Постоянное совершенствование методов, применяемых киберпреступниками, ведет к росту риска возникновения катастроф и увеличению масштаба их последствий. Как отмечают аналитики «Делойт», до сих пор нефтегазовому сектору удавалось избегать крупных производственных катастроф. Но если компании не расширят свои программы по управлению киберрисками, это везение может вскоре закончиться.
Несмотря на масштабное распространение инновационных методов работы, таких как роботизированные системы, цифровые решения и Интернет вещей, в вопросах кибербезопасности нефтегазовый сектор по-прежнему отстает от других отраслей. Для обеспечения безопасности и гибкости операционных процессов и их готовности к возможным угрозам нефтегазовые компании должны объединить усилия в двух сферах — технической и ИТ, применяя специализированные решения.
Понимание рисков
При создании систем управления производственными процессами (Industrial control system, ICS) не предполагалось их дальнейшее объединение в сети, однако сегодня происходит именно это. Цифровизация операционных процессов в нефтегазовом секторе привела к тому, что перед компаниями открываются новые возможности для повышения производительности и сокращения затрат.
В то же время слияние производственных и бизнес-процессов также делает организации уязвимыми для новых киберрисков. Можно отметить несколько возможных сценариев изменения ландшафта киберрисков.
- Использование незащищенного удаленного доступа для осуществления взаимодействия позволяет киберпреступникамполучить контроль над системой, управляющей производственными процессами, и вызвать ее перегрузку.
- Некорректное тестирование информационных систем перед их развертыванием приводит к полному отказу систем и, как следствие, к сбоям или остановке производственных процессов.
- Неэффективные методы обеспечения безопасности, применяемые сторонними контрагентами, позволяют вирусам проникнуть в производственную программную среду, что приводит к остановке ключевых систем диспетчерского управления и сбора данных (SCADA).
- Приобретение технологических продуктов без проведения полноценного предварительного тестирования и исправления ошибок делает предприятие уязвимым и позволяет враждебно настроенным лицам получить удаленный доступ к системам.
Эти примеры показывают, что существует множество источников киберугроз: сотрудников, стремящихся организовать диверсию на производстве, конкурентов, желающих нанести ущерб бренду компании, третьих лиц, заинтересованных в остановке ее работы. И пусть не все риски можно минимизировать, важно понимать, какие виды контрольных процедур существуют в организации и над чем еще необходимо работать.
Компании должны критически взглянуть на информационные системы и операционные процессы. Полезным инструментом для этого может стать анализ Bow-Tie — популярная концепция, широко используемая в инженерно-технической области для оценки отказов оборудования. Для защиты ICS-систем также можно применять следующие дополнительные меры.
- Оценка зрелости существующих средств обеспечения контроля. Данная мера предполагает инвентаризацию активов и оборудования, а также оценку их значимости для организации. При этом определяется наличие или отсутствие в работе ключевых активов и оборудования детально изученных уязвимостей, которыми можно воспользоваться, проводится оценка зрелости средств обеспечения контроля с целью упреждающего управления указанными угрозами.
- Разработка единой программы. Централизованная программа обеспечения кибербезопасности в нефтегазовом секторе может быть разработана и внедрена путем проведения многолетней работы, направленной на комплексное преобразование ICS-систем. При этом на каждом этапе трансформации необходимо помнить о самой главной цели — совершенствование процессов управления операционными процессами для создания безопасной, готовой к работе и защищенной контрольной среды.
- Внедрение ключевых контрольных процедур. Несмотря на то что показатели готовности к рискам разнятся от компании к компании, существует несколько основополагающих средств обеспечения контроля киберрисков, которые должна иметь в своем наличии практически любая нефтегазовая компания. К ним относятся проведение информационно-разъяснительной работы среди сотрудников, осуществление контроля доступа, обеспечение безопасности коммуникационной сети, ограничение использования и проверка переносных носителей информации, а также разработка регламента реагирования в случае возникновения угроз.
-
Обеспечение эффективных механизмов управления. Внедрение программ информационной безопасности при управлении операционными процессами сопряжено с дополнительными сложностями, связанными с управлением кадровыми ресурсами. Организации должны разработать программу проведения информационно-разъяснительных мероприятий, чтобы преодолеть непонимание между ИТ-специалистами и специалистами по ICS-системам, а также обеспечить возможности карьерного роста для тех сотрудников, которые желают специализироваться в области информационной безопасности ICS-систем.