Киберриски: обеспечение безопасности операционной деятельности в нефтегазовом секторе
В мае 2017 года международная сеть «Делойт» опубликовала новый отчет «Интегрированный подход к управлению киберрисками: обеспечение безопасности операционной деятельности в нефтегазовом секторе». Он посвящен необходимости повышения уровня безопасности систем управления производственными процессами (ICS) на фоне трудностей, которые создают новые технологии. Исследование содержит результаты анализа, проведенного в ходе оказания различным нефтегазовым компаниям содействия в обеспечении не только материальной, но и информационной безопасности их ICS-систем.
В отчете говорится о том, что, несмотря на масштабное распространение инновационных методов работы, таких как роботизированные системы, цифровые решения и Интернет вещей (IoT), в вопросах кибербезопасности нефтегазовый сектор по-прежнему отстает от других отраслей. Для обеспечения безопасности и гибкости операционных процессов и их готовности к возможным угрозам нефтегазовые компании должны объединить усилия в двух сферах — технической и информационно-технологической, а также применять специализированные технические решения, которые не всегда легко защитить от кибератак.
Понимание рисков
При создании ICS-систем не предполагалось их дальнейшее объединение в сети, однако сегодня происходит именно это. Дигитализация операционных процессов в нефтегазовом секторе привела к тому, что перед компаниями открываются новые возможности для повышения производительности и сокращения затрат. В то же время слияние производственных и бизнес-процессов также делает организации уязвимыми для новых киберрисков. В отчете рассматриваются нижеследующие возможные сценарии изменения ландшафта киберрисков.
- Использование незащищенного удаленного доступа для осуществления взаимодействия позволяет киберпреступникам получить контроль над системой, управляющей производственными процессами, и вызвать ее перегрузку.
- Некорректное тестирование информационных систем перед их развертыванием приводит к полному отказу систем и, как следствие, к сбоям или остановке производственных процессов.
- Неэффективные методы обеспечения безопасности, применяемые сторонними контрагентами, позволяют вирусам проникнуть в производственную программную среду, что приводит к остановке ключевых систем диспетчерского управления и сбора данных (SCADA).
- Приобретение технологических продуктов без проведения полноценного предварительного тестирования и исправления ошибок делает предприятие уязвимым и позволяет враждебно настроенным лицам получить удаленный доступ к системам. Компании должны найти способ использовать противоположные точки зрения на информационные системы и операционные процессы. Полезным инструментом для преодоления этого непонимания может стать анализ типа bowtie — популярная концепция, широко используемая в инженерно-технической области для оценки отказов оборудования. Для защиты ICS-систем также можно применять нижеследующие дополнительные меры.
- Оценка зрелости существующих средств обеспечения контроля. Данная мера предполагает проведение инвентаризации активов и оборудования, а также оценку их значимости для организации; определение наличия/отсутствия в работе ключевых активов и оборудования детально изученных уязвимостей, которыми можно воспользоваться; оценку зрелости средств обеспечения контроля с целью упреждающего управления указанными угрозами.
- Разработка единой программы. Централизованная программа обеспечения кибербезопасности в нефтегазовом секторе может быть разработана и внедрена путем проведения многолетней работы, направленной на комплексное преобразование ICS-систем. При этом на каждом этапе трансформации необходимо помнить о самой главной цели — совершенствование процессов управления операционными процессами для создания безопасной, готовой к работе и защищенной контрольной среды.
- Внедрение ключевых контрольных процедур. Несмотря на то что показатели готовности к рискам разнятся от компании к компании, существует несколько основополагающих средств обеспечения контроля за киберрисками, которые должна иметь в своем наличии практически любая нефтегазовая компания. К ним относятся проведение информационно-разъяснительной работы среди сотрудников, осуществление контроля за доступом, обеспечение безопасности коммуникационной сети, ограничение использования и проверка переносных носителей информации, а также разработка регламента реагирования в случае возникновения угроз.
- Обеспечение эффективных механизмов управления Внедрение программ информационной безопасности при управлении операционными процессами сопряжено с дополнительными сложностями, связанными с управлением кадровыми ресурсами. Организации должны разработать программу проведения информационно-разъяснительных мероприятий, чтобы преодолеть непонимание между ИТ-специалистами и специалистами по ICS-системам, а также обеспечить возможности карьерного роста для тех сотрудников, которые желают специализироваться в области информационной безопасности ICS-систем.