Кибербезопасность критической инфраструктуры как повестка руководства, а не администраторов

Есть устойчивое представление о том, что безопасность - это задача для технических специалистов. Поставили антивирус, настроили файрвол, выдали права доступа - и можно считать, что тема закрыта. Это представление работало, пока атаки были случайными и направленными на случайные цели.

Картина меняется. Целенаправленные атаки на инфраструктуру - промышленные системы управления, энергетику, транспорт, финансовые системы - перестают быть редкостью. И здесь привычная логика "это задача для ИТ-отдела" перестаёт работать.

Почему это управленческая тема

Кибератака на критическую инфраструктуру - это операционный риск, а не технический инцидент. Разница принципиальная.

Технический инцидент - это проблема, которую решает технический специалист. Операционный риск - это угроза деятельности компании, которая требует управленческого решения о том, насколько этот риск приемлем, что является защищаемым активом, сколько стоит его защита и что происходит при реализации угрозы.

Системный администратор не может ответить на эти вопросы в одиночку. Он может настроить системы в соответствии с принятыми решениями. Но принять решение о том, какой уровень риска приемлем для компании, - это функция руководства.

Второй момент: последствия успешной атаки на критическую инфраструктуру выходят далеко за пределы IT-систем. Остановка производственного процесса, компрометация данных клиентов, нарушение обязательств перед партнёрами, регуляторные последствия - всё это управленческие проблемы, а не технические.

Что изменилось в ландшафте угроз

Несколько тенденций, которые становятся всё более заметными.

Промышленные системы управления - SCADA, системы автоматизации производства - исторически проектировались без учёта угроз из сети: они существовали в изолированных контурах. По мере того как эти системы получают связь с корпоративными сетями и интернетом - ради удалённого мониторинга, интеграции с ERP, удобства обслуживания - поверхность атаки растёт. Сегментация АСУ ТП уже не опция, как только эти системы выходят в сеть.

Атаки становятся более целенаправленными и более терпеливыми. Злоумышленник может находиться внутри сети месяцами, изучая инфраструктуру, прежде чем предпринять активные действия. Стандартные средства защиты, ориентированные на обнаружение активных угроз, эту стадию пропускают.

Цепочка поставок становится вектором атаки. Компрометация подрядчика или поставщика программного обеспечения, которому доверяет организация, открывает доступ туда, куда прямая атака не пройдёт.

Что стоит сделать руководству

Не призываю к паранойе и масштабным инвестициям в безопасность без понимания зачем. Но есть несколько конкретных шагов, которые имеет смысл предпринять.

Первый - провести инвентаризацию. Какие системы являются критичными - то есть их остановка или компрометация наносит прямой операционный ущерб? Какие из них сейчас подключены к внешним сетям? Кто имеет к ним доступ и на каких условиях?

Второй - оценить реальный уровень защиты этих систем. Не "у нас есть антивирус", а конкретно: как обнаруживается несанкционированный доступ, кто и как реагирует на инцидент, есть ли процедура восстановления.

Третий - рассмотреть сегрегацию. Промышленные и операционные системы управления имеет смысл максимально изолировать от корпоративных сетей и интернета там, где это технически возможно. Схождение ОТ и ИТ - это именно то, что делает такую изоляцию всё сложнее и всё важнее.

Четвёртый - убедиться, что вопрос безопасности критической инфраструктуры стоит в повестке на уровне руководства, а не только в планах технического отдела.

Практический ориентир

Вопрос, который стоит задать: если завтра окажется, что злоумышленник имел доступ к нашим системам последние три месяца - насколько мы готовы это обнаружить, оценить ущерб и восстановить нормальную работу?

Если ответ неопределённый - это сигнал, что безопасность критической инфраструктуры пока остаётся только в зоне ответственности технических специалистов. Это нормальная стартовая точка. Но не нормальное конечное состояние.