Вице-президент Black & Veatch по глобальной промышленной кибербезопасности Ян Брэмсон рассказывает о способах решения проблем кибербезопасности при эксплуатации трубопроводов. Он отмечает, что нефтепроводы являются главной целью кибератак, уязвимости которых угрожают не только оперативной целостности, но и национальной безопасности, экономической стабильности и экологической безопасности. Несмотря на растущее осознание этих угроз, отрасль транспортировки нефти и газа по-прежнему страдает от фрагментарного регулирования, устаревших систем и расширяющейся поверхности атаки.
С ростом конвергенции операционных технологий (ОТ) и информационных технологий (ИТ), а также распространением новых цифровых инструментов, операторы сталкиваются с техническими, логистическими и культурными проблемами. Вопрос заключается не в том, будут ли атакованы системы трубопроводов, а в том, достаточно ли подготовлен сектор для защиты от этих атак и восстановления после них.
Картина кибербезопасности операторов среднего звена неоднозначна. Компании, ответственные за транспортировку нефти и газа, варьируются от крупных транснациональных корпораций с огромными ресурсами до небольших операторов с ограниченным бюджетом. В результате методы обеспечения безопасности в отрасли сильно различаются, создавая пеструю картину сильных и слабых сторон. Несмотря на то, что громкие инциденты, такие как атака на Colonial Pipeline в 2021 году, высветили риски, прогресс в отрасли был неравномерным. Этот инцидент, который на несколько дней нарушил поставки топлива на Восточном побережье США, продемонстрировал, насколько уязвимы системы среднего звена, а также показал катастрофические последствия, которые могут возникнуть при взломе этих систем.
Даже несмотря на то, что эта атака побудила правительственные учреждения, такие как Администрация транспортной безопасности (TSA), издать директивы по безопасности трубопроводов, отсутствие единой нормативно-правовой базы привело к тому, что многие операторы были вынуждены самостоятельно обеспечивать свою безопасность. В отличие от электросети, которая регулируется стандартами NERC по защите критически важной инфраструктуры (CIP), трубопроводы подпадают под юрисдикцию TSA, где руководящие принципы не имеют обязательной силы. Хотя директивы TSA побуждают операторов устранять уязвимости, отсутствие строгих требований соответствия означает, что их реализация непоследовательна. Многие операторы предпочитают добровольные меры, чтобы избежать затрат и операционных сбоев, которые могут повлечь за собой более строгие правила. Эта динамика делает сектор уязвимым для развивающихся угроз, даже несмотря на то, что атаки становятся все более изощренными и разрушительными.
Киберугрозы, с которыми сталкиваются операторы среднего звена, эволюционировали от инцидентов, создающих неудобства, до атак, способных нанести широкомасштабный экономический и социальный ущерб. То, что когда-то было проблемой, ориентированной в первую очередь на ИТ, превратилось в кризис, охватывающий как ИТ, так и ОТ. Атаки программ-вымогателей продолжают доминировать в ландшафте угроз. Атака на Colonial Pipeline стала напоминанием об уязвимости сектора для таких кампаний, когда злоумышленники шифруют критически важные ИТ-системы и требуют выкуп за их разблокировку. Хотя атака не была напрямую нацелена на ОТ-системы трубопровода, последовавшее за этим отключение операций высветило взаимосвязанность и хрупкость операций среднего звена.
Помимо программ-вымогателей, изощренные постоянные угрозы, организуемые национальными государствами, представляют собой еще более коварный риск. Эти изощренные атаки часто проникают в ОТ-системы, где они собирают разведданные или манипулируют процессами в течение длительного времени без обнаружения. Последствия таких взломов могут быть катастрофическими, начиная от отказов трубопроводов и заканчивая крупномасштабными экологическими катастрофами.
Внутренние угрозы, будь то преднамеренный саботаж или непреднамеренные ошибки, добавляют еще один уровень сложности. Невнимательный щелчок по фишинговому электронному письму или несоблюдение надлежащих протоколов безопасности могут подвергнуть критически важные системы риску атак. Этот риск усугубляется зависимостью отрасли от сторонних поставщиков, чьи собственные уязвимости могут стать точками входа для киберпреступников. Растущая зависимость сектора от устройств IIoT, удаленных датчиков и автоматизации также расширила поверхность атаки. Хотя эти технологии повышают операционную эффективность и прозрачность, им часто не хватает надежных мер безопасности, что делает их привлекательной мишенью для злоумышленников, стремящихся использовать слабые места.
Специфика эксплуатации трубопроводов привносит уникальные проблемы в области кибербезопасности. Одной из наиболее значительных проблем является обширная география трубопроводов. Трубопроводы простираются на тысячи миль, часто пересекая государственные и национальные границы. Эта обширная инфраструктура создает широкую поверхность атаки, которую трудно контролировать и обеспечивать безопасность. Обеспечение безопасности трубопровода отличается от обеспечения безопасности нефтеперерабатывающего завода. Речь идет не только об одном месте, а об удаленных активах, распределенных по целым регионам. К этому добавляется распространенность устаревающей инфраструктуры и устаревших систем.
Многие системы трубопроводов были спроектированы десятилетия назад, задолго до того, как кибербезопасность стала проблемой. Этим старым системам часто не хватает вычислительной мощности для поддержки современных инструментов безопасности, что делает модернизацию дорогостоящей и технически сложной. Конвергенция ИТ и ОТ систем еще больше усложняет ситуацию. ИТ-системы, такие как биллинг и планирование, теперь все чаще интегрируются с ОТ-системами, которые управляют физическими операциями трубопроводов. Хотя эта интеграция обеспечивает повышение эффективности, она также создает новые уязвимости. Взлом ИТ-системы может распространиться на ОТ-среду, нарушив работу и потенциально причинив физический вред.
Все это подчеркивает необходимость более проактивного и ориентированного на последствия подхода к кибербезопасности в секторе среднего звена. Операторы не могут позволить себе ждать следующего кризиса, чтобы начать действовать. Один из важных уроков заключается в важности определения приоритетности активов, оказывающих большое влияние. Вместо того, чтобы пытаться обеспечить одинаковую безопасность всех компонентов, операторы должны сосредоточиться на системах и активах, компрометация которых окажет наибольшее влияние на безопасность, время безотказной работы и доход. Этот подход требует детальной оценки рисков и глубокого понимания операционных взаимозависимостей. Другой урок заключается в ценности раннего обнаружения и быстрого реагирования. Многие атаки успешны, потому что аномалии, такие как неудачные команды или попытки несанкционированного доступа, не распознаются или не устраняются вовремя. Внедрение систем мониторинга в реальном времени и инвестирование в передовые аналитические инструменты могут помочь операторам обнаруживать и реагировать на угрозы до того, как они обострятся. Сотрудничество также имеет важное значение. В секторе среднего звена участвуют многочисленные заинтересованные стороны, включая операторов, регулирующие органы и сторонних поставщиков. Эффективная кибербезопасность зависит от тесного общения и обмена информацией между этими сторонами. Швы в этой системе, будь то между компаниями, штатами или странами, являются наиболее вероятными местами для атак.
Для усиления своей защиты сектор среднего звена должен принять многогранный подход к кибербезопасности, сочетающий технологии, управление и культуру. Во-первых, операторы должны улучшить видимость и мониторинг. Инструменты сбора данных и аналитики в реальном времени, основанные на искусственном интеллекте и машинном обучении, могут помочь выявить аномалии в ИТ и ОТ системах. Эти инструменты не только улучшают обнаружение угроз, но и поддерживают принятие более эффективных решений во время инцидентов. Далее, сегментация между ИТ и ОТ системами имеет решающее значение. Поддерживая четкие границы между этими средами, операторы могут предотвратить распространение взломов из одного домена в другой. В то же время надежные протоколы связи должны гарантировать, что операционная эффективность не будет нарушена.
Решение проблемы устаревшей инфраструктуры требует целевых инвестиций. Хотя полная замена устаревших систем может быть непрактичной, постепенные обновления, такие как добавление систем обнаружения вторжений, защищенных протоколов связи и брандмауэров, могут значительно снизить риск. Наконец, операторы должны управлять рисками, связанными с третьими сторонами. Это включает в себя проведение регулярных аудитов поставщиков, обеспечение соответствия строгим требованиям безопасности и мониторинг уязвимостей в оборудовании и программном обеспечении, предоставляемом третьими сторонами.