Pharma Cyber Security: как бороться с угрозами вредоносного ПО
Ожидается, что к 2021 году мировой фармацевтический рынок вырастет почти до 1,2 миллиарда долларов, отчасти благодаря быстрому прогрессу в области цифровой автоматизации и инноваций. К сожалению, эти стратегии роста также открывают фармацевтическим производителям новые риски.
Например, закупки и аутсорсинг создают сложные многосторонние цепочки поставок с несогласованными уровнями безопасности IoT/OT. Увеличение финансирования в научно-исследовательские и опытно-конструкторские работы приводит к необходимости более усиленной защиты интеллектуальной собственности. Кроме того, конвергенция сетей IT и OT означает, что атака в одной области может легко распространиться на другую.
Итак, где же самые большие пробелы в безопасности? В постоянно растущих угрозах возникающих при увеличении связи между фармацевтическими компаниями IT, IoT, OT и киберфизическими системами.
Как кибератаки влияют на фармацевтическую промышленность
Согласно отчету об угрозах компании Proofpoint, фармацевтика заняла первое место среди отраслей целевых мошеннических атак по электронной почте. Почему это так важно? Потому что атака может начаться с проникновения в ИТ-сеть посредством фишинг-кампании по электронной почте, но в конечном итоге она может перейти в сеть OT через системы, доступные для обеих сред. В противном случае вредоносное ПО может привести к непредсказуемому и опасному нарушению процессов фармацевтического производства.
Давайте рассмотрим некоторые угрозы фармацевтической промышленности за последние несколько лет:
- NotPetya: В 2017 году программа-вымогатель NotPetya быстро распространилась по всему миру, затронув более 600 сайтов в 130 странах. Глобальные затраты оцениваются в 1,2 миллиарда долларов, при этом одна транснациональная фармацевтическая компания потеряла более 300 миллионов долларов за квартал.
- Winnti: Два крупных фармацевтических игрока подтвердили, что на них повлияла кибератака Winnti, которая, как считается, поддерживается правительством Китая. К счастью, обе компании сообщили об отсутствии потери конфиденциальных данных.
- Безымянный злоумышленник: Биофармацевтическая компания сообщила, что атака в мае 2019 года похитила данные примерно у 1% ее клиентов. Финансовое воздействие пока не известно.
Каждая из этих атак приводила к прямым и косвенным финансовым потерям, начиная с кражи интеллектуальной собственности, заканчивая срывом производства и дефицитом цепочки поставок. В некоторых случаях они также компрометировали данные клинических исследований и приводили к судебным искам, связанным с кражей конфиденциальной информации. Этот список можно продолжать и продолжать.
Вот что мы в настоящее время знаем о профиле кибер-рисков в фармацевтической отрасли:
- Высокая подверженность воздействию из-за расширенной поверхности угрозы и отсутствия встроенной защиты устройств
- Отрасль интересна взломщикам благодаря очень ценным данным в области интеллектуальной собственности
- Отставание от других отраслей в применении лучших практик кибербезопасности (традиционно применяя подход реагирования на инциденты, а не упреждающий подход безопасности в масштабах предприятия)
Обеспечение фармацевтической кибербезопасности от угроз IT/ IoT/OT
К счастью, существуют способы упреждающего обнаружения и защиты от вредоносных атак. Важная часть нейтрализации угроз до того, как они смогут перейти от ИТ к ОТ и наоборот, включает в себя раннее предупреждение.
В своей работе мы используем решение обнаруживающее аномалий на основе поведенческих паттернов и несколько типов сигнатур и правил для обнаружения вредоносных программ на каждом этапе. Решение предупреждает операторов о ранней стадии заражения и разведывательных действиях, а также предоставляет информацию, необходимую для действий до того, как произойдет окончательная атака.
- Для атак на ранней стадии обнаружение аномалий выявляет нерегулярную активность, такую как вредоносное ПО, которое передается на внешний сервер управления и контроля (C&C) через его соединение с новым публичным IP-адресом. Он обнаруживает конкретные файлы, данные и события в сетевом трафике, связанные с присутствием вредоносного ПО.
- В режиме разведки malware готовится к атаке, запуская процесс обучения. На этом этапе обнаружение аномалий система определяет новые команды в сети хоста и генерирует оповещения, содержащие источники команд. Даже если вредоносная программа использует обычные производственные протоколы для связи, ее сообщения будут отличаться от базового поведения системы, что позволит выявить их.
- Если происходит атака, она быстро идентифицируется и отправляется предупреждение. Это позволяет персоналу внедрять новые правила брандмауэра или предпринять другие действия, чтобы остановить дальнейшие команды атаки и ограничить вред.
Поскольку решение полностью интегрировано с ИТ-инструментами, такими как SIEM и системы тикетов, угрозы OT могут быть обработаны с помощью инструментов и рабочих процессов, уже знакомых ИТ-специалистам и специалистам по OT.
Фармацевтические компании быстро осваивают инструменты и технологии для повышения операционной эффективности. Однако автоматизация и аутсорсинг увеличивают риск и расширяют область угроз. Это затрудняет быстрое устранение оперативных сбоев и предотвращение киберугроз.
Ответ заключается в видимости OT/IoT и обнаружении угроз. Без этого трудно оставаться в курсе того, что происходит в сети. Одно небольшое изменение или сетевая проблема могут повлиять на качество продукции, время безотказной работы производства, безопасность завода и доход.
