Intelligent Enterprise. Что представляют собой управляющие комплексы, которые применяются на российских предприятиях ЖКХ, энергетики, в транспортном комплексе?
Олег Матыков: Ситуация в разных отраслях, а часто и на предприятиях одной отрасли, отличается. И иногда довольно существенно. Но, тем не менее, все управление к настоящему моменту компьютеризировано. Например, системы управления ЖКХ интегрированы с порталами самообслуживания. Исключительно редки случаи, когда, скажем, на сайте энергосбытовой компании нет личного кабинета, где можно указать показания счетчика и оплатить потребленную электроэнергию.
В других странах нечто похожее работает и в других отраслях городского хозяйства. Хотя такая взаимосвязь между личными кабинетами на публичных интернет-площадках и технологическими системами несет в себе определенные риски. Например, не так давно в США на одном из водоканалов произошла серьезная авария вследствие того, что хакеры, которые взломали его сайт с целью кражи денег, вместо транзакционной системы проникли в диспетчерскую систему и нарушили процесс обеззараживания канализационных стоков. Этим модулем управлял комплекс, ИТ-составляющие которого хранили параметры работы системы в текстовых конфигурационных файлах, которые никак не защищены. Злоумышленники его изменили, это и повлекло за собой такие последствия. Поэтому, как это ни странно звучит, но то, что наше ЖКХ оснащено в части ИТ хуже ─ скорее, благо с точки зрения безопасности. Хотя наиболее передовые предприятия, используют все современные технологии управления.
На конференции PHDays 2016 московский десятиклассник смог обойти защиту промышленных протоколов и спровоцировать короткое замыкание на магистральной подстанции высокого напряжения. Причем изыскивая способы обойти защиту от аварийных ситуаций, школьник скачал в интернете специально инженерное ПО, с его помощью проэксплуатировал уязвимости промышленных протоколов реального SCADA-оборудования и вызвал короткое замыкание электрической подстанции. Число таких систем конечно, а то, что они обладают уязвимостями тоже не секрет (а уж для хакерского сообщества и подавно).
Этот пример показателен еще тем, как важно изолировать управляющие системы от такой агрессивной среды, как интернет, включая и web-сайт компании, через который осуществляется взаимодействие с потребителями. Серьезной проблемой является и то, что специалисты, которые обслуживают такие системы, например, могут использовать модемы для доступа в интернет с рабочих мест, подключают внешние носители данных, которые, используясь вовне, вполне могут стать «переносчиками» зловредов. Поэтому, как бы мы ни говорили об изолированности управляющих систем, она зачастую оказывается мнимой.
Что касается транспорта, как показывает опыт, обычно аварии на железных дорогах происходят от того, что автоматику отключают и в ход идет ручное управление. Именно из-за этого произошла катастрофа в Германии, когда из-за ошибки диспетчера столкнулись два поезда. Здесь есть и поле деятельности для потенциальных злоумышленников, для которых не является неразрешимой задачей, например, смена прошивки программируемого контроллера, который управляет работой исполнительных устройств. Так что необходимость контроля систем такого уровня актуальна как никогда.
У нас, к слову, уже есть успешный опыт сотрудничества с компанией Бомбардье, которая в рамках повышения уровня защищенности своих микропроцессорных систем управления движением поездов (МПЦ EBILock 950), поручила нам аудит системы и оценку ее защищенности. В ходе работ мы выдали коллегам из Бомбардье ряд рекомендаций, которые были успешно выполнены и благодаря чему была повышена защита МПЦ EBILock 950 от современных киберугроз.
Часто приходится слышать, что системы управления практически не защищены. Так ли это?
Отрасль АСУ ТП весьма консервативна. Нередко АРМ работают под управлением устаревших операционных систем. Например, используется Windows 2000, которая вышла более 15 лет назад. Как вы понимаете, об обновлении такой ОС с точки зрения ИБ говорить не приходится: рабочие места инфицируются вредоносами с завидной регулярностью. В том числе в таких отраслях, как, например, атомная энергетика. Одновременно с этим компьютеры в технологической сети часто не защищены даже обычным антивирусом. Это происходит из-за существующих опасений (впрочем, часто небезосновательных), что защитное ПО будет создавать разного рода сложности для функционирования таких систем. Плюс необходимо предусматривать технологические окна для обновления того же антивируса. Так что все эти нюансы необходимо предусмотреть еще на стадии планирования проекта. Ведь сам процесс взаимодействия антивирусного ПО и SCADA-системы требует довольно тщательного тестирования. И вообще, при проектировании АРМ SCADA необходимо тестировать любую мелочь, вплоть до того, как на АРМ работают разные модели устройств ввода. Существуют списки совместимости SCADA-систем с конкретными моделями клавиатур и мышей, отход от которых не допускается. И чем ответственнее решаемые комплексом задачи, тем тщательнее тестирование. Существенно упростить жизнь может пассивный мониторинг. Прелесть систем такого типа в том, что их можно разворачивать без какого бы то ни было ущерба для работоспособности уже существующей технологической системы.
Кто в большей степени опасен: внешние злоумышленники, внутренние нарушители или банальные разгильдяи или просто вовремя не выявленные неадекватные сотрудники?
По моим наблюдениям, технологи в первую очередь озабочены невнимательностью собственных сотрудников, во-вторую — подрядчиков, имеющих доступ к технологической сети. Хакеры, целенаправленно атакующие системы, в этой цепочке занимают только третье место. Почему так? Как минимум потом, что собственные сотрудники и часто подрядчики уже имеют доступ к АСУ ТП. А внутри технологической сети уровень информационной безопасности на сегодняшний день невысок. Действия собственных невнимательных сотрудников и вправду могут быть чреваты существенными последствиями (вплоть до останова систем).
Не менее серьезно стоит задача противодействия фроду (включая и внутренний): мошенники часто пытаются разными способами манипулировать датчиками или автоматизированными системами учета ресурсов (чаще всего в наших реалиях идет речь о топливе, но известны и случаи манипуляции в сфере электро- или водоснабжения). Методы обмана таких систем известны и довольно широко распространены во многих странах.
Возвращаясь к рискам, связанным с работой аутсорсеров (вендоров и подрядчиков), хочется отметить, что, так или иначе, доля оборудования зарубежного производства в технологических сетях пока велика. Поэтому системы удаленного доступа для их администрирования или гарантийного обслуживания организуются практически повсеместно. Какую информацию собирает производитель «заодно», есть ли там интерфейс, позволяющий перехватывать управление ─ остается большой загадкой.
Для того, чтобы повысить уровень безопасности технологических систем в таких условиях, необходимо ввести строгое разграничение доступа аутсорсеров к сетям. Например, предоставлять подрядчику возможность обновлять ПО строго в определенное время и только по отдельному согласованию действий и времени с заказчиком.
Безусловно, все опасаются внешних злоумышленников, особенно из числа разного рода террористических группировок. И исключить того, что внутри какой-нибудь из них появятся люди, знакомые с работой АСУ ТП, ни в коем случае нельзя. Пока все эти угрозы скорее из разряда умозрительных.
Однако за последний год произошло несколько кибератак на энергосистемы ряда стран, в частности, Израиля и Украины. В ходе их реализации злоумышленники использовали модифицированную версию BlackEnergy ─ вредоносного ПО, известного с 2007 года. Для него были выпущены новые модули, которые в числе прочего позволяют вмешиваться в работу АСУ ТП. Есть и другие сценарии атак на энергетические SCADA. Например, их можно отключать, передавая ложные данные, которые могут привести к срабатыванию аварийных механизмов и отключить подстанцию. Так что практический интерес к киберзащищенности технологических сетей все же начал появляться (и у злоумышленников, и, как естественная защитная реакция, у «владельцев» автоматизированных систем управления).
Сейчас все более популярной становится архитектура виртуальных рабочих столов VDI. Как это влияет на ситуацию с безопасностью?
На практике VDI в сфере АСУ ТП сегодня практически не используется. Однако гипотетически использование архитектуры виртуальных рабочих мест может повысить уровень безопасности: использование такой инфраструктуры чрезвычайно ограничивает возможности потенциального внутреннего нарушителя по части установки постороннего ПО. А ситуация, когда технологическая сеть тех же электросетевых или генерирующих компаний используется для компьютерных игр, увы, не является чем-то из ряда вон выходящим. Невозможно будет подключать внешние накопители, сотовые модемы, мобильные устройства. Чем меньше функций, тем проще построить безопасное решение. А VDI самодеятельность пользователя ограничивает. Однако здесь также необходимо учитывать дополнительные риски, связанные с виртуальной инфраструктурой.
Что еще мешает обеспечивать безопасность управляющих систем?
Главный источник проблем кроется в несоблюдении принципа полного отключения технологических сетей от публичного интернета. И причины могут быть самыми различными: от профессиональных, когда, скажем, администратор для облегчения своей работы оставил для себя «окошко» в сетевом периметре, до совсем уж обыденной личной безответственности. Да, операторам банально скучно, и они пытаются выйти в интернет, используя при этом личные модемы (или мобильные телефоны в качестве модемов) на АРМ диспетчерских систем. А это приводит к нарушению изоляции промышленной сети от интернета и, как результат, к возможной компрометации АСУ ТП. Так что задача контроля периметра технологической сети стоит весьма остро. Решают их компании по-разному. Некоторые, например, пошли по пути запрета на использование личных мобильных устройств и средств доступа в интернет на рабочих местах: устройства сдаются в специализированные камеры хранения при входе на территорию организации.
Насколько часто к вам обращаются за аудитом АСУ ТП систем? С чем это связано?
Обращаются, и весьма активно. Даже существует своего рода очередь: у нас проведение аудитов распланировано минимум на полгода вперед.
Особенно возрос практический интерес к аудитам безопасности технологических систем после выхода в марте 2014 года Приказа ФСТЭК № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Все, так или иначе, ориентируются на то, что в нем предусмотрено, но в большинстве случаев ограничиваются организационными мерами вместо внедрения технических средств защиты.
В целом же тема информационной безопасности АСУ ТП сегодня находится примерно на том же уровне, как и понимание роли ИБ в корпоративных сетях десятилетней давности.
Что вообще должно регламентировать законодательство по защите АСУ ТП?
Да, появления законов многие потенциальные заказчики ждут. Иначе им невозможно обосновать перед руководством, которое привыкло решать проблемы по мере их поступления, выделение средств на такой проект. Да и в целом сложно говорить о том, какие риски надо закрывать. Применительно к защите тех же персональных данных, есть Приказы ФСТЭК №17 и №21, где четко прописан перечень мер, за соблюдением которых будет следить регулятор. И все ждут появления чего-то похожего в области защиты АСУ ТП, где все будет разложено по полочкам и расписан пошаговый комплекс мер. И пока ничего такого нет, реального движения не будет.
И все-таки не стоит просто ждать появления закона. Во-первых, весь предыдущий опыт развития сферы ИБ демонстрирует, что слепая нацеленность на получение сертификата (или иного документа), подтверждающего соответствие систем требованиям регуляторов не является гарантией реальной защищенности. Здесь можно вспомнить истории о «бумажной» безопасности и практика показывает, что сейчас большинство проектов направлены на то, чтобы добиваться реальной, а не бумажной защиты. Для сферы АСУ ТП это правило так же имеет силу: подходить к оценке технологических сетей с точки зрения реальной безопасности можно уже сейчас, не дожидаясь принятия соответствующих нормативных документов. Встроенные системы безопасности АСУ ТП по большей части нацелены на предотвращение случайных, разовых сбоев, возникших вследствие ненамеренных ошибок персонала. Сегодня, как мы видим, необходимо защищаться и от целенаправленных атак, когда злоумышленник может пользоваться легитимными правами доступа. Поэтому уже сейчас можно начать работу по повышению уровня кибербезопасности технологической сети предприятия с внедрения систем пассивного мониторинга, которые позволяют вовремя обнаружить и пресечь атаки (в том числе и целенаправленные), не влияя при этом на функциональную безопасность, и не нарушая изоляцию системы. В том числе и за счет однонаправленной передачи данных. При этом появляется возможность обнаруживать кибератаки или неправомерные действия персонала, уязвимость компонентов АСУ ТП и проводить расследования инцидентов (иначе говоря, закрывают наиболее зияющие «дыры»). Но это разговор, о защите уже существующей, развернутой технологической сети. Если же система проектируется с нуля, необходимо заложить полный спектр компонентов защиты: от антивирусов и средств межсетевого экранирования, до систем пассивного мониторинга.