От мнимой защищенности к реальной
Не так давно принят закон 187-ФЗ «Об обеспечении безопасности критической информационной инфраструктуры». Его очень давно ждали, ведь он касается такой серьезной и крайне актуальной темы, как организация защиты систем MES/АСУ ТП, а также технологических сетей. Этой проблематикой долгое время всерьез не занимались, хотя проблем там накопилось немало, и многие из них из разряда застарелых.
Параллельные вселенные
Очень долгое время ИТ и АСУ ТП были своего рода параллельными вселенными. Но уже очень долго при создании систем промышленной автоматики используются стандартные массовые компоненты. Например, АРМ диспетчерской системы, или SCADA, представляет собой, по большому счету, обычный персональный компьютер с соответствующим ПО. Но при этом промышленная автоматизация – область весьма консервативная. В итоге те же АРМ SCADA систем работают под управлением в лучшем случае Windows XP, если не Windows 2000 или даже ДОС. Не надо напоминать, что они давно сняты с поддержки, и у них не закрыты очень многие бреши в безопасности.
При этом установка постороннего ПО, в том числе защитного, на комплексы АСУ ТП не допускается. И в этом, надо сказать, есть свои резоны. Во-первых, нужно предусмотреть технологические окна для обновления баз, что далеко не всегда возможно. Во-вторых, любое постороннее ПО занимает процессорное время, что делает реакцию системы потенциально непредсказуемой. Учитывая, что счет часто идет даже не на секунды, а на доли секунд, то такой риск также неприемлем. Тем более, что вопросы организации АРМ настолько регламентированы, что считается недопустимым даже использование клавиатур и мышей не из рекомендованного списка. Ведь любое взаимодействие компонент требует тщательного тестирования, где нужно предусмотреть любую мелочь.
Долгое время с потенциальными уязвимостями мирились, поскольку комплексы MES/АСУ ТП не были подключены к публичному Интернету. Но по мере внедрения систем автоматизации бизнес-процессов возникала необходимость интеграции ERP и низкоуровневых систем, что без интерфейсов для связи между ними, естественно, сделать невозможно. И даже если такая связь организована сеансами в течение нескольких минут, этого оказывалось достаточно для успешной атаки или заражения вредоносным ПО. Первым серьезным инцидентом стало заражение червем Slammer одной из американских АЭС, который чрезвычайно быстро распространялся и перегружал сети, куда проникал. Были проблемы и с системами управления на некоторых российских железных дорогах из-за того, что те же сетевые черви забивали сетевой трафик.
В некоторых отраслях, например, энергетике и коммунальном хозяйстве, технологические системы просто связаны с интернет-порталами самообслуживания. А их будут пытаться взламывать обязательно, поскольку речь идет о живых деньгах. Такие попытки происходят постоянно. Наиболее активны румынские злоумышленники, но такого рода инциденты отмечаются по всему миру, в том числе и в России. И случаи того, когда злоумышленники вместо транзакционного модуля попадали в технологическую систему были далеко не единичны. Причем иногда последствия были довольно серьезными. Так, несколько лет назад на одном из водоканалов США было нарушено функционирование системы обеззараживания стоков. Оказалось, что в управляющий комплекс, построенный на базе рабочей станции IBM 80-х годов выпуска, проникли злоумышленники, которые изменили текстовый конфигурационный файл, в котором и хранились параметры работы комплекса обеззараживания стоков.
Далеко не редкость и то, что технологические сети, деликатно выражаясь, используются не по назначению. Так, многие аудиты безопасности, в том числе и в российских компаниях, выявляют тот факт, что персонал применяет данную инфраструктуру для компьютерных игр.
Серьезной проблемой для наших условий также является падение уровня квалификации персонала. В итоге растет количество ошибок, в том числе и таких, которые чреваты весьма тяжелыми последствиями. При этом нельзя исключать и того, что работника могут вынудить совершить те или иные действия, например, запуск программного зловреда или посещение зараженного Web-сайта, с помощью манипулятивных технологий или шантажа.
Когда инфраструктура торчит наружу
Также в последнее время изоляция технологических сетей от публичного Интернета становится мнимой. Так, работники подключают АРМ с помощью мобильных модемов. Другой распространенной ситуацией является организация канала удаленного управления, с помощью которого технический персонал может управлять системами АСУ ТП со своих личных ПК. Причем делается это, как правило, очень неаккуратно. Итог вполне очевиден: достаточно лишь нескольких часов, чтобы о данном факте стало известно всем желающим. Согласно отчету «Безопасность АСУ ТП: Итоги 2016 года», опубликованному компанией Positive Technologies, более 162 тысяч компонентов АСУ ТП подключены к публичному Интернету. Учитывая, что ПО, используемое при создании комплексов АСУ ТП имеет уязвимости, из которых 60% относится к критичной или высокой степени, часто используются простые пароли, которые легко подобрать, то взлом такой системы является тривиальной задачей даже для не очень квалифицированного злоумышленника. При этом в данном качестве могут выступать бывшие сотрудники, например, чтобы отомстить за свое увольнение.
Естественно, комплексы АСУ ТП являются желанной мишенью для кибернападения в ходе межгосударственных и межкорпоративных конфликтов. Прецеденты уже есть. Первым стал Stuxnet, который был направлен против иранской ядерной программы. Это была целая спецоперация, где вредоносное ПО, к слову, сложное и направленное против совершенно определенного комплекса, было лишь одним из элементов. Stuxnet заразил множество SCADA систем по всему миру, но нигде, кроме Ирана, вреда не нанес. Более серьезным прецедентом стала атака сирийских кибернаемников на нефтяные компании Катара и Саудовской Аравии с помощью вредоноса Shamoon. Он был написан, что называется, «на коленке», но свою задачу выполнил, парализовав на несколько дней добычу нефти. Но чаще всего под ударом хакеров оказываются энергетики. Так, по некоторым данным, вторжения в технологические системы является причиной до двух третей энергоаварий в США. Были также предприняты масштабные атаки на энергосистемы Израиля и Украины.
Также атака на АСУ ТП, которая управляет критически важным или потенциально опасным объектом представляет интерес для хактивистов (политически мотивированных хакеров), террористических группировок или просто криминала. Как уже было сказано выше, такая кибератака не потребует от исполнителя высокой квалификации, но ее последствия будут сравнимы с крупным терактом, артиллерийским или ракетным обстрелом. Но при этом при существенно более низких затратах всех возможных ресурсов. Так что многие группировки, в частности, запрещенные в России сети Аль-Каида и ИГИЛ активно работают над созданием группировок хакеров.
АСУ ТП под надзором. Теперь и у нас
Естественно, что разные государства и отраслевые сообщества не остаются в стороне. Существуют нормативы, в том числе законы, а также всяческого рода стандарты и регламенты, которым необходимо следовать. И наша страна не является исключением. Закон 187-ФЗ, о котором уже говорилось выше, лишнее тому подтверждение. Впрочем, очень многие предприятия не стали ждать его принятия и начали предпринимать меры сами. Раньше других за дело взялись транспортники и энергетики, где ситуация с угрозами была наиболее напряженной.
Под действие 187-ФЗ подпадают информационные системы госорганов и госучреждений, а также предприятия целого ряда отраслей, включая ВПК, химическую, металлургическую, горнодобывающую, ракетно-космическую промышленность, энергетику, банки и финансы, транспорт, связь. В законе прописаны меры, регламентирующие защиту от инцидентов и меры, которые необходимо принимать в том случае, если атака все же случилось. Также предусмотрена ответственность за неисполнение требований 187-ФЗ и подзаконных актов к нему, вплоть до уголовной, причем весьма серьезной, до 8 лет лишения свободы, если инцидент привел к тяжким последствиям. Впрочем, этот закон начинает действовать в полной мере еще не очень скоро, учитывая, что подготовлена далеко не вся нормативная база, но начало положено. И надо быть готовым к тому, что эти меры придется соблюдать.
Опубликовано 24.08.2017