Дрожь технологий
В эпоху цифровизации киберзащита промышленных объектов, к которым также относятся и предприятия атомной отрасли, стала необходимой составляющей обеспечения безопасности. несанкционированный доступ к управлению технологическими процессами может повлечь за собой серьёзные последствия, и такие случаи уже были. Самый известный из них – разрушение в 2010 году при помощи вируса Stuxnet центрифуг на иранском заводе по обогащению урана в городе Натанз. Зафиксированы хакерские атаки на атомные объекты в США, Германии и Южной Корее. насколько велика опасность подобных атак и какие технологии позволяют противостоять этим угрозам, «Вестнику Атомпрома» рассказали менеджер по развитию решений по безопасности критической инфраструктуры «лаборатории Касперского» Антон Шипулин и начальник лаборатории АО «ФЦНИВТ «СНПО «Элерон», доцент кафедры «Криптология и кибербезопасность» НИЯУ МИФИ Сергей Журин.
Расскажите, пожалуйста, о том, что такое промышленная кибербезопасность и в чём специфика работы в этом сегменте?
Антон Шипулин: Кибербезопасность промышленных объектов – важное направление, которое развивалось по мере распространения интернета и цифровых технологий на промышленных предприятиях. Но по-настоящему серьёзное внимание к данной теме было привлечено после кибератаки на иранский завод по обогащению урана в Натанзе в 2010 году с использованием червя, получившего название Stuxnet. Это было знаковое событие, которое расшевелило отрасль и дало новый толчок к развитию систем киберзащиты промышленных объектов. Первым обнаружил этот вредоносный вирус исследователь Сергей Уласень, сейчас он работает в «Лаборатории Касперского». Компания уделяет большое внимание теме кибербезопасности промышленности как в области исследований, так и в развитии продуктов, позволяющих повысить защиту промышленных предприятий. По сути, о кибербезопасности в промышленных системах необходимо было всерьёз задуматься, как только там появился интернет и стало возможным подключение друг к другу различных сетей. А когда цифровые технологии начали распространяться в технологическом сегменте всё шире и глубже, не обращать внимания на кибербезопасность промышленных объектов стало просто невозможно.
Сергей Журин: При этом необходимо понимать, что в промышленности сложно использовать традиционные средства защиты, так как системы имеют другое назначение, свои особенности с точки зрения устойчивости, надёжности, работоспособности. Нельзя просто взять и установить антивирус на программируемые контроллеры или на другие рабочие системы. Необходимо создавать специализированное ПО, которое при этом не наносит вреда оборудованию. Известны случаи, когда антивирусное ПО для корпоративного сегмента может негативно влиять на работоспособность станций, излишне потреблять ресурсы, вносить сбои в рабочие процессы и даже останавливать их. Для технологических сегментов такое недопустимо. Поэтому необходимо разрабатывать специализированное ПО, которое затем тщательно тестируется на способность эффективно работать в различных ситуациях и при этом не наносить вреда. Кроме того, в технологическом сегменте больше внимания уделяется пассивным методам детектирования атак, аномалий в технологических системах, сетях, анализу сетевого трафика, направленного не на прерывание подозрительных пакетов, а на уведомление ответственных служб, которые компетентны в принятии решений. Промышленная кибербезопасность также включает не только защиту от проникновения, но и предотвращение утечки критичных данных о процессах и системах, охрану внешнего сетевого периметра организации.
Какие методы используют для обеспечения безопасности АСУ ТП?
Антон Шипулин: Недавно в нашей среде общения люди задавали вопрос: существует ли антивирус для программных контроллеров управляющих АСУ ТП? Есть попытки, в том числе у нас с коллегами, в тестовом режиме использовать антивирус на софтовых контроллерах, но это исключение. В основном антивирусное ПО не ставится. Чтобы контроллер не был заражён, он должен создаваться с соблюдением процесса безопасной разработки, с использованием механизмов внутренней безопасности, контролем доступа, логированием. Многие вендоры сейчас уделяют этому большое внимание. Процессы разработки стали сертифицировать по международным стандартам, подтверждающим безопасность ПО для технологических систем. Тем не менее «Лаборатория Касперского» периодически находит уязвимости в контроллерах, о чём уведомляет вендоров. Для контроллеров имеется операционная система, которая лишена множества этих проблем.
Как много операционных систем для контроллеров существует на сегодняшний день? На скольких из них используются антивирусные решения?
Антон Шипулин: Существует несколько десятков операционных систем для контроллеров. Есть широко распространённые, такие как VxWorks, QNX и другие. Но они не гарантируют необходимой защиты. Как пример: недавно была найдена серьёзная уязвимость в операционной системе VxWorks, которая используется многими известными вендорами, такими как Schneider Electric и Siemens. Антивирусные решения, как правило, не используются внутри операционных систем реального времени. Антивирус требует дополнительных ресурсов. В то же время, если операционная система разработана с учётом анализа киберугроз, она может надёжно работать и без антивируса.
Расскажите подробности атаки на центрифуги вируса stuxnet.
Сергей Журин: Эта история связывается с большой геополитикой и попыткой некоторых стран остановить ядерную программу Ирана. Вредоносное ПО (якобы разработанное спецслужбами США и Израиля) атаковало завод по обогащению урана в Иране: центрифуги раскручивались до резонансной частоты с последующей резкой остановкой, что приводило к износу центрифуги, при этом Stuxnet также подменял информацию о состоянии центрифуг оператору. В результате были выведены из строя порядка 1000 газовых центрифуг. Кибероружие такого высокого уровня было применено впервые. Использовалось очень сложное программное обеспечение, способное работать автономно, имевшее конкретную цель – найти контроллер с определённым технологическим процессом. При этом данное ПО могло работать автономно, а объект закрытый, с высоким уровнем физической защиты. И первое, что удивляло, как в такое закрытое и охраняемое место могло попасть вредоносное ПО. Тем не менее теоретически существовали разные способы проникновения: переносные устройства, уязвимые сетевые службы, уязвимость нулевого дня в операционных системах. Позже выяснилось, что изначально червь заразил несколько подрядчиков завода, которые принесли вредоносное ПО на объект в Натанзе, но оно не осталось только там, а распространилось по всему миру. Вредоносное ПО стали находить в самых в разных странах, и первым его обнаружил Сергей Уласень. Затем программисты долго не могли разобраться, на что было нацелено это вредоносное ПО. И лишь позднее после сложного анализа поняли, что это был объект в Натанзе, а центрифуги выходили из строя не просто так, а из-за действия вредоносного ПО. Про эту историю даже сняли неплохой документальный фильм – «Уязвимость нулевых дней» (Zero Days). Атака в Иране не единственная, был ряд других, они не приводили к физическим последствиям, но так или иначе дестабилизировали работу различных систем. Один из инцидентов произошёл на Игналинской АЭС, в США были случаи, связанные со сбоями в информационных технологиях, в 2014 году в результате хакерской атаки произошла утечка чертежей и инструкций по обслуживанию нескольких атомных реакторов энергетической компании Korea Hydro and Nuclear Power, в 2016 году вредоносное ПО вовремя удалось обнаружить на объектах в Германии. В атомной отрасли регулирующие организации осознают существующие угрозы, в МАГАТЭ есть серия стандартов кибербезопасности по инцидентам, общий стандарт называется «Компьютерная безопасность ядерных установок».
Можете привести примеры инцидентов, помимо stuxnet, оказавших воздействие на промышленное оборудование или на здоровье людей?
Антон Шипулин: До Stuxnet произошёл случай, ставший довольно широко известным из-за вреда, нанесённого экологии в Австралии. В 2000 году был уволен сотрудник, имевший доступ к управлению системой очистки воды. Он разозлился и использовал свои возможности доступа к системе для сброса сточных воды в акваторию. При этом не было никакого вредоносного ПО, просто несанкционированное действие ввиду неправильного процесса управления доступом. Другой случай также связан с человеческим фактором: в 2017 году осудили человека, повлиявшего на бизнес по производству бумаги в США – уволенный сотрудник использовал доступ к программе, управляющей технологическим процессом, и снизил качество производимой бумаги, в результате чего компания понесла убытки. Как пример крупной промышленной кибератаки можно привести историю, когда в 2015 году вредоносное ПО поразило украинские подстанции и на 6 часов отключило энергоснабжение более 220 тысяч потребителей. Для перехвата управления технологическим процессом использовался Trojan BlackEnergy, атакующие получили удалённый доступ к управлению, после чего через интерфейс удалённого администрирования просто водили мышкой по экрану и вручную отключали потребителей. Ещё один известный случай – разрыв трубопровода Olympic Pipeline, когда ПО заблокировало клапаны сброса давления, трубопровод разорвался, началась утечка топлива, а затем произошёл сильный взрыв. Три человека погибли, пришлось эвакуировать местные предприятия и население. В данной ситуации атаки не было, причиной аварии стала неисправность ПО и недостаточная подготовка персонала. Можно вспомнить недавний случай с вирусом Triton, который атаковал систему противоаварийной защиты Triconex производства Schneider Electric, установленную на нефтеперерабатывающей компании Саудовской Аравии Petro Rabigh. Злоумышленники проникли в технологическую сеть и атаковали не только систему управления, но и систему противоаварийной защиты – «последнюю милю», задача которой в чрезвычайной ситуации предотвратить катастрофу. Система противоаварийной защиты была подключена к общей сети, к ней получили доступ и попытались поменять прошивку. Но что-то у атакующих пошло не так, и противоаварийная система сработала. Сначала на заводе не придали серьёзного значения этому инциденту и просто заменили оборудование. Затем злоумышленники повторили попытку, но в этот раз её обнаружили, и владельцы предприятия были вынуждены привлечь компанию, специализирующуюся на безопасности, которая начала проводить расследование. К слову, атакованный Triconex также является сертифицированным контроллером системы противоаварийной защиты для американских АЭС. У него есть сертификат NRC, что означает, что оборудование соответствует базовым требованиям к безопасности, принятым в США.
Насколько надёжно сегодня АСУ ТП защищены от кибератак? Как выявляются слабые места в защите оборудования? Например, произошёл инцидент с подстанциями, и только ли на основании этого кейса специалистами проводится аналитическая работа?
Сергей Журин: Тут надо выделять два процесса. Первый – это реагирование на инцидент, если он уже произошёл. Проводится расследование, сбор данных, опрос потерпевших, сбор цифровых доказательств, потом вся эта информация анализируется, идёт поиск причин произошедшего, выявляются слабые места. Второй – когда инцидента не было, но компания решает провести диагностику на уязвимость. В этом случае производят анализ защищённости методом тестов на проникновение, методом аудита, анализа конфигурации и другими способами. Тест – это попытка моделирования действий атакующего, аудит – это сбор данных, опрос, чтение конфигураций, изучение документации. В результате выявляются недостатки в технологических процессах, в бизнес-процессах, в документации, в конфигурации оборудования, которые могут привести к уязвимости ПО. Существует сертификация оборудования, например по стандартам 62443, которые регламентируют и стандартизируют безопасность технологического оборудования. Есть разные уровни сертификации, как с более низкими, так и с более высокими требованиями к защите. Тем не менее уязвимости находят у многих производителей, даже таких известных, как Schneider Electric и Siemens. Заказчики требуют высокой безопасности, поэтому крупные производители вынуждены создавать центры реагирования на инциденты, ускорять выпуск обновлений и патчей для уязвимостей.
Если попробовать заглянуть в будущее, каков ваш прогноз, количество кибератак в промышленном секторе будет расти?
Антон Шипулин: Количество подобных атак точно не будет уменьшаться, ведь сегодняшний тренд – цифровизация. И она будет проникать всё глубже, охватывая новые сферы. Промышленный интернет-вещей, индустрия 4.0, умные города и прочие подобные программы – вот современные мировые тренды. При этом цифровизация не только даёт новые возможности, но и влечёт за собой новые потенциальные угрозы. Даже появилась такая шутка: «Если умный, значит – небезопасный». Но рынок заставляет производителей оборудования идти в ногу с этими процессами и всё больше внимания уделять безопасности своего оборудования. С одной стороны, чем меньше денег производитель вкладывает в безопасность, тем дешевле продукт на выходе. С другой – если не решать проблемы, клиенты уйдут к конкурентам.
Сергей Журин: Сегодня защищённость оборудования является не только опцией, но и конкурентным преимуществом. Многие производители это понимают и не просто вкладывают деньги в защиту, но и начинают пытаться на ней заработать, предлагая безопасные технологии и сервисы. Безопасность технологического оборудования – это интересный быстро развивающийся рынок, он привлекает новые стартапы, продвигает тематику защиты по всему миру, заставляет производителей всё больше внимания уделять этой сфере. Киберугрозы в будущем никуда не исчезнут, но и технологии, связанные с промышленной кибербезопасностью, также неизбежно будут развиваться, отвечая вызовам современного цифрового мира.