Статті

Кибербезопасность в промышленности и законодательство. Ситуация в мире

Производственная отрасль может похвастаться сомнительным “достижением” – она является второй крупнейшей целью киберпреступников, сразу после здравоохранения. Среди промышленности на первом месте из угрожаемых отраслей находится автомобильная. В 2015 примерно треть всех атак в промышленности пришлась на автомобильную отрасль. Химическая отрасль была на втором месте.
С пришествием промышленного интернета вещей (ПИВ) интеллектуальная собственность, данные и продукция промышленных компаний находятся под постоянной угрозой со стороны киберпреступников. По некоторым оценкам, 21% промышленников прошли через потерю интеллектуальной собственности из-за кибератак.
 
Многие производители очень сильно отстали с точки зрения безопасности. Отчасти это объясняется тем, что они не сталкивались требованиями по соответствию, как например, финансовая отрасль с PCI DSS или здравоохранение с HIPAA. В итоге, промышленность сегодня является более уязвимой с точки зрения кибербезопасности.
 
В своем посте для адвокатской конторы Robinson & Cole, Линн Фостер Фридман написал: «Производственные компании часто не верят в то, что они находятся под прицелом, так как у них нет больших объемов данных о потребителях. Поэтому они не концентрируются на кибербезопасности и становятся уязвимыми». И все же промышленность не столь наивна относительно киберугроз, как можно подумать. 92% опрошенных производителей в прошлом году выделили кибербезопасность среди своих основных задач. 
 
Соединенный…и уязвимый цех 
 
Хакеры использовали Heartbleed и другие уязвимости для своих атак. Также они используют человеческие ошибки и слабости – с помощью различных технологий социального инжиниринга, подобных фишингу. Однако настоящий экшен сейчас происходит в сфере ПИВ.  
 
Производственная среда сейчас соединена с интернетом. Это существенно расширило простор для атак на промышленность. В прошлом использовался «воздушный зазор», который физически отделял промышленные сети от корпоративных и от интернета. Сегодня зазор уже «не вариант», так как промышленники активно используют бизнес-модели, ставшие возможными благодаря ПИВ.
 
И это проблема, поскольку контроллеры, работающие в каждой промышленной среде, часто не имеют даже базовых функций безопасности, таких как аутентификация или мощное шифрование. Из-за этого многим атакам на АСУ ТП даже не надо использовать уязвимости ПО. Все что нужно – получить доступ к контроллерам, и можно довольно легко изменять любые настройки.
 
Национальная ассоциация производителей (National Association of Manufacturers или NAM) отмечает: «Миллиарды соединенных устройств используются в современной продукции и собственно в цехах, где они производятся. Эта технология создает огромные возможности и влечет трансформирующие изменения. Она превратила всех производителей в технологические компании».
 
Однако в NAM также отмечают, что: «Чем больше будет интеллектуальных устройств, тем больше в этих устройствах будет данных, которые захотят украсть». Более того, в производимых товарах также все больше коммуникационных возможностей. Устройства для нагревания, вентиляции, кондиционирования могут использовать связь для взаимодействия с пользователями и своими производителями.
 
Позитивным моментом в этом является то, что производители могут перейти от модели одноразовой продажи к модели постоянного дохода. К сожалению, параллельно появляются новые возможности для кибератак. Поэтому промышленные группы и правительственные организации работают над тем, чтобы обезопасить соединенные устройства и среды.
 
Нечестный бой  
 
Нужны серьезные ресурсы для того, чтобы обеспечить уровень кибербезопасности, достаточный для того, чтобы выдержать атаку на государственном уровне – ресурсы, которых у производителей, особенно небольших, просто нет. Любое развитое государство может представлять угрозу любому производителю – отмечают в NAM. Обсуждая атаки из Китая в интервью с CBS в прошлом году Джон Карлин, заместитель генерального прокурора по национальной безопасности, отметил: «Это нечестный бой. Частная компания не может конкурировать с ресурсами второй крупнейшей экономики мира».
 
Для того, чтобы поощрить инвестиции за пределами обычных уровней трат на киберзащиту, NAM призывает к партнерству на уровне государство-частный сектор. Также NAM подталкивает Национальный научный фонд (The National Science Foundation), агентство DARPA и исследовательское подразделение Департамента национальной безопасности поставить в приоритет исследования в области безопасности интернета вещей.  
 
Cражение на законодательном фронте
 
В январе Федеральная комиссия по связи (Federal Communications Commission или FCC) призвала к введению регулярной отчетности по кибербезопасности со стороны производителей устройств интернета вещей. И она опубликовала соответствующий документ для перевода обсуждения в практическую плоскость.
 
FCC отметила, что широкий круг вендоров в сфере интернета вещей должны поддерживать цены невысокими, для сохранения конкурентоспособности. Как результат, у них нет никаких стимулов встраивать системы обеспечения безопасности по «доброй воле». Таким образом FCC собирается стимулировать этот процесс.
 
На столе у президента Трампа лежал на подпись указ, касающийся кибербезопасности. В Washington Post даже опубликовали проект указа. Однако президент не подписал указ как планировалось 31 января, по невыясненным причинам. Вместо этого он провел пресс-конференцию, на которой говорил о важности кибербезопасности. Так что, мы наверное еще услышим об этом или аналогичном указе.
 
Тем временем существуют и другие законодательные инициативы на федеральном уровне в США, а также в других странах. Как минимум 28 штатов США в прошлом году рассматривали или реализовали законодательные инициативы в области кибербезопасности.
 
ЕС одобрил правила в области кибербезопасности, которые обязывают бизнес укреплять свою защиту. В Австралии разработана Национальная стратегия, в соответствии с которой правительство и частный сектор работают над решением проблем кибербезопасности.
 
Целостный подход к кибербезопасности
 
Производители должны четко осознавать, что их ожидает за поворотом к кибербезопасности. Те, кто еще не вовлечен в процесс, могут начать высказывать свое мнение сейчас, до того, как законодательство по кибербезопасности будет создано. Однако надо учитывать, что поскольку законодательный процесс очень нетороплив, а технологический прогресс – наоборот, все более стремителен, законодательство, как правило, отстает от текущего уровня развития технологий на 3-4 года (и это «там» – прим. переводчика).
 
Так что бизнесу есть смысл идти дальше простого соответствия регуляторным требованиям, если его целью является реальная безопасность. То, что сейчас нужно – это понимание и активное участие не только в соблюдении текущего законодательства или создании нового, но и в разработке стратегии кибербезопасности. Стратегии, которая гарантирует, что существуют люди, процессы и технологии, обеспечивающие безопасность критически важных данных.
 
Материалы по теме:
Комментарии: