Анастасия Харыбина (AKTIV.CONSULTING), Тимофей Матреницкий (Guardant) и Дмитрий Ли, независимый эксперт в области ИБ ТЭК, провели очередной выпуск подкаста «Безопасный выход», посвященный обеспечению информационной безопасности в нефтегазовой отрасли. Резонансные киберинциденты, специфика технологического сегмента нефтегаза и действенные способы обеспечения его защиты, вклад отраслевого ведомства в безопасность объектов КИИ в нефтегазе и трансформация роли служб и департаментов ИБ нефтегазовых компаний в условиях цифровизации — таков далеко не полный перечень вопросов, которые были рассмотрены.
Анастасия Харыбина (далее Анастасия): Сегодня у нас в гостях Дмитрий Ли. У Дмитрия огромный опыт работы в топливно-энергетическом комплексе. За 20 лет он прошел путь от программиста-инженера до руководителя службы информационной безопасности компании ТЭКа. Дмитрий член рабочей группы по кибербезопасности национальной технологической инициативы Энерджинет. Он многократно участвовал в комиссиях и рабочих группах в Минэнерго России, в том числе по развитию регуляторики для ТЭК. В общем, с кем еще говорить о нефтегазовой отрасли, как не с Дмитрием Ли? Думаю, сегодня будет интереснейший выпуск, и те из нас, кто не работает в ТЭКе, поймут, как обстоят дела с информационной безопасностью в нефтегазовой отрасли, а те, кто уже работает, смогут сверить часы с известным отраслевым экспертом.
Изначально мы хотели посвятить этот выпуск вопросам ИБ в топливно-энергетическом комплексе. Но когда начали разбираться, то поняли, что тему надо немного сузить, выделить из ТЭКа нефтегаз и посмотреть на эту отрасль через призму Федерального закона «О критической информационной инфраструктуре». Напомню, что в этом нормативном документе ТЭК рассматривается отдельно от энергетики и от атомной энергетики.
Минэнерго России выделяет три подотрасли, в интересах которых образован единый центр компетенции по обеспечению кибербезопасности в ТЭКе. Первая подотрасль — это нефтегаз, вторая — электроэнергетика и третья — добыча угля и торфа. Сегодня мы будем, в основном, говорить о безопасности в нефтегазе, хотя, наверняка, затронем и электроэнергетику, потому что в ней тоже много интересных примеров в сфере ИБ.
ТЭК — это отрасль, которая, с одной стороны, формирует экономику нашей страны, а с другой стороны, обеспечивает базовые, каждодневные потребности ее жителей. Именно поэтому безопасность ТЭК в целом, и нефтегаза, в частности, имеет для всех нас огромное значение.
За последние несколько лет самым нашумевшим инцидентом, который встряхнул нефтегазовую отрасль, была кибератака на систему оператора крупнейшего в США трубопровода. Она привела к тому, что все восточное побережье страны почти неделю оставалось без топлива. Из-за этой кибератаки четыре штата объявили чрезвычайное положение. При этом представители организации DarkSide, взявшей на себя ответственность за этот акт, заявили, что они руководствовались исключительно жаждой наживы. Атакованный оператор трубопровода заплатил выкуп в размере почти $5 млн.
Это произошло в мае 2021 года в США, а в 2022-м году было несколько инцидентов в нефтегазовой подотрасли в ЕС: в Германии, Бельгии и Нидерландах. Там из-за почти синхронных кибератак нефтяные компании были вынуждены задерживать поставки топлива трейдерам и потребителям.
С моей точки зрения, надо разделять все киберинциденты в нефтегазовой отрасли на группы в зависимости от целей, которые преследуют хакеры. И тогда к первой мы отнесем те, в которых злоумышленники хотели только заработать. А ко второй — кибератаки, направленные на нанесение ущерба. Для нефтегазовой отрасли хакеры, стремящиеся причинить ущерб, гораздо опаснее, потому что их действия могут парализовать бизнес, производство, транспорт, жизнь людей — все и вся.
Дмитрий Ли (далее Дмитрий): На мой взгляд, различие заключается в том, что ребята, действующие ради денег, самостоятельны и потому ограничены в финансовых средствах. Другое дело, когда мы имеем дело с киберармиями. О существовании таких подразделений у многих государств сегодня говорится уже открыто. В этом случае ограничений по ресурсам у хакеров нет, и поэтому негативный эффект может быть существенно больше. И я считаю, что последствия всех кибератак на крупные объекты топливно-энергетического комплекса потенциально опасны, независимо от целей хакеров, которые за ними стоят.
Анастасия: К сожалению, мало что известно об инцидентах ИБ, которые выявляются в нефтегазовой отрасли в России. В 2017 году были публикации о мощной хакерской атаке на серверы компании «Роснефть», которая даже обращалась по этому поводу в правоохранительные органы. Как вы думаете, почему информации так мало?
Дмитрий: Не только в России, но и во всем мире кибератак с последствиями, о которых стало известно общественности, единицы. Как правило, столкнувшиеся с действиями хакеров компании стараются не выносить эти инциденты на всеобщее обозрение. На страницы СМИ падают лишь те события, которые не получается замолчать. Но поскольку публикаций о киберинцидентах в российской нефтегазовой отрасли мало, можно сделать вывод о том, что очень серьезных хакерских атак на наши компании из этой сферы и не было: иначе бы информация о них была бы в открытых источниках. А о мелочах, так уж повелось, в отрасли говорить не принято. Вместе с тем сейчас ситуация в отрасли начинает меняться: коллеги по цеху призывают друг друга делиться информацией о киберинцидентах хотя бы на уровне технологического партнерства.
Анастасия: А что на самом деле сейчас больше всего волнует специалистов по ИБ в нефтегазовой отрасли? Насколько важна проблема разделения корпоративной и промышленных сегментов сети? Можно ли сказать, что в ней заключается основная причина уязвимостей в нефтегазе?
Дмитрий: На мой взгляд, задача разграничения технологических сетей и корпоративного сегмента — это лишь одна из задач, которые решают службы информационной безопасности во ТЭКе, и не только в нем. Более того, на сегодняшний день мы пришли к тому, что бизнес развивается, и данные, которые возникают в технологическом сегменте, для более оперативного принятия управленческих решений и выполнения операционных задач надо передавать в корпоративный сегмент. И практики строительства их безопасного стыка уже есть. Так что, если коротко, безопасность стыка технологической и корпоративной системы — это одна из многих задач, которые стоят перед службами по ИБ топливно-энергетического комплекса.
Анастасия: Тимофей, а ты как думаешь, безопасность и информационная безопасность в нефтегазе — это только защищенность АСУ ТП?
Тимофей Матреницкий (далее Тимофей): Не только. В этой отрасли большой комплекс задач в сфере ИБ, где АСУ ТП важный, но не единственный элемент.
Дмитрий: Безопасность АСУ ТП так же необходима, как и безопасность корпоративной составляющей, тем более, что через корпоративную составляющую можно повлиять на технологическую.
Но для меня безопасность начинается с человека. Есть статистика, согласно которой 88% инцидентов ИБ происходит по вине персонала, совершающего преднамеренные или не преднамеренные действия.
Насколько бы безопасным с точки зрения технологий мы ни сделали стык между промышленными сетями и корпоративным сегментом, если с ним будет работать необученный сотрудник либо сотрудник, который хочет умышленно нанести вред, стык все равно будет под угрозой. Находясь внутри, злонамеренный человек все для этого сделает. Так что безопасность во ТЭКе, включая нефтегаз, начинается с персонала, работы с ним и с правильно выстроенных процессов.
Тимофей: В России масса компаний с серьезными ИБ отделами и компетенциями. Тем не менее периодически происходят какие-то взломы, DDoS-атаки, другие инциденты, пусть не критические. И их основная причина — внутренний персонал. И тут возникает вопрос: а что в ТЭКе как- то по-другому?
Дмитрий: И во ТЭКе, и в нефтегазе работают такие же люди, как и в других отраслях. И какие-то мелкие инциденты случаются, их довольно быстро выявляют и купируют, а крупные, которые влекут за собой нарушение жизнедеятельности компании или страны в целом, слава Богу, нет.
О том, как это достигается, коллеги, рассказывают на различных площадках. Если говорить о специфике, то она в нефтегазовой отрасли связана с технологическими процессами и с их автоматизацией.
Анастасия: Я знаю, что у вас в отрасли есть профессиональное комьюнити ИБ-специалистов из ТЭКа и из Нефтегаза. Расскажи, пожалуйста, о нем, это очень интересно, потому что не во всех отраслях, к сожалению, такие экспертные сообщества есть.
Дмитрий: Есть клуб «БИП», но он не ограничивается рамками только нефтегазовой отрасли. Он объединяет руководителей по ИБ компаний реального сектора российской экономики — производственных компаний. На этой площадке проводятся встречи. На них коллеги делятся своим опытом, видением актуальных вопросов в сфере информационной безопасности. Его участники общаются в неформальной обстановке, здесь часто звучат призывы к сотрудничеству, к взаимодействию друг с другом и с коллегами по рынку. Но это только одна из площадок. Есть и другие. И все они, как правило, некоммерческие.
Анастасия: Хочу уточнить, это неформальный клуб или больше похоже на профессиональную ассоциацию, пусть не зарегистрированную, в которой обсуждаются какие-то инициативы, технологические и регуляторные?
Д.Ли: В клубе больше внимания уделяется неформальному общению и обмену опытом. А вот подгруппа «Энерджинет» по кибербезопасности ставит перед собой задачу выработки решений по информационной и кибербезопасности в энергетике, то есть ее деятельность направлена, в том числе на совершенствование регулирования этой сферы.
Энерджинет — одно из направлений Национальной технологической инициативы (НТИ), отвечающее за формирование долгосрочной программы развития технологий, стандартов и сообществ в сфере построения электроэнергетики нового технологического уклада.
Анастасия: Подведу промежуточный итог, мы обсудили, насколько остро стоит вопрос информационной безопасности в нефтегазовой отрасли, какие специфические угрозы тут существуют, на каких площадках они обсуждаются. А теперь предлагаю переходить к следующему блоку.
ваша подписка
оформлена. Назад
к нам. В ближайшее время
мы с вами свяжемся. Назад
Мы будем оповещать вас
о встречах дискуссионного клуба. Назад
на дегустационную
консультацию