Во многих случаях защита промышленных систем от киберугроз имеет критическое значение с экологической, социальной и макроэкономической точек зрения.
Немного цифр: 67% офицеров безопасности определяют уровень угроз для АСУ ТП как критический или высокий — таким образом, по сравнению с предыдущим годом этот показатель увеличился на 43%1SANS 2016 State of ICS Security Survey («Исследование
о состоянии безопасности АСУ ТП») .
В среднем каждый пятый компьютер на промышленном предприятии в России во второй половине 2016 года ежемесячно подвергался кибератакам. При этом общее число атакованных машин с июля по декабрь постоянно увеличивалось. Всего же за этот период с вредоносным ПО в России столкнулось 42% компьютеров, так или иначе относящихся к технологической сети предприятий2 Данные по результатам
работы ICS CERT «Лаборатории Касперского» — центра реагирования
на компьютерные инциденты на индустриальных и критически важных объектах.
Таким образом, сегодня на передний план выходит риск кибератак. Особенно велика их опасность для организаций, эксплуатирующих промышленные системы или объекты критически важной инфраструктуры.
Автоматизированные системы управления технологическими процессами (АСУ ТП) — собирательный термин, описывающий автоматизированные системы, которые контролируют производственный процесс. Термин «АСУ ТП» относится к широкому спектру компьютеров, специфических устройств управления и сетевых архитектур, используемых для контроля промышленных процессов в самых разных отраслях промышленности. АСУ ТП обычно включает SCADA (Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных), РСУ (распределенные системы управления) и ПЛК (программируемые логические контроллеры).
Особенно велика опасность кебератак для организаций, эксплуатирующих промышленные системы или объекты критически важной инфраструктуры.
Проблемы информационной безопасности сетей промышленных предприятий обусловлены спецификой их развития. На протяжении нескольких десятилетий эволюция систем автоматизации промышленных предприятий шла параллельным курсом с эволюцией ИT-систем. Необходимость обеспечения непрерывности поддерживаемых процессов привела к тому, что технологии, применяемые на нижних уровнях, были направлены на решение задач, не свойственных для ИT. Они не могли меняться так же быстро, как в ИT. С течением времени для эффективного управления этими процессами предприятия внедряли построенные на современных ИT-технологиях информационные системы верхнего уровня. Для интеграции этих систем стали появляться не предусмотренные на ранних этапах каналы информационного воздействия на нижние уровни вычислительной сети АСУ ТП, которые несут значительные риски сбоя процессов и нарушения функционирования оборудования на этих уровнях. В течение последних лет мы наблюдаем, как практически во всех индустриях весьма развитые цифровые технологии стали повсеместно внедряться и на нижнем (полевом) уровне как закономерный этап решения тех же самых задач повышения эффективности управления производственными процессами.
На сегодняшний день, несмотря на трудность частого обновления, замены оборудования и ПО, на очень многих предприятиях и средний, и нижний уровень иерархии систем промышленной автоматизации задействуют вполне современные технологии информационного обмена и управления процессами.
Так, оборудование включает:
- стационарные и мобильные компьютеры операторов и инженеров АСУ ТП;
- серверы, в том числе серверы виртуализации, на которых установлено ПО мониторинга и управления технологическим процессом;
- промышленные сетевые маршрутизаторы;
- шлюзы данных;
- контроллеры;
- полевые промышленные устройства различной степени «интеллектуальности» с цифровым (характерно для более современных устройств) либо аналоговым интерфейсом коммуникации.
Как следствие, существенно усугубляются проблемы информационной безопасности в отношении сетей промышленных предприятий:
1. Растущая сложность оборудования и ПО ведет к высокой вероятности ошибок и уязвимостей, которые могут быть использованы злоумышленниками.
2. Вопросы технологической совместимости, высокой доступности и непрерывности производства требуют пересмотра мер безопасности, применяемых в отношении аналогичных решений в чистом информационном окружении. Часто это ведет к значительному снижению уровня защищенности.
3. Меры обеспечения функциональной безопасности, реализованные для систем управления технологическими процессами, как правило, не рассчитаны на намеренное нарушение удаленным нарушителем или злоупотребление внутренним пользователем возможностями доступа. Это может привести к пагубным последствиям для процесса, оборудования или даже жизни и здоровья людей и безопасности окружающей среды.
4. Изоляция технологической сети от любых внешних систем, считавшаяся незыблемым требованием еще 10–15 лет назад, больше не может рассматриваться как адекватная защитная мера. Она стала невыгодной экономически и крайне трудно реализуемой на практике.
Особенности современных технологических сетей
В настоящее время сопряжение технологической сети с корпоративной необходимо как для управления производством, так и для администрирования промышленных сетей и систем. Хотя соединение между корпоративной и технологической сетями становится необходимостью, иногда оно реализовано без учета многих рисков ИБ.
Организация безопасного доступа между корпоративной и технологической сетями обычно сводится к одному из следующих решений:
- ограничение доступа по IP на межсетевом экране между технологической и корпоративной сетью («нечестный» DMZ);
- использование VPN- туннелей между компьютерами в технологической и корпоративной сетях;
- использование терминальных (jump) серверов с локальной или доменной авторизацией;
- использование авторизации в корпоративном домене (на сервере Active Directory) для определения уровня доступа пользователя к объектам в технологической сети.
Как показывает практика, на сегодняшний день ни одно из этих решений по отдельности не может обеспечить необходимый уровень защиты. Оптимальный уровень защиты технологической сети должен позволить не только защитить сеть от внешних угроз, но и безопасно выполнять удаленное управление промышленных систем. Такой уровень может быть обеспечен лишь комбинацией из нескольких решений.
О реальном количестве атак, происходящих в настоящее время, мы узнаем только спустя 4–5 лет.
Доступ к внешним системам и сетям
Доступ к Интернету из технологической сети может быть не только результатом слабых ограничений, но и вынужденной необходимостью. Физически отдельные части АСУ ТП могут располагаться на территориях, не обжитых людьми. Их обслуживание производится удаленно, через мобильные интернет-каналы. Ремонтная бригада выезжает туда только во время плановых осмотров или в случае возникновения аварийной ситуации.
Сопровождение и техническая поддержка систем промышленной автоматизации часто выполняют сотрудники организаций-подрядчиков. Работы обычно проводятся с использованием удаленного доступа из сети подрядчика в промышленную сеть заказчика. В зависимости от конкретных обстоятельств сотрудник организации-подрядчика, находясь вне офиса, может подключаться к технологической сети заказчика (напрямую или через свою корпоративную сеть), используя любое доступное подключение.
Подключающийся извне технологической сети пользователь (подрядчик, разработчик, администратор) часто имеет высокие права доступа на уровне локальной системы или на уровне всей сети. Если разделение на уровни организовано в виде плоской сети или нескольких виртуальных подсетей (VLAN) с общим ядром сети и без достаточных разграничений доступа, такой пользователь может случайно или намеренно заразить компьютеры в технологической сети.
На практике иерархическая структура технологической сети организована в виде нескольких VLAN, доступ между которыми не всегда ограничен производственной необходимостью.
От теории к практике: с чем сталкиваются реальные предприятия?
Актуальность проблемы подтверждают известные инциденты и статистика кибератак на промышленные инфраструктуры. Например, 2 января 2014 года системный администратор японской АЭС Monju обнаружил многократные удаленные подключения к одному из 8 компьютеров в центре управления реактором. Причиной этого инцидента стала установка одним из сотрудников обновления бесплатного видеоплеера GOM Media Player. В результате инцидента злоумышленниками была украдена часть информации, в том числе конфиденциальной, хотя последствия исполнения злонамеренного программного кода в центре управления реактором могли бы быть куда более опасными. Очень показательный инцидент произошел в конце 2015 года, когда была зафиксирована кибератака на украинскую энергораспределительную организацию. В результате пострадало более 230 тысяч потребителей, и это не только частные лица, но и промышленные предприятия, которые столкнулись с отключением электроэнергии. В автоматизированной системе управления распределения ресурсов (АСУ РР) энергокомпании была предусмотрена возможность ручного управления, поэтому удалось через 6 часов восстановить подачу электроэнергии потребителям. На полное восстановление АСУ РР потребовалось 3 месяца.
Подобных реальных инцидентов на производствах становится все больше и больше. Именно поэтому одним из основных направлений деятельности «Лаборатории Касперского» является разработка решений по защите критической инфраструктуры. В дополнение к приведенной выше нашей статистике есть данные ICS-CERT США за 2015 год, согласно которым на американских объектах критической инфраструктуры в США было зафиксировано 295 инцидентов ИБ. При этом зачастую подобные происшествия не только скрываются от широкой общественности операторами производственных и инфраструктурных предприятий, еще больше инцидентов остаются незамеченными долгие годы. Поэтому о реальном количестве атак, происходящих в настоящее время, мы узнаем только спустя 4–5 лет.
Можно выделить три основных группы рисков для промышленных предприятий. Первая и наиболее распространенная — случайные заражения вредоносным ПО в результате отсутствия должной защиты конечных узлов, слабых регламентов ИБ и использования устаревших версий ПО в системах, которые, как мы видим, имеют связь с внешним миром. Вторая — человеческий фактор. Из-за усталости, загруженности, недовольства или по другой причине специалист может выполнить действие, не совместимое с регламентом управления производственной системой, что может привести к нарушению работы штатных процессов, например, к остановке или поломке оборудования. Третья область — это целевые атаки, направленные на конкретные предприятия. Целей может быть несколько — от чисто прагматических, чтобы завладеть активами компании, до организованных политических акций либо со стороны государств, либо со стороны конкурентов. В таких случаях важны не деньги, а факт потерь. Подобные атаки приносят самый значительный ущерб.
Как противостоять угрозам?
Прежде всего предприятиям необходимо обеспечить комплексный последовательный подход к управлению рисками. Нужно адекватно идентифицировать и закрывать все актуальные источники возникновения угроз. Одним из важнейших механизмов является знание своих систем, сетей, а также понимание участников и коммуникаций, происходящих в промышленной сети. Вот почему мониторинг систем и сетей относится к важнейшим мерам защиты.
Необходимо использовать надежные и комплексные системы защиты от компаний, специализирующихся на разработке по защите промышленных систем. Так, сегодня многие предприятия используют так называемый классический подход, который заключается в построении периметральной защиты. Но современные инциденты в области кибербезопасности промышленных систем, известные случаи таргетированных атак, которые были направлены на промышленные объекты, говорят о том, что изоляция промышленных сетей от внешнего мира не является панацеей. У современных злоумышленников достаточно инструментария, для того чтобы преодолевать тот самый «воздушный зазор» между промышленной и корпоративной сетью и производить вредоносные действия, нацеленные на компрометацию самого технологического процесса. И только специализированными средствами обнаружения вредоносной активности можно обнаруживать подобные атаки. Помимо этого зачастую для предотвращения хакерских атак на индустриальные объекты специалисты службы безопасности используют обычные антивирусы. Это не совсем правильно, поскольку существуют различия между офисными информационными системами и индустриальными. То решение, которое зарекомендовало себя в качестве надежного средства защиты информационных систем, может оказаться неприменимым для работы в промышленной среде.