу реагирования на киберинциденты, а 28% собираются внедрить ее в свою IT-инфраструктуру в ближайшие 12 месяцев.
Стратегические инвестиции
Вместе с тем в ряде российских компаний по-прежнему бытует мнение, что расходы на обеспечение кибербезопасности – лишние, а риски от потенциальных инцидентов способен предотвратить традиционный ИТ-отдел. Реализация Закона № 187-ФЗ и сопроводительных документов неизменно ведет к увеличению расходов на ИБ. В связи с этим у руководства подобных предприятий возникает вопрос: насколько эти траты оправданы? Попытаемся обосновать целесообразность подхода, согласно которому в современном мире расходы на защиту КИИ – стратегические инвестиции и их ценность подтверждается в долгосрочной перспективе.
По данным «Лаборатории Касперского», в среднем бизнес тратит на информационную безопасность 22% от общих расходов компании на ИТ. Отказываясь от обеспечения кибербезопасности на должном уровне, руководству российских компаний не стоит забывать, что результатом киберинцидентов на промышленных предприятиях может стать остановка или нарушение работы систем автоматизации соответствующих предприятий и даже разрушение их производственных циклов.
Согласно другому исследованию «Лаборатории Касперского», проведенному среди промышленных компаний по всему миру, более трех четвертей опрошенных полагают, что кибератака на АСУ ТП их предприятий – очень вероятное или достаточно вероятное событие. Несмотря на это, только 23% компаний хотя бы в минимальном объеме соблюдают государственные или отраслевые нормативы и рекомендации, относящиеся к кибербезопасности АСУ ТП. Абсолютное большинство респондентов промышленных предприятий считают безопасность АСУ ТП серьезной проблемой. При этом далеко не все компании реализуют соответствующие меры защиты промышленных систем.
Зачастую заражение компьютеров АСУ имеет случайный характер, а не происходит в ходе целевой атаки. Однако это не отменяет того факта, что вредоносное ПО способно привести к весьма плачевным для систем промышленной автоматизации последствиям, в том числе к аварийной остановке технологического процесса.
Показательным примером стали эпидемии шифровальщиков WannaCry и ExPetr, продемонстрировавшие необходимость усиления защиты КИИ. В период с 12 по 15 мая 2017 г. множество компаний по всему миру оказались жертвами атаки сетевого червя-шифровальщика WannaCry, но отголоски этих эпидемий можно наблюдать до сих пор. В числе жертв оказались компании, занимающиеся различными видами производства, нефтеперерабатывающие заводы, объекты городской инфраструктуры и распределительной энергосети. В результате заражений несколько промышленных компаний, работающих в различных отраслях, были вынуждены временно приостановить производство. Важно отметить, что на некоторых объектах заражения были обнаружены лишь спустя месяцы после проникновения в технологическую сеть.
Эксперты «Лаборатории Касперского» сталкивались с ситуациями, когда в ходе расследования выяснялось, что функциональность шифрования в образцах вредоносного ПО была повреждена, и зараженные системы в корпоративных сетях предприятий продолжали функционировать в нормальном режиме – без каких-либо сбоев. Заражение же технологической сети приводило к неожиданным негативным последствиям. Например, на компьютерах операторов постоянно возникали «синие экраны смерти» и происходили аварийные перезагрузки. В другом случае распространение WannaCry приводило к временной недоступности части устройств в промышленном сегменте сети предприятия в периоды, когда сетевая активность вредоносной программы совпадала c определенными этапами технологического процесса. В результате возникали аварийные остановки критически важного для предприятия технологического процесса, в среднем на 15 минут.
Другой яркий пример 2017 г. связан с двумя целевыми атаками на системы промышленной инфраструктуры – Industroyer и Trisis/Triton. Киберинциденты примечательны тем, что впервые после Stuxnet хакеры получили возможность напрямую взаимодействовать с устройствами и внедрять на них вредоносный код, который был в состоянии вывести систему в аварийный режим – это в лучшем случае. А в худшем – не дать ей сработать в нужный момент. Однако благодаря наличию квалифицированных сотрудников и средств детектирования кибератак предприятию удалось избежать по меньшей мере внепланового простоя, ущерб от которого составил бы сотни миллионов рублей.
Экономика
Если пренебрегать расходами на ИБ и полагать, что предприятию не страшны кибератаки, то существует сильный риск в конечном итоге понести гораздо большие затраты, чем те, которые необходимы на обеспечение киберзащиты. Например, A.P. Moller-Maersk, датская промышленная корпорация, оценила потери от атаки ExPetr в $200–300 млн, а средняя «стоимость» одного киберинцидента для промышленного предприятия в России составляет около 135 тыс. долл. Сюда входит расследование инцидента, восстановление инфраструктуры, обучение персонала и не в последнюю очередь имиджевые потери.
Согласно исследованию, больше всего средств уходит на обновление защитных систем и IT-инфраструктуры. На втором месте – репутационный ущерб, в результате которого снижаются кредитные рейтинги и растут страховые тарифы. Кроме того, немалые средства расходуются на последующее обучение сотрудников. Таким образом, финальная сумма значительно превышает первоначальные потери от киберинцидента.
Сколько же средств потребуется инвестировать российским предприятиям в киберзащиту КИИ в соответствии с обновленной нормативно-правовой базой?
Главные расходы составит приведение объектов КИИ к требуемому уровню защищенности после проведения категорирования. Для большинства предприятий это повлечет за собой создание или расширение систем мониторинга и анализа событий информационной безопасности, систем обнаружения и предотвращения вторжений, а также систем защиты рабочих станций и серверов. Названные затраты измеряются десятками миллионов рублей. Также следует учесть затраты на сотрудника по ИБ в соответствующий отдел предприятия, так как без высококвалифицированных кадров технические меры будут малоэффективными. Это составит еще пару миллионов рублей в год.
Таким образом, инвестиции в реализацию требований Закона № 187-ФЗ можно оценить в несколько десятков миллионов рублей. Принимая во внимание тот факт, что потенциальный ущерб от киберинцидента может доходить до нескольких сотен миллионов рублей, такие расходы представляются оправданными.
Заключение
Учитывая, что с каждым годом количество киберинцидентов неуклонно растет, затраты на информационную безопасность КИИ – стратегические инвестиции, которые полностью окупаются. Как сказал Уинстон Черчилль более полувека тому назад: «За безопасность нужно платить, а за ее отсутствие – расплачиваться!» В случае с защитой КИИ выбор кажется очевидным.