Распространенные ошибки в кибербезопасности на умных производствах

В этом интервью для Help Net Security директор по безопасности Packsize Трой Райдман разбирает основные уязвимости современных интеллектуальных производств: от устройств Интернета вещей и устаревших систем до человеческого фактора. Он поясняет, как неуправляемые устройства, от датчиков до роботизированных компонентов, часто остаются без обновлений и превращаются в точки входа для злоумышленников.

Устаревшая инфраструктура часто остается без внимания, когда компании переходят на облачные и SaaS-платформы, что оставляет старые системы незащищенными. Сотрудники по-прежнему представляют собой слабое звено не из-за халатности, а потому что человеческую природу можно использовать через социальную инженерию и фишинг. Райдман также затрагивает постоянное противоречие между требованиями к бесперебойности производства и безопасности, объясняя, как организациям найти приемлемый порог риска, информируя заинтересованные стороны, инвестируя в обучение и формируя культуру безопасности в компании.

Безусловно, это устройства Интернета вещей, включая эксплуатацию, разработку, производителей и оборудование. Злоумышленники часто ищут удобные цели в отраслях, которые не тесно связаны с вопросами безопасности или передовыми технологиями. Многие IoT-устройства призваны повышать производительность и требуют прямого доступа в интернет. Используемые в них методы аутентификации могут не соответствовать современным стандартам безопасности, что создает высокую вероятность их атаки в ходе киберинцидента.

Обеспечение безопасности продуктов Интернета вещей всегда было сложной задачей. Это по-прежнему серьёзная проблема для цепочек поставок, складской и производственной отраслей, которым необходимо защищать свои IoT-устройства и поддерживать их безопасность, одновременно гарантируя их ценность для клиента. Мы считаем своей обязанностью обеспечивать надлежащую защиту для каждого используемого устройства и информировать клиентов о дополнительных рисках, которые эти устройства могут представлять в их среде.

Устаревшие устройства или системы, долгое время работавшие в определенных процессах, часто остаются в тени, когда организации начинают внедрять облачные сервисы или SaaS-решения. Они забывают об этих системах, работающих на старой инфраструктуре. Основная сложность, которую мы наблюдаем у наших партнеров и клиентов, — это интеграция с унаследованными системами, особенно если их поставщик больше не поддерживает их или прекратил свою деятельность.

Ещё одной потенциальной точкой входа является система внутри системы, например, компьютерная система или система управления складским производством. В робототехнике, в частности, существует множество небольших компьютерных систем, выполняющих исходный код для управления определёнными средами. За этими отдельными компьютерными системами часто пренебрегают в пользу более крупной системы. Например, на складе может управляться роботизированная рука для захвата, в систему которой встроено три или четыре устройства интернета вещей, обслуживающих отдельные её части. Они не обслуживаются и не обновляются так же, как основная компьютерная система. Они становятся точками для атак, когда злоумышленники пытаются проникнуть в производственную систему склада, и эти роботизированные системы могут иметь прямой доступ в интернет без ведома пользователя. Поэтому крайне важно поддерживать актуальность этих машин.

Самая большая уязвимость для любой компании — это неосведомлённый сотрудник или персонал. Компании часто создают рабочие процессы для сотрудников, которые являются удобными и интуитивно понятными, чтобы продемонстрировать возврат инвестиций. Однако человеческие ошибки приводят к большинству инцидентов безопасности: от передачи паролей в результате фишинговой атаки до случайного разглашения информации о клиентах по телефону или электронной почте.

Подобные непреднамеренные ошибки по-прежнему остаются самым слабым звеном внутри организаций. Компьютерные системы статичны, поэтому они не становятся жертвами фишинговых атак. Люди же обладают человеческой природой, включая эмпатию, сострадание и желание помочь. К сожалению, этим можно воспользоваться.

В результате крайне важными становятся инвестиции не только в обучение, но и в корпоративную культуру. Компаниям необходимо выстраивать процессы, обеспечивающие комфорт сотрудников в понимании и выявлении уязвимых мест, объясняющие, почему и как их обходить, и как сообщать о предложениях по улучшениях команде безопасности.

Многие из этих систем остаются незащищёнными, поскольку считаются системами с развёртыванием по принципу "нулевого касания". Существует убеждение, что после установки камеры потребуется минимальная конфигурация или управление.

Однако эти неуправляемые устройства самостоятельно подключаются к интернету, выходя на растущие облачные платформы и SaaS-сервисы. Если взглянуть на современные ботнеты или компьютерные системы, используемые для атак типа "отказ в обслуживании", то они часто состоят из захваченных устройств Интернета вещей. Если пользователи не осознают, что их устройства скомпрометированы, те могут быть использованы для отправки несанкционированных трафиковых паттернов на непредназначенные цели. Устройства, которые мы считаем не требующими вмешательства, имеют облачный доступ и, как правило, нуждаются в дополнительных проверках безопасности и тщательном анализе перед развертыванием.

Всегда существует баланс между пониманием организационных рисков и готовностью их принять. Это сложная задача для обеих сторон. С точки зрения производства, многие сотрудники не обладают глубоким пониманием технологических рисков и воспринимают любые ограничения как прямое влияние на их клиентов. С другой стороны, специалисты по кибербезопасности могут не понимать пороговых значений организационного риска. Они стремятся внедрить все возможные меры контроля для снижения любого предполагаемого риска внутри организации, что может повлиять на цепочки поставок, сроки развертывания и другие операционные вопросы.

Внутренние обсуждения в организации помогают всем понять приемлемый уровень риска. На что организация готова пойти? Допустимо, если некоторые системы не полностью заблокированы ради более быстрого продвижения. Это может привести к лучшей окупаемости инвестиций. В безопасности существует принцип: не стоит тратить 500 долларов на защиту от риска в 100 долларов. Всегда важно вкладывать ровно столько средств, сколько необходимо для снижения приемлемого для организации уровня риска. Поэтому понимание этого порога, а также ведение таких диалогов внутри бизнеса, не оставляя заинтересованные стороны в неведении, чрезвычайно важно.

Безопасность по замыслу: Встраивание защиты на этапе проектирования