За кибератаками на энергетические предприятия, как правило, стоят APT-группировки, ориентированные на конкретный объект.Атаки типа advanced persistent threat (APT) – это направленные сложные атаки, организуемые сообществами злоумышленников, которые применяют различные изощренные методы взлома и перемещения по инфраструктуре целевой организации. В настоящее время мишенями APT-атак все чаще становятся объекты критических информационных инфраструктур, имеющих весомое значение в социальной, политической, экономической и оборонной сферах. Такие атаки являются дорогостоящими, и за исполнителями зачастую стоят заказчики, которые спонсируют проведение этих длительных работ, включая кропотливую подготовку. Успешная реализация атаки влечет серьезный ущерб для предприятия и для государства, что косвенно позволяет связывать исполнителей со странами, заинтересованными в изменении геополитических отношений.
Выстроенное взаимодействие в отрасли в первую очередь проявляется в сильном сообществе, которое понимает специфику безопасности для этой отрасли. Сообщество делится опытом, успехами и ошибками, позволяя всей индустрии значительно повышать уровень зрелости в вопросах кибербезопасности.
Как и для любых предприятий в одной отрасли, энергетические компании чаще всего имеют похожие бизнес-модели, а значит, и модели угроз для таких предприятий будут аналогичны. Тем не менее вопрос качественного реагирования на такие сложные целенаправленные атаки зависит от множества факторов. В первую очередь, от эксплуатируемых инструментов защиты от APT-угроз и наличия команд реагирования на атаки. APT-атаки длительны и включают разные стадии реализации. Однако одних инструментов недостаточно. Требуется команда экспертов, готовых быстро и эффективно реагировать на обнаруженные угрозы. Именно по этой причине растет популярность услуг коммерческих SOC (Security Operation Center). Организациям очень сложно поддерживать на постоянной основе высокий уровень компетенций специалистов по информационной безопасности, их готовность на качественное реагирование. В таких случаях компании обращаются к сервис-провайдерами, предоставляющим SOC в виде услуги (SOC-as-a-Service), чтобы получить постоянно высокий уровень реагирования на инциденты ИБ.
Несмотря на высокий уровень зрелости информационной безопасности во многих крупных предприятиях, хакеры находят иные способы получения доступа в их инфраструктуру. Одним из ярких примеров служат атаки на цепочку поставок. Их суть заключается в нанесении ущерба целевой организации за счет совершения взлома менее защищенных элементов в цепочке поставок. Так, например, хакеры получают доступ в инфраструктуру крупной организации со выстроенными эшелонами защиты за счет взлома ее подрядчиков и совершения атаки из доверенной зоны. Сотрудники подрядной организации могут иметь удаленный доступ в инфраструктуру целевой компании или менее эффективные инструменты проверки электронной почты, через которую могут быть направлены фишинговые сообщения со встроенным вредоносным кодом. При формировании модели угроз предприятия необходимо обязательно учитывать возможность атаки со стороны подрядчика.
В моем понимании, выстроенное взаимодействие в отрасли в первую очередь проявляется в сильном сообществе, которое понимает специфику безопасности для этой отрасли. Хорошим примером такого сообщества можно считать объединение в финансовой сфере, где киберриски конвертируются непосредственно в коммерческие убытки. Сообщество делится опытом, успехами и ошибками, позволяя всей индустрии значительно повышать уровень зрелости в вопросах кибербезопасности.
Серьезное влияние на выстраивание взаимодействия в отрасли оказывают регуляторы, которые однозначно ориентированы на повышение безопасности критичных информационных инфраструктур. Наш опыт построения комплексных систем защиты КИИ показывает, что интерес компаний к этому вопросу значительно вырос. Факторами, определяющими такой спрос, выступают как улучшенное понимание рисков информационной безопасности, так и пристальное внимание со стороны государства. Но практика показывает, что в вопросах качественной реализации мероприятий по обеспечению защиты КИИ лучше обращаться к экспертам рынка. Достаточно большое количество задач по применению мер обеспечения кибербезопасности может оказаться непосильной ношей для предприятий с ограниченными человеческими ресурсами. Также остро сейчас стоит вопрос импортозамещения, в том числе, касающийся средств защиты информации. Российский рынок уже реагирует на потребности предприятий и постепенно обогащается необходимыми отечественными продуктами и решениями, позволяющими качественно и эффективно реализовывать меры по защите критичных инфраструктур.
Руслан Косарим, заместитель технического директора по развитию бизнеса группы компаний Angara
Рекламодателям
Подписка на журнал
Email рассылка
О нас