В последнее время вопрос защиты объектов критически важной инфраструктуры, таких как электростанции, объекты жилищно-коммунального хозяйства, промышленности и транспорта, больше находится в физической плоскости. Риски понятны, как защищаться – вроде бы тоже. Впрочем, обезопасившись, на первый взгляд, от угрозы прямого нападения и захвата, не стоит расслабляться. К сожалению, в век цифровых технологий значительный ущерб можно нанести удаленно. Яркий пример тому – выведение из строя объектов иранской ядерной программы в 2010 году после проникновения в сети компьютерного червя Stuxnet. Известно, что червь перехватывал и модифицировал информационные потоки между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens, работающими под управлением ОС Windows.
Stuxnet стал первой в истории разработкой, физически разрушающей критически важные объекты (КВО). В частности, его действие проявлялось в подмене параметров вращения центрифуг и выведения их из-под контроля операторов. Для распространения Stuxnet использовал как существующие, так и новые (zero-day) уязвимости операционных систем, а также передовые технологии маскировки от антивирусных программ.
По данным компании Symantec, в итоге Stuxnet распространился на значительную часть компьютеров в Иране, Индонезии, Индии, Азербайджане, США и других странах. Абстрагируясь от домыслов о возможных разработчиках и целях внедрения червя, можно утверждать одно: Stuxnet и подобные ему последователи (Duqu, Flame) могут быть использованы для несанкционированного сбора данных и диверсий в АСУ ТП (автоматизированных системах управления технологическими процессами) промышленных предприятий, электростанций, нефте- и газопроводов, аэропортов и т.п.
Как правило, АСУ ТП состоит из систем диспетчерского управления и сбора данных (SCADA - supervisory control and data acquisition), распределенных систем управления (DCS – Distributed Control System), а также ряда программируемых логических контроллеров (PLC - Programmable Logic Controller). И если связь последних с различными электронными устройствами обеспечивается посредством как открытых, так и проприетарных протоколов (Modbus, Profibus, LON bus, EIB/KNX и пр.), то, например, в SCADA-системах уже повсеместно внедряется протокол IP, а для реализации человеко-машинного интерфейса широко используются веб-технологии (WebSCADA). Все это означает, что для информационных систем КВО релевантны те же угрозы, что и для обычных ИТ-систем, только с гораздо более серьезными последствиями.
Мир хорошо осведомлен о современных угрозах для критически важной инфраструктуры. В рамках национального дивизиона кибербезопасности США (NCSD) функционирует специальная программа по защите систем управления, а также команда реагирования на кибер-угрозы в промышленных системах (ICS-CERT - Industrial Control Systems Cyber Emergency Response Team). У наших ближайших соседей разработан проект Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации». В Украине же только начинает формироваться понимание актуальности подобных угроз. Сделаны и первые шаги: Законом Украины «Про внесення змін до Закону України «Про Державну службу спеціального зв'язку та захисту інформації України» расширены полномочия Госспецсвязи по обеспечению доступности телекоммуникационных сетей общего пользования в особых условиях. Есть надежда, что в скором времени внимание государства и регулятора будет обращено и на обеспечение защиты информации в промышленных системах и КВО. Очевидными будут выработка критериев отнесения объектов к КВО, требований по регулярной оценке защищенности ИТ-систем КВО, по подготовке и квалификации персонала. Возможно, есть смысл обсуждать и отдельные стандарты безопасности для подобных систем.
Источники потенциальных угроз для промышленных систем целесообразно разделить на три класса: внешние, внутренние и беспроводные. Внешние напрямую связаны с целевыми атаками на критическую инфраструктуру. Компания Trend Micro в 2013 году провела исследование, разместив специальную ловушку (honeypot) для привлечения целевых атак на КВО. Странами-лидерами по количеству источников угроз оказались Россия, Китай, Палестина и Германия. В качестве внутренних источников угроз следует отметить внедрение вредоносного кода посредством съемных устройств, использования сторонних приложений, подключение сторонних ноутбуков и планшетов во время проведения регламентных работ. Также для обмена информацией между сегментами АСУ ТП зачастую используются сети WiFi или 3G, что при отсутствии защитных механизмов и соответствующих настроек может быть серьезной угрозой. Проблемой является и то, что далеко не на всех терминалах есть возможность установить элементарный антивирус, а на рабочих станциях управления повсеместно используется снимаемая с поддержки операционная система Windows XP, последнее обновление безопасности которой вышло на днях.
В качестве базовых рекомендаций по обеспечению безопасности АСУ ТП можно привести такие:
- Контроль приложений/соединений в/из сети
- Контроль приложений/соединений внутри сети
- Контроль того, кто и что может взаимодействовать с системами АСУ ТП
- Мониторинг сети на предмет вирусов/атак и обеспечение возможности быстрого реагирования
Достаточно эффективными средствами, обеспечивающими выполнение этих задач, являются межсетевые экраны следующего поколения и устройства комплексной защиты от угроз (Next-Generation Firewall и UTM). Их можно использовать для сегментирования сетей, глубокого анализа трафика приложений, в т.ч. и специализированных, обеспечения идентификации и аутентификации пользователей, защиту от угроз «нулевого дня» и т.д. Комплексная система защиты, объединяющая такие устройства, антивирусное программное обеспечение, работающее на уровне конечных точек, системы управления событиями безопасности, позволяющее отслеживать и осуществлять корреляцию инцидентов в сетях АСУ ТП, а также соответствующие организационные мероприятия, может значительно снизить риски выведения из строя объектов критической инфраструктуры вследствие целевых атак.
Очевидно, что озвученная проблематика является вопросом национальной безопасности государства, обладающего пятью атомными электростанциями, разветвленной сетью газо- и нефтепроводов, транспортной системой и массой важнейших производств, поэтому в ближайшее время стоит ожидать соответствующую нормативную базу, а также реальные мероприятия, направленные на защиту КВО.