До недавнего времени о защите промышленных ИТ-систем мало кто задумывался – они считались практически неуязвимыми из-за физической изолированности. Но ситуация изменилась после атаки Stuxnet на иранские центрифуги для обогащения урана. Сами системы также стали другими – появились технологии индустриального «Интернета вещей» и прочие современные решения: на производстве внедряется множество готовых коммерческих ИТ-продуктов, а человечество гораздо сильнее зависит от сбоев в управляющей технологическими процессами инфраструктуре. Все это привело к появлению угроз, которые еще 10 лет назад нельзя было даже представить.
Модель угроз
Направленные на крупные предприятия целевые атаки перешли из разряда рассказанных на отраслевых конференциях страшилок в практическую плоскость. В 2014 году хакеры взломали сайт разработчика видеоплеера и через зараженное обновление внедрили вредоносный код на компьютер центра управления АЭС в японском городе Мондзю. В итоге конфиденциальная информация была передана на внешний узел. Можно вспомнить и более опасные инциденты. Годом позже была атакована украинская энергосистема, в результате более 80 тыс. потребителей остались без электропитания. Пострадали не только частные абоненты, но и объекты критической инфраструктуры, включая больницы и различные предприятия. Проблемы из-за кибервойн испытывала также энергосистема Венесуэлы, а в Германии злоумышленникам удалось вывести из строя домну, получив несанкционированный доступ к системам управления (АСУТП) и диспетчеризации (SCADA).
«Особенность обеспечения информационной безопасности промышленных предприятий состоит в наличии специфических проблем Industrial Security, помимо классических “офисных”. В первую очередь это необходимость защиты систем автоматизированного управления производственными процессами. Зачастую такие системы попадают и в значимые объекты КИИ (критической информационной инфраструктуры) в соответствии с 187-ФЗ», — комментирует Михаил Стюгин, руководитель направления «Информационная безопасность» фонда «Сколково».
В процессе цифровизации производства приходится настраивать интеграцию промышленных систем автоматизации с системами управления предприятием. Доступная ранее только для внутреннего пользования инфраструктура приоткрывается – и в нее устремляются хакеры. Векторы угроз можно разделить на две основныекатегории: утечки конфиденциальных данных и сбои в технологических процессах из-за отказов ИТ-систем. Последние обходятся очень дорого, поскольку производственный цикл не всегда корректно восстанавливается после аварийной остановки. Атаки злоумышленников могут привести к порче заготовок, поломкам оборудования, перерывам в оказании сервиса, экологическим катастрофам и даже к гибели людей.
Серьезность ситуации усугубляется длительным жизненным циклом промышленных решений: к примеру, в некоторых АСУТП и SCADA до сих пор используются неподдерживаемые ОС Windows 98/XP/NT и другие уязвимые продукты. Благодаря этому злоумышленники могут перехватывать управление незащищенными контроллерами и другим оборудованием в сети или, скажем, заниматься промышленным шпионажем. В последнее время многократно увеличилось количество атак, нацеленных на загрузку пользователями вредоносного ПО. Night Dragon, Duqu, Shamoon, Flame, Gauss — таков далеко не полный список последователей печально знаменитого Stuxnet.
«Наиболее популярное до сих пор решение проблемы — полное изолирование контура критических сетей и сетей, имеющих доступ в Интернет. Особенность изменения ландшафта угроз связана с тем, что предприятия стали открывать “наружу” какие-то сервисы, которые раньше были только для внутреннего использования. Также наблюдается смещение по некоторым типичным атакам, например многократное увеличение объема фишинговых писем», — продолжает Михаил Стюгин.
Состояние обороны
Корпоративные специалисты по информационной безопасности больше сосредоточены на защите связанной с управлением «офисной» ИТ-инфраструктуры и плохо представляют себе специфические проблемы промышленной автоматизации. Как правило, они мало знакомы с архитектурой и особенностями эксплуатации подобных решений, а инженеры АСУТП и SCADA далеки от сферы ИБ — в условиях постоянно увеличивающегося количества угроз это создает серьезные риски. В зависимости от потенциальных последствий технических сбоев и успешных атак промышленные ИТ-системы могут попасть в перечень значимых объектов критической информационной инфраструктуры, то есть добавляются еще и требования регуляторов. Все это происходит на фоне удручающего состояния систем обеспечения информационной безопасности на производстве.
На многих предприятиях процедуры управления инцидентами безопасности отсутствуют, а также не внедрены системы обнаружения и предотвращения внешних вторжений. Не проводятся аудит состояния информационной безопасности и анализ защищенности комплексов АСУТП и SCADA, нет ответственных за безопасность сотрудников, не хватает квалифицированных специалистов по эксплуатации — многие проблемы возникают из-за случайных ошибок операторов, а не по причине злонамеренных действий хакеров. Базовые требования безопасности в промышленных системах зачастую не выполняются: в большинстве их компонентов не настроена аутентификация (в лучшем случае используются пароли по умолчанию), а занимающиеся эксплуатацией специалисты из-за боязни сбоев не устанавливают критические обновления ПО.
Физическая изоляция по-прежнему остается основным методом защиты технологических сетей передачи данных, АСУТП и SCADA, однако несовершенство подобного подхода становится все более очевидным. Постоянно ускоряющаяся цифровизация производства требует обмена данными между технологическими и офисными сегментами ИТ-инфраструктуры, а значит, игнорировать проблему уже невозможно. Процесс перестройки, что называется, пошел. Разработчики решений в сфере промтехавтоматизации уделяют больше внимания защите от несанкционированного доступа, используя надежные протоколы и методы шифрования. Начался постепенный отказ от устаревших неподдерживаемых ИТ-решений, а самое главное — темой заинтересовались работающие в сфере информационной безопасности вендоры и крупные системные интеграторы.
Рекомендации
Сейчас на рынке доступно множество специализированных продуктов и услуг для защиты систем автоматизации и диспетчеризации в промышленности. Надежно закрыть от злоумышленников производственную часть ИТ-инфраструктуры при желании можно, если руководство предприятия готово понести определенные затраты. Создание комплексной системы безопасности традиционно начинается с аудита. Необходимо идентифицировать и классифицировать имеющиеся активы, проанализировать историю инцидентов, провести тесты на проникновение и в конечном итоге оценить риски. После сбора и анализа исходных данных можно будет определить модель угроз и перейти к выбору адекватных средств защиты от них.
Собственных ресурсов предприятий обычно недостаточно для реализации сложных проектов в сфере информационной безопасности на производстве. Даже индустриальным гигантам с развитыми ИТ-департаментами задача может оказаться не по зубам, а у игроков помельче просто нет необходимых компетенций. Лучше всего привлечь работающего в этой сфере системного интегратора, способного обеспечить должный уровень услуг в соответствии с лучшими отраслевыми практиками — от проведения аудита до внедрения и сопровождения технических средств. Также имеет смысл отбирать команды и продукты из участников акселераторов стартапов для промышленности, такие программы проводят, в частности, фонд «Сколково» и ряд крупных системных интеграторов. В этом случае заказчик – промышленное предприятие – может получить сервис или продукт, оптимизированный под конкретные задачи или отрасль, при этом стоимость внедрения и владения может быть ниже, чем у глобальных вендоров систем ИБ.
Важно понимать, что построение системы безопасности — не разовый проект, а непрерывный процесс, который не может быть завершен.
Жамиля Каменева
Директор по развитию Инновационного центра Ай-Теко