Безопасность АСУ ТП и контроль привилегированных пользователей

Безопасность АСУ ТП и контроль привилегированных пользователей

В статье рассматриваются актуальные угрозы информационным системам промышленных предприятий и компаний ТЭК, а также вопросы, связанные с обеспечением защиты таких информационных систем. Также в статье приводятся экспертные мнения представителей компаний, работающих в области обеспечения защиты информационных систем промышленных предприятий и компаний ТЭК.

В последнее время в центре внимания специалистов по безопасности часто оказываются промышленные информационные системы – аппаратно-программные комплексы, предназначенные для автоматизации производственных процессов промышленных предприятий и компаний ТЭК. До поры до времени эти системы существовали вне фокуса внимания специалистов по безопасности, хотя они фактически тоже основаны на современных информационных технологиях и, соответственно, также подвержены разнообразным угрозам и рискам, существующим в этой области. Теперь же, после нескольких атак (самые известные из них – вирусные атаки на иранские ядерные объекты), стало очевидно, что и промышленные информационные системы нуждаются в соответствующих мерах по защите информации, и производители защитных решений разом начали их обсуждать. О кибератаках на инфраструктурные объекты заговорили и на уровне государств. Что это – просто новая популярная тема для медиапространства, или же действительно серьезная проблема, грозящая масштабными негативными последствиями?

Впрочем, для начала следует разобраться с терминологией. Глобально промышленные информационные системы того рода, о котором мы будем вести речь, называются автоматизированными системами управления технологическими процессами, или, сокращенно, АСУ ТП. В отличие от систем автоматического управления (САУ), они не полностью автономны и подразумевают участие и контроль со стороны человека-оператора (и это, надо сказать, одно из их уязвимых мест). В то же время, однако, большинство разработчиков защитных программ сейчас гораздо более активно пользуется другой аббревиатурой – SCADA, т.е. Supervisory Control and Data Acquisition, нечто вроде «диспетчерский контроль и получение данных». Фактически можно сказать, что этот термин используется взамен понятия АСУ ТП, хотя тождества между ними нет: SCADA – это один из подклассов, подуровней АСУ ТП наряду, например, с программируемыми логическими контроллерами и распределенными системами управления. Возникает, соответственно, смысловая неоднозначность: то ли другие разновидности или структурные составляющие АСУ ТП менее проблемны с точки зрения безопасности, то ли производители средств безопасности не совсем точны в своем терминологическом аппарате, как это с ними порой случается.

 

– Я бы сказал, что это «трудности перевода». Фактически, с точки зрения терминологии, когда речь заходит об АСУ ТП, под ними в первую очередь подразумеваются именно SCADA-системы, – говорит заместитель директора по развитию бизнеса компании «Инфосистемы Джет» Кирилл Викторов. – Причина тому следующая: когда вы подходите к АСУ ТП как к комплексной системе в части ее защиты, то именно SCADA-системы оказываются, условно говоря, на поверхности. Можно сказать, что, если мы обеспечиваем защищенность управляющей системы и не оставляем ее бесконтрольной, то в сущности мы тем самым уже вносим существенный вклад в безопасность. Я не могу сказать, что другие разновидности менее проблемны – просто начали с того, что наиболее 1) понятно и 2) уязвимо.

 

В целом надо заметить, что к проблемам защиты АСУ ТП оказалось привлечено весьма и весьма значительное внимание. В какие-то моменты времени не проходило и одной недели, чтобы какой-нибудь американский чиновник высшего порядка не выражал свою озабоченность кибербезопасностью государственной инфраструктуры. В то же время среди разнообразных точек зрения встречаются и скептические, что тоже по-своему объяснимо: в конце концов, внешнее проникновение – далеко не самая значимая и распространенная корпоративная угроза, инсайдеров гораздо больше, да и что особенного может сделать хакер, даже если вдруг ему удастся проникнуть в АСУ ТП извне? Возможно, производители защитных решений лишь нашли себе удачную тему для пиара, которая понравилась СМИ, а уровень опасности взлома и злонамеренного контроля таких систем преувеличен? Появление таких и других похожих вопросов закономерно, однако ответы на них далеко не так очевидны, как может показаться сомневающемуся на первый взгляд.

 

– Сейчас стоимость эксплойта для любой системы (который можно купить на черном рынке), не так велика: покупка программы для взлома ДБО обойдется в 5-10 тысяч долларов, а то и дешевле, – подчеркивает руководитель направления по работе с ТЭК Центра информационной безопасности компании «Инфосистемы Джет» Алексей Косихин. – Устойчивого рынка таких программ для АСУ ТП пока нет, но я думаю, что и там ситуация примерно аналогична. Думаю, что по сравнению с взрывом бомб на рынках, нарушение с помощью подобной программы, например, водоснабжения определенного региона, или повреждение энергосистемы с организацией веерных отключений, окажутся гораздо более «продуктивными». Кроме того, в ряде государств (возьмем, например, Китай или США) созданы киберподразделения, которые нацелены в том числе и на то, чтобы выводить из строя определенную инфраструктуру на стороне потенциального злоумышленника. Так это было, в частности, в Ираке, когда была дистанционно выведена из строя система радиолокационного обнаружения воздушных целей.

В нашей практике были случаи, когда при проверке на уязвимости одной компании, буквально в течение полудня мы могли оставить без тепла в разгар зимы крупный город А теперь давайте представим себе ситуацию, когда в момент перехода границы вражеской армией во всех регионах атакуемой страны отключается свет, пропадает сотовая связь, нарушается водоснабжение и т. д.. Разве можно в такой обстановке преуменьшать опасность атак на промышленные информационные системы?

Кирилл Викторов: Я вспоминаю 11 сентября 2001 года: террористы потратили время, и немалое, как известно, чтобы научиться управлять самолетами и затем направить их на башни-близнецы (по одной из известных версий).

Сегодня мы видим, что возможности для атаки на эти системы (АСУ ТП) есть, мы это подтверждаем тестами на проникновение, и вполне возможно, что террористы потратят необходимое время на обучение и таким кибер-технологиям взлома.

 

При всем при том практика показывает, что в отношении безопасности промышленных информационных систем дела обстоят далеко не так гладко, как хотелось бы обеспокоенному обывателю. Естественно, что каждый пользователь тех же систем водоснабжения или, допустим, регулярный клиент компаний топливно-энергетического комплекса предпочел бы быть уверенным в том, что у этих инфраструктурных предприятий все под контролем, и вероятность проникновения внешнего злоумышленника в их контрольно-командные интерфейсы практически исключена; и, что характерно, сами компании и их руководители вполне себе твердо уверены в неприступности своих цифровых крепостей. Тем не менее, фактически эта уверенность не всегда (или, быть может, правильнее сказать - никогда) не подкреплена реальными фактами. Не видя проблем, промышленные предприятия не обращаются за помощью к интеграторам, консультантам или производителям защитных решений, и трем последним часто приходится самим их посещать и предлагать свои услуги. Впоследствии же, как правило, выясняется, что в действительности эти услуги компаниям крайне необходимы, и в области безопасности у них имеются вполне определенные проблемы (как и у защитников информации, впрочем).

 

Алексей Косихин:Как у нас обычно строится беседа с заказчиком о защите АСУ ТП? Мы говорим: «Давайте, мы изучим ваш сегмент АСУ ТП, у вас наверняка имеется множество проблем»... Нам отвечают: «Проблем нет. Сегмент защищен, выделен в отдельную сеть, проложена своя оптика, он разделен межсетевым экраном с корпоративной сетью, внедрены средства защиты от НСД, инциденты отсутствуют... В общем – "злоумышленник не пройдет"». Мы, в свою очередь, предлагаем провести тест на проникновение снаружи во внутренний защищенный сегмент. И в 100% случаев проникновение является удачным – т.е. не было такого варианта развития событий, при котором мы бы не получили доступ к серверам управления и не попали во внутренний защищенный технологический сегмент SCADA-систем.

– Базовая защищенность сегмента АСУ ТП состоит из межсетевого экрана, стоящего на периметре, и, допустим, антивирусов на ряде серверов управления, говорит директор компании «Статус Комплайнс» Александр Андрущенко. - Может быть, где-то на диспетчерских машинах установлены средства защиты от НСД, но это встречается крайне редко. По большому счету, информационной безопасности, как таковой, в сегменте АСУ ТП нет, и внимание этому не уделялось - за весьма редким исключением. Люди на местах, которые работают с АСУ ТП, зачастую вообще ничего не понимают в информационной безопасности и так же ничего не понимают в IT; им, например, просто показали, какие кнопки нажимать в случае, если загорится красная лампочка, и не более того.

Алексей Косихин: После проверки на уязвимость, когда мы двумя-тремя способами получаем доступ к серверам управления и агрегатами, стоимость которых подчас измеряется миллиардами, а также прописываем алгоритмы их выведения из строя, руководство компании мгновенно утрачивает сомнения в целесообразности реализации проекта по защите АСУ ТП. Главным вопросом для них становится «где взять денежные средства (потому как на ближайшие год-полтора их бюджет, как правило, уже расписан)»?

Далее начинается наша работа как интегратора в плане обследования: проводится полномасштабное обследование АСУ ТП, поскольку они существенно отличаются друг от друга в каждом конкретном случае (одна АСУ ТП может состоять из разного набора SCADA-систем, работать по разным протоколам и т.д.). В топливно-энергетическом комплексе часто встречаются компании, которые несколько раз дробились, сливались, разные дочерние общества переходили от одних компаний к другим. Соответственно, аппаратно-программные средства в технологическом сегменте подчас могут кардинально различаться. Один из наших заказчиков, например, имеет порядка 4 тысяч объектов, на которых распределено несколько десятков АСУ ТП. В таких случаях мы проводим типизацию и обследуем только ряд объектов каждого типа. Дя нефтяной отрасли характерна другая проблема: объекты разбросаны в радиусе 200-300 км, и их может быть несколько десятков. За день специалисты проезжают 300-500 километров, чтобы обследовать 2-3 объекта. Опять-таки, не в каждый сегмент так просто попасть: в той же энергетике необходимо, чтобы люди получили соответствующие формы допуска, прошли инструктажи по энергобезопасности и т.д. Можно сказать, что ни с нашей стороны, ни со стороны заказчика нет какой-либо существенной единой проблемы – есть пул определенных сложностей, с которыми мы постепенно научились справляться.

 

Важно при этом отметить, что сама по себе промышленная информационная система никоим образом не является неуязвимой - т.е. ситуация такова, что дополнительные средства и мероприятия, нацеленные на обеспечение ее безопасности, все равно требуются, даже с учетом специфики АСУ ТП. Компания, ей пользующаяся, могла бы теоретически понадеяться на то, что разработчики таких систем знают о необходимости их защищать от злонамеренного влияния, и поэтому определенный уровень безопасности и отказоустойчивости в них уже будет предусмотрен по умолчанию; кроме того, как будто никто не отменял обыкновенной физической изоляции стратегически важных компонентов системы от Интернета, как это делается, к примеру, в военных ведомствах. Казалось бы, максимум таких проактивных мер, не требующих ни особых затрат, ни привлечения внешних специалистов, и АСУ ТП будет надежно защищена от нападения снаружи. В каком-то смысле это верно, но в целом у этой проблемы тоже есть ряд дополнительных аспектов, которые необходимо учитывать.

 

Алексей Косихин:АСУ ТП имеет стандартную трехзвенную структуру, и какой бы ни была ее отказоустойчивость, средний уровень – SCADA-системы, – который является наиболее уязвимым и позволяет злоумышленнику производить ряд манипуляций с технологическим процессом, в том числе вопреки отказоустойчивости. Важно при этом отметить, что последняя имеется обычно на уровне механики. На уровне же управления этой механикой – да, кое-где есть сигнализация, но в целом, если оператор отдаст команду принудительно повысить давление, то давление повысится, если прикажет «все датчики отключить» – все датчики отключатся, и так далее. При этом и отказоустойчивость встречается не всегда. Допустим, в серьезных системах атомной энергетики она действительно присутствует, там выполняется двойное или тройное резервирование, и к вопросам безопасности вообще подходят ответственно. Но в нефтегазовой отрасли, в промышленности, в энергетике все обстоит несколько иначе. Существенная отказоустойчивость встречается не везде, а, например, в одном технологическом процессе из пяти (и при этом, опять же, никто не отменяет получения злоумышленником доступа именно к серверам управления – и тогда никакие третьеуровневые дублирующие системы датчиков или, скажем, контроля задвижек не помогут предотвратить злонамеренные действия с его стороны).

Что касается изоляции, то теоретически действительно задумывалось именно, что система АСУ ТП будет полностью изолирована от интернета, внешних корпоративных ресурсов и т.д. Многие заказчики говорят нам, что их защищенный сегмент устроен именно по этому принципу. Однако, при ближайшем рассмотрении, мы обнаруживаем значительное количество «отверстий в изоляции» – образно говоря, имеются «хвосты, торчащие в Интернет» сквозь периметр. Причиной их появления могут быть, например, диспетчеры, которые используют машины, управляющие SCADA, как персональные компьютеры: смотрят на них фильмы, устанавливают игры, поднимают точки доступа Wi-Fi, подключают мобильные устройства и организуют через них выход в интернет. С одной стороны, здесь просто меньше дисциплины, нежели в тех же военных ведомствах, а с другой – система слишком сложна, чтобы успешно организовать ее изоляцию. У одного и того же заказчика АСУ ТП может распространяться на 300 объектов, пересекаться с различными корпоративными сетями в разных точках; кроме того, SCADA-системы периодически обновляются (где-то раз в месяц, где-то раз в три месяца, где-то раз в полгода) и для этого им также нужен доступ в интернет. И если у военных замкнутые системы, которые направлены только на управление войсками, к примеру, то здесь системы направлены на добычу, переработку, распределение. За происходящими процессами желает наблюдать бизнес, который находится уже в корпоративном сегменте и, следовательно, в любом случае будут формироваться какие-либо каналы обмена данными. В случае промышленных АСУ ТП существует слишком много нюансов, чтобы организовать все аналогично военным ведомствам, федеральным органам и так далее.

 

Специалисты говорят, что на состояние защищенности АСУ ТП оказывает влияние множество факторов. Это и отказ даже от минимальных мер безопасности (ради удобства и производительности компании отказываются от установки не только, например, антивирусной, но и даже парольной защиты критически важных активов), и распространение Windows в качестве основной операционной системы и для рабочих станций, и даже для серверов (со всеми вытекающими последствиями), и та же слабая дисциплина сотрудников, стремящихся к развлечению и готовых даже вскрыть системный блок ради подключения своего периферийного оборудования, и обновление программного обеспечения, и отсутствие четких границ между разными сегментами сети... При этом возможность решения многих проблем зависит в том числе и от спектра доступных защитных решений, которые интегратор, консультант или разработчик может применить для обеспечения безопасности АСУ ТП; здесь имеются вполне конкретные проблемы, которые сопряжены в том числе и с несовершенством отечественного законодательства и правоприменительной практики: требования контролирующих органов порой вступают в противоречие с реальными нуждами и потребностями по защите информации.

 

Алексей Косихин: При обеспечении безопасности промышленных информационных систем мы выступаем скорее как интегратор, чем как разработчик. Разработчиков средств безопасности для АСУ ТП в России как таковых пока нет. Но ряд компаний предпринимает определенные шаги в этом направлении – насколько мне известно, ими разрабатываются сканеры SCADA-систем. Если рассматривать современные АСУ ТП и системы управления ими, которые присутствуют сейчас на российском рынке, то из них только 10-20% имеют промышленное исполнение, написанное нормальными, серьезными холдингами типа Siemens, General Electric и т.д. Остальное – это главным образом программы, написанные 10-20 лет назад российскими НИИ и т.д. Для промышленных систем (наподобие Siemens и еще примерно десятка других) существуют свои средства защиты, которые адаптированы именно под их протоколы и другие особенности, но мы не можем их внедрять в силу российской действительности. ФСТЭК рекомендует при защите критически важных объектов (каковыми являются практически все АСУ ТП) использовать сертифицированные средства защиты. При этом ни один западный производитель не дает себя сертифицировать уже только потому, что при сертификации, например, на тот же НДВ-4 требуется передавать свои исходные коды в наш орган аттестации. Мы несколько раз пытались сертифицировать промышленные межсетевые экраны или IP-фильтры в России, но натолкнулись на непонимание западным бизнесом данных российских реалий. Поэтому сейчас для обеспечения безопасности применяются в основном аппаратные и программные решения российских разработчиков, которые используются в обычных информационных системах и надстраиваются над АСУ ТП и SCADA-системами.

 

Особый момент в обеспечении безопасности АСУ ТП, на который не все обращают внимание, - это контроль привилегированных пользователей, разнообразных администраторов и подрядчиков, которые по тем или иным причинам располагают доступом к системам и серверам управления и имеют определенный объем прав для манипулирования ими. Их деятельность практически никак не контролируется, а привилегии позволяют выполнять широкий спектр действий - что в сумме создает вполне определенные риски по компрометации АСУ ТП не только изнутри, но и снаружи. Активность привилегированных пользователей не обязательно злонамеренна, однако в любом случае может привести к нежелательным для предприятия последствиям. С учетом того, что извлечь какую-либо информацию из системы бывает сложно даже для самих ее эксплуатантов, компания может в течение весьма продолжительного срока не иметь никакого представления о том, чем именно занимаются разнообразные привилегированные пользователи внутри системы.

 

Кирилл Викторов: Алексей уже упоминал о том, что, когда мы начинаем разбираться в структуре системы защиты для АСУ ТП, то чаще всего видим межсетевой экран и антивирусы на некоторых серверах. Что делают в системе пользователи, и в том числе те из них, которые обладают неограниченными правами (а такие пользователи присутствуют там всегда), вообще никто не знает. Возможности, которыми они располагают, велики, а риски, которые могут последовать за такими неограниченными правами, я оцениваю как фантастические. Закрытие заслонок или отключение датчиков может иметь весьма разрушительные последствия. Поэтому, наряду с другими задачами по обеспечению безопасности АСУ ТП, контроль привилегированных пользователей занимает первоочередную позицию.

Алексей Косихин: Дополню, что, по нашему опыту, получить доступ к тем же серверам управления может, в сущности, кто угодно. Да, для этих систем может быть построен отдельный ЦОД или отдельная серверная, но для работы с ними постоянно приезжает множество аутсорсеров: кто-то обслуживает сервера, кто-то – одну SCADA-систему, кто-то – другую, и т.д. Сотрудники подразделения АСУ, которые их встречают и провожают, обычно просто пускают их в помещение и возвращаются за ними через несколько часов. Что эти люди делают в серверной, что настраивают, на какие сервера входят – неизвестно. Достаточно часто открываются каналы для разработчиков SCADA-систем, чтобы они удаленно их дорабатывали, тестировали, обновляли непосредственно в процессе эксплуатации. По этим каналам можно проникнуть в систему с правами администратора и выполнять разнообразные действия по своему усмотрению. Никто эти процессы никогда не контролирует, потому что фактически в департаменте АСУ отсутствует персонал, который бы их отслеживал.

 

Традиционно проблема привилегированных пользователей ассоциируется в первую очередь с внедрением каких-либо недокументированных возможностей в программные продукты - т.е., говоря проще, с созданием и использованием (а с другой стороны - поиском и обезвреживанием) нежелательных программных закладок, которые впоследствии позволяли бы злоумышленнику без лишних усилий компрометировать систему и контролировать ее. Применительно к АСУ ТП можно сказать, что данная проблема ключевой не является: в первую очередь речь идет именно о том, чтобы контролировать и отслеживать выполняемые привилегированными пользователями действия.

 

Кирилл Викторов: Фактически мы имеем технически подготовленных привилегированных пользователей, у которых есть все возможности для того, чтобы поставить под угрозу дальнейшее существование части АСУ ТП (неважно, умышленно или нет) или вообще всего промышленного предприятия. Поэтому речь здесь идет главным образом именно о контроле тех действий, которые выполняются на целевых системах. Сейчас, в силу исторически сложившейся практики, этого не делается вообще. Иными словами, любое управление и обслуживание компонентов, выполняемое внешним подрядчиком, осуществляется бесконтрольно. Поэтому во главе угла вопрос не о том, что кто-либо что-либо оставил в системе (бэкдор или нечто подобное), а исключительно о том, что владелец системы не понимает, что с ней происходит – она вне его контроля. У него нет механизмов, которые позволяют обеспечить этот контроль. Фактически отношения в данном случае построены исключительно на доверии к тому внешнему поставщику или их группе, которые строят, развивают и эксплуатируют систему. Проблема, соответственно, в том, что в случае любого инцидента будет неясно, с какой стороны разбираться в произошедшем.

Алексей Косихин: В ряде АСУ ТП сами пользователи не понимают, что происходит внутри нее. Один из примеров: меняется контрольная сумма исполняемых файлов. Когда мы спрашиваем, нормальный ли это режим работы SCADA-системы, нам отвечают: «Мы не знаем. Нам её поставили и она работает». Иными словами, никто никогда не проверял SCADA-систему на недекларированные возможности. Однажды был инцидент, когда пользователь, детально разобравшись в управляющей системе, нашел там ряд недекларированных возможностей (скорее всего, просто не прописанных в документации) и стал их использовать для собственных целей.

 

В настоящее время озвучена и активно развивается концепция обеспечения безопасности систем SCADA при помощи защищенной операционной системы - своего рода безопасной среды, в рамках которой могли бы функционировать только доверенные приложения и которая могла бы ликвидировать ряд насущных проблем защиты АСУ ТП. На первый взгляд может показаться, что перед нами - многообещающее эффективное и универсальное решение, которое реализует все тот же принцип проактивной защиты промышленных информационных систем и позволяет воздержаться от использования дополнительных модулей безопасности, сокращая тем самым затраты. Однако процесс разработки такой системы - дело долгое и сложное, а сфера ее применения и успешность противодействия угрозам характеризуются некоторыми ограничениями.

 

Алексей Косихин: Может быть на начальном уровне, пока злоумышленники не разберутся с этой операционной системой, она и станет защитой т.н. мэйнфрейма – то есть от разного рода вирусов, сетевых атак и т.д. Но я практически наверняка уверен, что она будет написана на базе какого-либо из вариантов ОС Linux, который всем знаком, и что защищена она будет весьма формально.

 

Поскольку вопросы безопасности АСУ ТП попали в фокус всеобщего внимания, некоторые производители защитных решений приступили к разработке продуктов, специально предназначенных для борьбы с угрозами промышленным информационным комплексам (к числу таких продуктов может быть, в частности, отнесена и упомянутая выше безопасная операционная система). Отдельные компании начали готовить аналитические материалы по этим вопросам, предпринимая попытки оценить состояние АСУ ТП с точки зрения их защищенности; реакция на эти инициативы со стороны специалистов, работающих непосредственно с промышленными системами, была довольно неоднозначной и не всегда одобрительной. Складывается впечатление, что между эксплуатантами АСУ ТП и разработчиками средств информационной безопасности существует некоторое недопонимание: производители пытаются создать что-то специально под потребности владельцев и пользователей промышленных информационных систем, но выходит это у них не слишком удачно. В сущности, два направления практически никогда между собой не контактировали, и только сейчас у них появляются определенные точки соприкосновения.

 

Кирилл Викторов: Мне кажется, что люди с обеих сторон не общаются друг с другом по указанным вопросам, и до самого последнего момента им это и не было нужно. Поэтому разработчики защитных решений вообще не понимают потребностей, которые существуют в сфере АСУ ТП, и только благодаря интеграторам или консультантам может быть начат какой-либо диалог. Фактически компании-интеграторы или консалтинговые компании являются если не переводчиками, то по крайней мере посредниками при переговорах. Можно сказать, что консультант в состоянии своей деятельностью спровоцировать разработчиков защитных продуктов на решение определенных задач, которые ставят те, кто эксплуатирует АСУ ТП; я не вижу, чтобы производители шли на подобный диалог самостоятельно. Кроме того, есть определенные стандарты, принятые довольно давно, и эти стандарты не учитывают требования безопасности, которые появились в последние годы.

Алексей Косихин: До недавнего времени рынок в этом просто не нуждался. Когда такая потребность появится, они начнут делать шаги навстречу друг другу. Однако это окажется долгий путь, на котором будет встречено значительное сопротивление. Люди, которые разбираются в АСУ ТП, строят АСУ ТП и используют АСУ ТП, плохо разбираются в информационной безопасности, и, наоборот, специалисты в области ИБ (в том числе разработчики, интеграторы и т.д.), слабо понимают специфику АСУ ТП – потому что это отдельный мир, в который никто из них никогда не пытался проникнуть. Сейчас реалии изменились, и два этих мира начали пересекаться; пока они столкнулись только краями, т.е. появились отдельные энтузиасты, особенно, как заметил Кирилл, на уровне интеграторов, которые начали разбираться, что же такое ИБ в АСУ ТП. Пока разработчики тех же самых АСУ ТП (я имею в виду российских) практически не делают никаких шагов навстречу. Не слишком разбираясь в том, что такое ИБ, они не включают никаких средств мониторинга, контроля целостности в свои продукты и т.д. В их разработках в лучшем случае где-то включена парольная защита. Также, почти никогда не задумываются об информационной безопасности и те, кто внедряет АСУТП на уровне проекта.

Александр Андрущенко: Несколько лет назад кто-то в нефтяной компании сказал мне, что если, например, остановится часть системы информационной безопасности офиса, то нефть от этого не перестанет добываться; уровень инвестиций в эту подсистему несравним с уровнем инвестиций, которые могут быть сделаны в организацию добычи и в иные компоненты, связанные именно с производственным процессом. В свою очередь, на данный момент мы как раз находимся на пороге осознания крупными компаниями необходимости больших инвестиций в модернизацию своих АСУ ТП с точки зрения безопасности. Точно будет так, что заказчики через некоторое время сформулируют требования, предъявят их разработчикам защитных решений, и этот рынок начнет развиваться. Но сколько именно времени на это потребуется - неизвестно. У меня есть ощущение, что до тех пор, пока не было скандала со Stuxnet в Иране на оборудовании Siemens, об этом вообще никто не задумывался. После того, как скандал произошел, люди начали задумываться о том, что было бы с ними, если бы на их производстве было обнаружено нечто подобное. Следом, образно говоря, пошла волна внутренних аудитов, а затем уже предприятия стали искать интеграторов или консультантов. Рынок сделал три шага: испугались, провели внутренний аудит, чтобы оценить, что будет у них, поняли, что этим надо заниматься, и подошли вплотную к пониманию того, что именно необходимо делать. Иными словами, фактически компании как будто готовы сформулировать задачу сейчас.

Алексей Косихин: Некоторые компании и ведомства – «Газпром», Мосводоканал, Минэнерго России – уже разработали (или разрабатывают) собственные корпоративные стандарты, но это  внутренние стандарты. На уровне российского законодательства имеются пока только рекомендательные указания, причем относящиеся к проблеме косвенно. Фактически, пока не будет серьезного нормативного документа или значимого инцидента (следствием которого могут стать как законодательные инициативы, так и конкретные практические шаги со стороны бизнеса) на эту тему, никто не станет предпринимать активных действий: нужен хороший толчок.

 

Характерна для АСУ ТП и своя модель злоумышленника. Хотя она и не имеет разительных отличий от традиционной, используемой в большинстве корпоративных информационных систем, у нее наличествуют некоторые специфические особенности. Это продиктовано в первую очередь тем, что при попытке проникновения в промышленную информационную систему потенциальный злоумышленник имеет, как правило, несколько иную мотивацию, нежели в иных случаях. Данная модель закреплена и в отраслевых стандартах, хотя они, как уже говорилось выше, не вполне актуальны, да еще и труднодоступны. Следует при этом учитывать, что АСУ ТП как объект информационной защиты также обладает своей спецификой: например, компрометация конфиденциальных данных для нее несущественна, а вот нарушение непрерывности производственного процесса представляет для промышленных предприятий довольно значительную угрозу.

 

Александр Андрущенко: Первые шаги были предприняты государством в 2005-2007 годах, когда ФСТЭК и Совет Безопасности разработали ряд рекомендательных документов по ключевым системам информационной инфраструктуры. Но эти документы носят рекомендательный характер.

Большинство злоумышленников, которые хотят проникнуть в ту или иную информационную систему, хотят извлечь определенную выгоду. Взламывая банки, они хотят получить деньги. Взламывая по заказу конкурентов какую-либо корпоративную сеть и извлекая оттуда информацию, они тоже хотят получить деньги. На данный момент, взламывая АСУ ТП, получить финансовую выгоду невозможно. Но при этом мы вновь сталкиваемся с таким серьезным сегментом, как противодействие промышленной корпорации с целью завоевать монополию на рынке, в определенном регионе и т.д.; вполне вероятно, что в таких ситуациях какие-либо организации могут пойти в том числе и на вывод технологических сегментов своих прямых конкурентов из строя. Актуальна и проблема внутренних нарушителей (т.е. инсайдеров), а также хулиганов, которые взламывают ради интереса; наверное, это традиционно для всех информационных систем. Поэтому в сущности специфика довольно узкая - она обусловлена главным образом именно тем, что в системе нет денег, которые можно украсть.

Алексей Косихин: Если рассматривать, к примеру, хакеров-любителей, которые взламывают SCADA, то они, как правило, смотрят на систему, осознают, что они в ней ничего не понимают,  интересных картинок нет, а разбираться – лень. В итоге они довольно быстро покидают систему, удалив иногда буквально пару файлов «ради интереса», или раз-другой щелкнув каким-либо тумблером. Если они начнут разбираться более вдумчиво, то своими действиями смогут причинить и более серьезный вред. Иными словами, модель злоумышленника для АСУ ТП в целом типовая, но все же с небольшими специфическими встройками и вкраплениями.

 

Исходя из изложенного выше, вполне возможно, что организация защиты АСУ ТП потребует формирования каких-либо новых подходов к обеспечению безопасности, хотя и на основании уже имеющихся разработок те или иные производители могут создать неплохие решения, учитывающие специфику промышленных информационных систем и одновременно уже располагающие необходимыми разрешительными документами от контрольных органов. С учетом особенностей отечественного правового пространства такой подход может оказаться более простым, нежели сертифицирование новых продуктов с нуля. Однако, в любом случае, сложившаяся в настоящее время ситуация настоятельно требует дальнейшего расширения спектра защитных решений, доступных для применения в системах безопасности для АСУ ТП. Дефицит продуктов такого рода может иметь весьма негативные последствия: угрозы существуют, их реализация потенциально опасна, злоумышленники в общем и целом уже готовы проводить подобные атаки, а защищаться, по сути, почти нечем.

 

Александр Андрущенко: Нужны продукты, которые адаптированы для работы в АСУ ТП и понимают протоколы, по которым общаются SCADA-системы (потому что этих протоколов гораздо больше, чем общепринятых, используемых в типовых информационных системах – TCP/IP и т.д.). Данные протоколы характеризуются разной степенью сложности, но продуктов и средств защиты, которые понимали бы их, на российском рынке практически нет. То, что имеется на рынке сейчас, относится в основном к традиционной безопасности; эти средства действительно помогают снять большую часть проблем, но те специфические риски, которые характерны для каждой конкретной АСУ ТП или SCADA-системы по отдельности, они предотвратить не смогут - теоретически их можно будет обойти. Поэтому единственно верный новый подход – это разработка средств именно под SCADA-системы: направленных шлюзов, сетевых экранов, адаптированных под протоколы общения SCADA, модулей обнаружения вторжений, адаптированных под эти же протоколы, и так далее. Это путь наименьшего сопротивления.

 

Подытоживая сказанное, остается заключить, что состояние защищенности АСУ ТП на данный момент очень слабое. С одной стороны, существуют мощные управляющие подсистемы, которые обеспечивают оператору полный контроль над производственными процессами, в том числе в стратегических секторах экономики, где любые сбои опасны, а с другой стороны - при должной сноровке и доле беспечности со стороны компании этим оператором может стать лицо, весьма и весьма постороннее. Практики по обеспечению информационной безопасности на промышленных предприятиях немного, руководство склонно переоценивать защищенность АСУ ТП, а компаниям, работающим в области защиты информации, часто бывают непонятны реальные нужды этого сектора и принципы функционирования промышленных информационных систем. Интеграторы и консультанты могут привлечь для построения системы их безопасности далеко не самый широкий диапазон защитных решений, чему, в значительной мере, способствует малая гибкость политики сертификации и не слишком активное производство таких продуктов в России. Хотелось бы рассчитывать, что в будущем эти проблемы будут успешно разрешены, и апокалиптические ситуации, показанные во многих фильмах, не станут повседневностью.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru