Автор: Эрик Кнапп, подразделение компании Honeywell «Промышленная автоматизация».
Обеспечение безопасности и надежности поставок энергоносителей, поддерживающих благосостояние общества, всегда было одним из приоритетов нефтяной и газовой промышленности. Ведущие производители нефтепродуктов стремятся предотвращать и смягчать последствия нарушений безопасности, которые ставят под угрозу их производственные операции, в том числе снизить риски для морской и береговой инфраструктуры, оборудования, персонала и окружающей среды.
Предприятия, специализирующиеся на добыче и поставках нефти и газа, в значительной степени полагаются на современные промышленные системы управления и автоматизации (ПСУиА), цифровые средства связи и системы управления информацией, которые представляют собой точки доступа для потенциальных кибератак.
Общие сведения
В современной нефтегазовой отрасли различные заинтересованные стороны принимают бизнес-решения в условиях тесно взаимосвязанных рисков и выгод. Для достижения успеха требуется уравновесить множество нормативных требований, передовых технологий, а также новых угроз и возможностей, возникающих в этом секторе.
Производители нефтепродуктов сталкиваются с проблемой сокращения кадрового резерва сотрудников, обладающих уникальным опытом. Большинство специалистов, обладающих организационными и технологическими знаниями о конкретных операциях и эксплуатационных рисках, уже готовятся к выходу на пенсию. В учебных заведениях появляются курсы по информационной безопасности, поэтому молодые сотрудники, как правило, неплохо осведомлены об угрозах кибербезопасности. Тем не менее без необходимого опыта работы эти новые знания имеют крайне ограниченное применение. Такая ситуация создает опасный пробел в знаниях, который может значительно усложнить решение задачи построения эффективной системы промышленной кибербезопасности, а потребность в эффективной защите ощущается острее, чем когда-либо.
Исторически нефтегазовая отрасль — это капиталоемкий бизнес, но в то же время он быстро насыщается разнообразной информацией и данными, рассредоточенными по многочисленным системам и объектам. Эта тенденция включает все более активное освоение технологий для «интеллектуальных месторождений» (или «цифровых месторождений»). Производственные компании имеют дело с быстрым ростом объема и разнообразия типов данных, которые генерируют их системы, при этом они рискуют потерять конкурентоспособность, если не будут эффективно использовать эти данные.
В такой обстановке нефтегазовые компании должны найти способы защиты критической инфраструктуры ПСУиА и информационных активов от хакеров и компьютерных террористов (или даже недовольных работников), которые желают нарушить их работу или причинить ущерб. Перед ними также стоит непростая задача оценки безопасности широкого круга сторонних поставщиков.
Риски для операторов нефтяных месторождений
Цикл переработки нефти и газа от первоначальной разведки месторождения до организации добычи, транспортировки и распределения отличается высокой сложностью, а также наличием множества потенциально слабых звеньев, подверженных рискам нарушения безопасности. Значительный прогресс в области разработки крупных месторождений ценных нефтеносных песков, производства сжиженного природного газа (СПГ) и добычи на шельфе ставит перед операторами уникальные по своей сложности задачи обеспечения безопасности.
Зачастую наземные и морские месторождения расположены в удалении от населенных пунктов, но расстояние не способствует снижению рисков информационной безопасности. Различные сети и устройства широко применяются на буровых установках и отдаленных объектах. Инновации в производственных технологиях также позволяют вести бурение на больших глубинах и расстояниях, но эти достижения часто сопровождаются появлением непредвиденных уязвимостей в защите.
Критические сегменты сетей нефтегазодобывающих предприятий когда-то были изолированы от внешнего мира, но тенденция к внедрению удаленного управления операциями, дистанционного обслуживания и систем централизованной обработки производственной и технологической информации сделали этот подход непрактичным. Новые интегрированные сетевые решения представляют собой растущую цель для киберугроз.
Информационные системы (ИТ-инфраструктура) в той или иной степени охватывают практически все компоненты производственной цепочки нефтегазовых предприятий. Тот факт, что эти активы уязвимы для кибератак, хорошо известен как в самой отрасли, так и за ее пределами. Потенциальные проблемы информационной безопасности включают в себя государственный или промышленный шпионаж, ошибки персонала или случайные потери конфиденциальных данных, а также уязвимости, обусловленные небезопасным кодом.
Результаты исследования IDC Energy Insights показывают, что нефтегазовые компании по-прежнему отстают от других отраслей в области разработки, утверждения и исполнения политики информационной безопасности, а также получения одобрения со стороны высшего руководства. Более 31% респондентов из США заявили, что обеспечение информационной безопасности является одной из главных ИТ-инициатив в их компаниях, но только 12% опрошенных говорят о том, что их компании реально инвестируют в укрепление безопасности и снижение рисков.
Угрозы цифровым коммуникациям
Когда дело доходит до защиты активов и обеспечения безопасности цифровой связи с месторождениями, одно единственное событие может привести к серьезным последствиям с точки зрения безопасности, эксплуатации и финансов. Работа нефтегазовых компаний подвергается растущим киберугрозам со стороны организованной преступности, иностранных разведок и террористических организаций. В странах, где критически важные объекты инфраструктуры принадлежат и эксплуатируются частными компаниями, эти организации особенно уязвимы для определенного типа атак, которые могут остановить или серьезно нарушить деятельность компании.
Надежность современных нефтяных и газовых месторождений обусловлена широким применением систем диспетчерского управления и сбора данных (SCADA), распределенных систем управления (РСУ) и других систем, позволяющих автоматизировать управление добычей и поставками. Эти системы объединяют различные электронные устройства и сети, которые помогают контролировать и управлять потоками энергоносителей в энергетической инфраструктуре.
Тем не менее способность современных промышленных систем управления беспрепятственно взаимодействовать друг с другом и обмениваться данными с физически рассредоточенными устройствами и информационными системами также может подвергнуть предприятие опасности вредоносных кибератак. Успешная атака может поставить под угрозу эффективность и надежность управления эксплуатируемыми месторождениями, а также нарушить работу зависящих от них энергетических сетей и объектов.
Кибератаки на объекты нефтяной и газовой отрасли весьма разнообразны: одни нацелены на данные, а другие — на производственные операции и средства управления. Данные, которые могут быть извлечены из производственных сетей, в нужных (точнее, чужих) руках могут оказаться чрезвычайно ценными и полезными, поскольку содержат конфиденциальную информацию о добывающих, перерабатывающих и распределяющих объектах, которая может быть продана на черном рынке. Кроме того, прерывание потока этой информации посредством вредоносных атак может привести к потере контроля над ситуацией с пультов операторов или даже подавлению сигналов тревоги. Манипулирование этими данными может вызвать различные сбои — от незначительных неудобств до катастрофических событий. Информация, непрерывно собираемая при помощи датчиков автоматизированных систем, жизненно важна для бесперебойной работы предприятий. Когда эта информация пропадает или повергается изменениям, последствия могут быть разрушительными.
Стратегия защиты информации
Каждая нефтегазовая компания является мишенью для взлома, и немногое можно сделать, чтобы предотвратить эту угрозу. Несмотря на это, компании должны приложить максимум усилий, чтобы свести к минимуму вероятность и последствия взлома. Одна из стратегий противодействия этому заключается в формировании целостного представления об объекте и применении комплексного и интегрированного подхода к обеспечению безопасности. Но с чего следует начать оценку объекта?
Прежде всего, нефтегазовые компании должны внимательно изучить состояние своих средств обеспечения безопасности. Откуда может быть осуществлена кибератака? Что может попасть под удар? Что произойдет, если кибератака будет успешной? Располагает ли управляющий персонал средствами, соответствующими требованиям по защите от кибератак и управлению системами?
Вот некоторые из ключевых инициатив по обеспечению безопасности нефтяных и газовых компаний:
- Разработка внутренних программ по повышению осведомленности персонала предприятия о киберугрозах, помогающих сотрудникам брать на себя активную роль в обеспечении безопасности любых предпринимаемых ими действий;
- Реализация стратегий управления бюджетом, выделенным на обеспечение компьютерной безопасности, как на этапе роста, так на этапе консолидации;
- Интеграция автоматизированных средств SCADA и РСУ с соответствующими мерами противодействия киберугрозам;
- Анализ рисков и управление стратегиями обеспечения безопасности с целью выработки упреждающего подхода к безопасности, который может свести к минимуму вероятность происшествия и облегчить принятие ответных мер и мер по восстановлению в случае возникновения происшествия.
Задача защиты процессов и систем автоматизации может оказаться более сложной, чем в случае традиционных ИТ-систем, однако на нефтегазовые компании возложено больше обязательств по устранению возможных проблем, поскольку потенциальные последствия происшествий слишком высоки, чтобы их игнорировать. Эта защита требует большего разделения сетей, строгих мер по проверке подлинности и контролю доступа, ограничений по работе с файлами и съемными носителями информации, ужесточения правил применения групповой политики и других жестких мер по сдерживанию киберугроз, управлению средствами защиты, контролю изменений, настройке конфигураций и техническому обслуживанию.
Программа обеспечения кибербезопасности
Нефтегазовые компании могут свести к минимуму риски в сфере информационной безопасности путем реализации общей программы обеспечения кибербезопасности для корпоративных сред и производственных объектов. В такой программе должны сочетаться все аспекты управления безопасностью — от определения политики и доведения ее до сведения всех заинтересованных лиц до внедрения передовых отраслевых методов, их последовательного применения и проведения проверок. Программа должна строиться на платформе, объединяющей технологии (оборудование и программное обеспечение), процессы (политики и процедуры) и человеческий фактор (обучение и информирование).
Поскольку промышленная кибербезопасность требует наличия опыта и специальных знаний о киберугрозах и ПСУиА, получить доступ к требуемым ресурсам часто оказывается непросто. Одним из главных препятствий на пути к эффективной защите информационных систем остается нехватка квалифицированных специалистов. Решение вопросов промышленной безопасности в киберпространстве при недостатке знаний — это компромисс, который может причинить больше вреда, чем пользы.
Самый важный шаг в рамках любой программы кибербезопасности — это первый шаг. После того как план введен в действие, самым важным становится следующий шаг: необходимо осознать, что обеспечение кибербезопасности — это циклический процесс, а не разовое мероприятие. Теперь можно двигаться дальше. Чтобы совершенствоваться, адаптироваться и реагировать на постоянно меняющиеся киберугрозы, требуется комплексное решение, включающее оценку рисков и уязвимостей, выработку рекомендаций по соответствующим изменениям, разработку оптимальной архитектуры с учетом конкретных требований, ее реализацию и непрерывный контроль за работой ПСУиА. После завершения разработки и внедрения решения необходимо непрерывно переоценивать и перепроверять его и — самое главное — не терять бдительности.
Подробный план действий по оценке рисков
Нефтегазовым компаниям необходимо разработать план действий для ослабления или устранения выявленных областей риска. Комплексная оценка кибербезопасности может раскрыть пассивные атаки, выявить уязвимости, такие как несанкционированный доступ и другие несоответствия, позволяет определить и оценить текущее состояние системы защиты и расставить приоритеты для мероприятий по снижению рисков. Регулярное проведение такой оценки помогает группам обеспечения кибербезопасности отслеживать ключевые этапы и зрелость принятой программы защиты на протяжении долгого времени, что позволяет определить степень достижения желаемого уровня безопасности.
Периодические проверки для выявления тенденций
Нефтегазовые компании должны также проходить независимый аудит для оценки адекватности средств управления защитой, определения соответствия принятым правилам и эксплуатационным процедурам и получения рекомендаций, касающихся необходимых изменений. Периодический аудит помогает контролировать имеющиеся тенденции и предназначен для оценки эффективности с помощью предопределенных показателей.
Безопасная архитектура для повышения надежности
Нефтегазовым компаниям необходимо, чтобы подход к архитектуре решения для обеспечения безопасности отвечал долгосрочным целям в отношении эксплуатационной готовности и надежности систем автоматизации. Руководство предприятия должно понимать все преимущества и недостатки различных архитектур кибербезопасности, а также особенности каждой топологии с учетом надлежащей сегментации зон и соединений между ними. Прочные стены более эффективны, если построены на надежном фундаменте.
Надлежащее развертывание средств сетевой безопасности
Средства сетевой безопасности часто составляют первую линию обороны от киберугроз. Эффективная система сетевой безопасности должна включать средства противодействия, например межсетевые экраны и инструменты для обнаружения и анализа угроз, и задействовать их для реализации политики и процедур, ограничивающих несанкционированный доступ и использование системных ресурсов.
Эффективная защита оконечного сетевого оборудования
Каждое устройство является потенциальной мишенью, а также возможной точкой проникновения в ПСУиА угроз, испытывающих на прочность различные зоны безопасности. По этой причине необходимы эффективные средства защиты подключенных к сети устройств, ограничивающие доступ к ним. Организации могут укрепить свои сети за счет устранения уязвимостей и антивирусной защиты, применения «белых списков», усиления оконечных узлов и защиты съемных носителей информации.
Повышение осведомленности об опасных ситуациях
Подготовка персонала для быстрой оценки ситуаций, связанных с нарушением кибербезопасности, является важной задачей для нефтегазовых компаний. Для ее решения требуется постоянный контроль над ситуацией в области уязвимостей и угроз информационной безопасности. Сотрудники должны быть готовы к выявлению и интерпретации подозрительной активности в сетях управления. Это может быть реализовано с помощью таких мер, как непрерывный контроль, определение соответствия нормативам, составление отчетов, анализ безопасности, управление информацией и событиями, связанными с безопасностью, а также соответствующее обучение.
Улучшение практики принятия ответных мер и восстановления
Предприятия энергетической отрасли должны разработать эффективные стратегии реагирования на происшествия и восстановления после них. Безусловно, лучшим решением было бы сведение к минимуму частоты возникновения, масштабов и последствий нарушений кибербезопасности, однако такого понятия, как 100-процентная безопасность, не существует. Успешная кибератака в лучшем случае нарушит целостность систем, на которые она нацелена, а в худшем может привести к непоправимым сбоям в работе цифровых систем. Резервные копии проверенных и чистых систем должны постоянно обновляться, чтобы работу этих систем можно было быстро восстановить. Такие меры предосторожности, особенно в критически важных отраслях, должны быть частью более широкого плана восстановления после нарушений и аварий, обеспечивающего сокращение времени простоя и ограничение возможных убытков.
Передовое управление рисками
Сейчас нефтегазовый сектор более чем когда-либо нуждается в решениях, способных заблаговременно отслеживать, оценивать и устранять риски кибербезопасности для систем управления, а также обеспечивать оперативный контроль, анализ и поддержку принятия решений в отношении выявленных нарушений и уязвимостей. Новейшие инструменты управления рисками дают возможность оценивать риски и уязвимости в реальном времени, а также консолидируют данные для лучшего отслеживания угроз. Вооружившись знаниями о том, откуда исходят киберугрозы, а также об их потенциальном воздействии и возможных решениях по устранению в контексте ПСУиА, сотрудники ИТ-отдела и эксплуатационно-технологических служб могут расставить приоритеты и предпринять надлежащие действия по восстановлению с минимальной задержкой.
При резком увеличении частоты и сложности кибератак против современных объектов энергетической отрасли нефтегазовые компании должны принимать более решительные и активные меры по защите своих критически важных активов. Такие меры предполагают использование отраслевых стандартов, передового опыта и новейших технологий для разработки программы кибербезопасности, которая обеспечит лучшее понимание рисков кибербезопасности и, как следствие, более надежную защиту инфраструктуры управления технологическими процессами от постоянно меняющихся компьютерных угроз.