Захист інформації в критичних інфраструктурах

Останнім часом питання захисту об'єктів критично важливої ​​інфраструктури, таких як електростанції, об'єкти житлово-комунального господарства, промисловості і транспорту, більше перебуває в фізичній площині. Ризики зрозумілі, як захищатися - начебто теж. Втім, убезпечившись, на перший погляд, від загрози прямого нападу і захоплення, не варто розслаблятися. На жаль, в століття цифрових технологій значної шкоди можна завдати віддалено. Яскравий приклад тому - виведення з ладу об'єктів іранської ядерної програми в 2010 році після проникнення в мережі комп'ютерного хробака Stuxnet. Відомо, що черв'як перехоплював і модифікував інформаційні потоки між програмованими логічними контролерами марки Simatic S7 і робочими станціями SCADA-системи Simatic WinCC фірми Siemens, що працюють під управлінням ОС Windows.


Stuxnet став першою в історії розробкою, що фізично руйнує критично важливі об'єкти (КВО). Зокрема, його дія виявлялося в підміні параметрів обертання центрифуг і виведення їх з-під контролю операторів. Для поширення Stuxnet використовував як існуючі, так і нові (zero-day) уразливості операційних систем, а також передові технології маскування від антивірусних програм.


За даними компанії Symantec, в підсумку Stuxnet поширився на значну частину комп'ютерів в Ірані, Індонезії, Індії, Азербайджані, США та інших країнах. Абстрагуючись від домислів про можливі розробників і метою впровадження хробака, можна стверджувати одне: Stuxnet і подібні до нього послідовники (Duqu, Flame) можуть бути використані для несанкціонованого збору даних і диверсій в АСУ ТП (автоматизованих системах управління технологічними процесами) промислових підприємств, електростанцій, нафто - і газопроводів, аеропортів і т.п.


Як правило, АСУ ТП складається з систем диспетчерського управління та збору даних (SCADA - supervisory control and data acquisition), розподілених систем управління (DCS - Distributed Control System), а також ряду програмованих логічних контролерів (PLC - Programmable Logic Controller). І якщо зв'язок останніх з різними електронними пристроями забезпечується за допомогою як відкритих, так і пропрієтарних протоколів (Modbus, Profibus, LON bus, EIB / KNX і ін.), То, наприклад, в SCADA-системах вже повсюдно впроваджується протокол IP, а для реалізації людино-машинного інтерфейсу широко використовуються веб-технології (WebSCADA). Все це означає, що для інформаційних систем КВО релевантні ті ж загрози, що і для звичайних ІТ-систем, тільки з набагато більш серйозними наслідками.


Світ добре обізнаний про сучасні загрози для критично важливої ​​інфраструктури. В рамках національного дивізіону кібербезпеки США (NCSD) функціонує спеціальна програма із захисту систем управління, а також команда реагування на кібер-загрози в промислових системах (ICS-CERT - Industrial Control Systems Cyber ​​Emergency Response Team). У наших найближчих сусідів розроблений проект Федерального Закону «Про безпеку критичної інформаційної інфраструктури Російської Федерації». В Україні ж тільки починає формуватися розуміння актуальності подібних загроз. Зроблені і перші кроки: Законом України «Про внесення змін до Закону України« Про Державну службу спеціального зв'язку та захисту інформації України »розширені повноваження Держспецзв'язку щодо забезпечення доступності телекомунікаційних мереж загального користування в особливих умовах. Є надія, що незабаром увагу держави і регулятора буде звернено і на забезпечення захисту інформації в промислових системах і КВО. Очевидними будуть вироблення критеріїв віднесення об'єктів до КВО, вимог щодо регулярного оцінці захищеності ІТ-систем КВО, з підготовки та кваліфікації персоналу. Можливо, є сенс обговорювати і окремі стандарти безпеки для подібних систем.


Джерела потенційних загроз для промислових систем доцільно розділити на три класи: зовнішні, внутрішні і бездротові. Зовнішні безпосередньо пов'язані з цільовими атаками на критичну інфраструктуру. Компанія Trend Micro в 2013 році провела дослідження, розмістивши спеціальну пастку (honeypot) для залучення цільових атак на КВО. Країнами-лідерами за кількістю джерел загроз виявилися Росія, Китай, Палестина і Німеччина. Серед внутрішніх джерел загроз слід зазначити впровадження шкідливого коду за допомогою знімних пристроїв, використання сторонніх додатків, підключення сторонніх ноутбуків і планшетів під час проведення регламентних робіт. Також для обміну інформацією між сегментами АСУ ТП найчастіше використовуються мережі WiFi або 3G, що при відсутності захисних механізмів і відповідних налаштувань може бути серйозною загрозою. Проблемою є і те, що далеко не на всіх терміналах є можливість встановити елементарний антивірус, а на робочих станціях управління повсюдно використовується знімається з підтримки операційна система Windows XP, останнє оновлення безпеки якої вийшло днями.


В якості базових рекомендацій щодо забезпечення безпеки АСУ ТП можна привести такі:

Контроль додатків / з'єднань в / з мережі

Контроль додатків / з'єднань всередині мережі

Контроль того, хто і що може взаємодіяти з системами АСУ ТП

Моніторинг мережі на предмет вірусів / атак і забезпечення можливості швидкого реагування


Досить ефективними засобами, що забезпечують виконання цих завдань, є міжмережеві екрани наступного покоління і пристрої комплексного захисту від загроз (Next-Generation Firewall і UTM). Їх можна використовувати для сегментування мереж, глибокого аналізу трафіку додатків, в т.ч. і спеціалізованих, забезпечення ідентифікації і аутентифікації користувачів, захист від загроз «нульового дня» і т.д. Комплексна система захисту, яка об'єднує такі пристрої, антивірусне програмне забезпечення, яке працює на рівні кінцевих точок, системи управління подіями безпеки, що дозволяє відстежувати і здійснювати кореляцію інцидентів в мережах АСУ ТП, а також відповідні організаційні заходи, може значно знизити ризики виведення з ладу об'єктів критичної інфраструктури внаслідок цільових атак.


Очевидно, що озвучена проблематика є питанням національної безпеки держави, що володіє п'ятьма атомними електростанціями, розгалуженою мережею газо- і нафтопроводів, транспортною системою і масою найважливіших виробництв, тому найближчим часом варто очікувати відповідну нормативну базу, а також реальні заходи, спрямовані на захист КВО.


Віктор Жора, експерт в сфері інформаційної безпеки