Kaspersky Industrial Cybersecurity Conference – это площадка для всех участников отрасли: экспертов по кибербезопасности, аналитиков, разработчиков ИТ-продуктов по промышленной автоматизации, системных интеграторов и заказчиков. Помимо представителей российских компаний, в ее работе участвовали представители стран Латинской Америки, Африки, Ближнего Востока и Восточной Европы. На повестке дня – рост угроз и новые виды кибератак на промышленные предприятия, новости регулирования, презентация передовых технологий в сфере обнаружения и реагирования на угрозы и актуальные подходы к обеспечению промышленной кибербезопасности.
Публичная сессия конференции представляла собой поток тематических докладов и панельную дискуссию, длившиеся в течение практически целого дня.
Вступительное слово взял директор центра экспертизы по корпоративным решениям «Лаборатории Касперского» Вениамин Левцов. Развитие линейки решений компании для защиты индустриальных сред начиналось с появления средств для защиты конечных точек и для мониторинга сетевого трафика. Современный ландшафт угроз требует комплексного подхода и максимальной защиты каждого из элементов инфраструктуры промышленного предприятия. На конференции «Лаборатория Касперского» представила экосистему для комплексной защиты промышленных предприятий Kaspersky OT CyberSecurity со специализированной XDR-платформой в основе. Она, в свою очередь, включает SIEM, инструменты Threat Intelligence, защиту трафика с технологического оборудования IoT и многие другие продукты для обеспечения комплексной кибербезопасности объектов и их сетей.
Вениамин Левцов, директор центра экспертизы по корпоративным решениям «Лаборатории Касперского»
«Лаборатория Касперского» была и остается международной компанией. Мы видим глобальный рынок, понимаем нужды огромного количества заказчиков. Это помогает нам создавать цельные решения и, в том числе, понимать особенности среды, которую мы защищаем. Благодаря опыту наших экспертов мы помогаем предприятиям по всему миру решать самые сложные и специфичные задачи в плане кибербезопасности. У нас большой аналитический потенциал, мы единственный игрок на российском рынке, у кого есть полноценный ICS-CERT. Наша экспертная команда хорошо знакома со спецификой индустриальных сред и имеет опыт в обеспечении кибербезопасности во всех ключевых отраслях промышленности. Благодаря всем этим факторам мы является технологическим лидером в данном направлении ИБ», – резюмировал Вениамин Левцов.
Директор по информационной безопасности (CISO) Корпорации Электричества Эквадора Мэри Варгас (Mary Vargas) отметила важность защиты конечных точек в промышленной кибербезопасности в соответствии со стандартом IEC 62443.
«Наша компания решила адаптировать для себя стандарт IEC 62443, поскольку он был разработан с учетом всех игроков отрасли: производителей, собственников и интеграторов. Одна из его функций – внедрение стратегии глубокой защиты с учетом определения меры безопасности на каждом уровне. Основываясь на этом стандарте, мы выстроили собственную архитектуру защиты от киберугроз», – рассказала она.
Технический директор (CTO) «Лаборатории Касперского» Антон Иванов представил новый сервис, разработанный в компании: управляемая защита для промышленного сегмента Kaspersky ICS MDR. Его появление обусловлено потребностями рынка. С начала 2022 года количество кибератак, в том числе на критическую инфраструктуру, увеличилось. По статистике «Лаборатории Касперского», около 32% индустриальных компьютеров хотя бы раз были атакованы, причем около 17% из этих атакованных ПК имели доступ в Интернет, а 7% атак происходили из сетевого и почтового сегментов. Чтобы закрывать эти риски, нужна большая экспертиза, которой зачастую не хватает у подразделений ИБ на предприятиях. Требуются также мероприятия по киберразведке. Кроме того, с падением доверия к иностранным СЗИ компаниям необходимо искать в России доверенного партнера по ИБ.
Антон Иванов, технический директор «Лаборатории Касперского»
«Сервис ICS Managed Detection and Response позволяет применять наш MDR в индустриальном сегменте. Привлекая экспертов нашего внутреннего SOC, мы будем анализировать инциденты, которые поступают из систем заказчика, предотвращать атаки, информировать и предоставлять консультации», – пояснил спикер.
Сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексей Новиков поделился актуальным опытом реагирования на компьютерные инциденты и угрозы безопасности. В качестве факторов угроз спикер упомянул уход зарубежных компаний с рынка, проблемы с обновлением ПО, утечки данных, DDoS-атаки.
Алексей Новиков, НКЦКИ
«В этом году реализовалось большинство сценариев из числа тех, которые мы с Роскомнадзором ежегодно отрабатывали на учениях по устойчивости российского сегмента сети Интернет и которые были заявлены как угроза Рунету. Но при этом ничего принципиально нового, прорывных технологий использовано не было», – рассказал он.
Р. Пант, координатор национальной кибербезопасности Правительства Индии
Официальную часть конференции продолжила панельная дискуссия «Киберустойчивость во время турбулентности: вызовы сегодня и приоритеты для индустрии». Открывая ее, координатор национальной кибербезопасности Офиса премьер-министра Правительства Индии, генерал Р. Пант (R. Pant) отметил: «В разных странах неодинаковое понимание того, что является критической инфраструктурой, везде насчитывается разное количество секторов КИИ. Но для большинства стран это очень важный вопрос. Несомненно, уязвимости будут продолжаться, за ними будут следовать и атаки, которые не станут проще, чем сейчас. Поэтому я уверен, что эта проблема должна решаться в рамках международной командной работы, на уровне правительств и отдельных сообществ».
Екатерина Рудина, руководитель группы аналитиков по ИБ «Лаборатории Касперского»
Следующим по программе стал доклад руководителя группы аналитиков по информационной безопасности «Лаборатории Касперского» Екатерины Рудиной «Обеспечение кибербезопасности АЭС на основе дифференцированного / риск-ориентированного подходов». «Безопасность – одно из основополагающих и ключевых свойств объектов, подобных АЭС. Поэтому ей необходимо заниматься уже на этапе их проектирования », – начала она. Современная информационная защита АЭС должна строиться на сочетании двух обозначенных выше принципов. Например, дифференцированный подход предполагает, что все системы станции подразделяются на зоны безопасности, ограниченные во взаимодействии между собой. К каждой применяется комплекс мероприятий в соответствии с требуемой степенью ее защищенности.
Даниель Эренрайх, эксперт Secure Communications and Control Experts
Делегат из Израиля, лектор по системам промышленной кибербезопасности экспертной группы Secure Communications and Control Experts Даниель Эренрайх (Daniel Ehrenreich) говорил о снижении рисков кибербезопасности АСУ ТП с помощью подхода VLR (Vulnerability, Likelihood, Risk). Он предупредил о том, что в промышленных системах управления кибербезопасностью неактуальна «традиционная» модель CIA (Confidentiality, Integrity, Availability – конфиденциальность, целостность, доступность). Вместо нее стоит применять модель SRP (Safety, Reliability, Productivity – безопасность, надежность, продуктивность). Что касается триады VLR – она необходима для расчета уровня риска исходя из оценки уязвимостей и их вероятности. «Люди это самое важное. Инвестиции в обучение людей всегда дают самый большой возврат», – добавил эксперт.
Константин Сахаров, директор департамента информационной и компьютерной безопасности АСУ ТП АО «РАСУ»
Директор департамента информационной и компьютерной безопасности АСУ ТП АО «РАСУ» Константин Сахаров указал на практические нюансы обеспечения ИБ подсистем АСУ ТП на атомных электростанциях. АО «РАСУ» входит в состав Госкорпорации «Росатом», компания является единым отраслевым интегратором направлений «АСУ ТП», «Электротехника», «Ядерное приборостроение».
«Каждый из этапов реализации мер обеспечения информационной безопасности важен: от формирования технического задания до испытаний и ввода в эксплуатацию. Испытания подсистемы безопасности должны коррелироваться с испытаниями подсистемы АСУ ТП АЭС. Особое внимание необходимо уделять внедрению процессов разработки безопасного программного обеспечения у поставщика подсистемы АСУ ТП для минимизации возможностей наличия и эксплуатации уязвимостей нарушителями в отношении объектов критической информационной инфраструктуры».
Артем Зиненко, руководитель отдела исследования и анализа уязвимостей индустриальных систем «Лаборатории Касперского»
Руководитель отдела исследования и анализа уязвимостей индустриальных систем «Лаборатории Касперского» Артем Зиненко поделился опасениями по поводу некоторых аспектов импортозамещения АСУ ТП. По мнению спикера, целый ряд систем, которые используются сегодня для замены зарубежных продуктов, небезопасны. Он посетовал на то, что некоторые разработчики, например, систем класса SCADA/ПЛК неохотно идут на сотрудничество по вопросам закрытия уязвимостей как с ИБ-компаниями, так и с пользователями.
Алексей Печенин, директор по развитию бизнеса VK
Директор по развитию бизнеса VK Алексей Печенин рассказал о том, то информационная безопасность становится одним из критически важных аспектов для коммуникационных платформ.. Компания реализует в своей платформе расширенную функциональность ИБ, в том числе используя решения «Лаборатории Касперского». Свои разработки VK использует не только для внутренних нужд, но и поставляет на рынок как законченное решение для коммуникаций.
Евгения Обухова, редактор отдела экономики журнала «Эксперт»
Редактор отдела экономики журнала «Эксперт» Евгения Обухова представила свежие аналитические отчеты по развитию российской промышленности. Они демонстрируют, что с конца лета промышленность оживает, производство некоторых видов продукции показывает рост.
Аналитик кувейтской ИБ-компании ZeronTek Сулейман Альхасави (Sulaiman Alhasawi) коснулся темы таксономии кибератак в отрасли сжиженного газа. По его словам, применяя таксономию (систематизацию и классификацию), компании лучше понимают процессы и могут разработать технологии работы с этими процессами, проводить оценку рисков, разработку моделей угроз.
Терминология:
CERT (Computer Emergency Response Team) – компьютерная группа реагирования
ICS (Industrial Control System) – система управления производственными процессами
MDR (Managed Detection and Response) – система управляемого обнаружения и реагирования
Threat Intelligence – разведка и выявление данных о киберугрозах
SCADA (Supervisory Control and Data Acquisition) – система управления автоматизированными технологическими процессами и сбора данных
SOC (Security Operation Center) – центр реагирования на киберугрозы
ПЛК – программируемые логические контроллеры
СОИБ – Система обеспечения информационной безопасности
СЗИ – средства защиты информации