Как и зачем защищать АСУ ТП от вирусов и целевых атак
На протяжении последних десятилетий автоматизация промышленных предприятий и технологических процессов неуклонно набирает обороты. Бизнес требует непрерывного повышения эффективности управления производством, растет степень информатизации и связности систем, промышленные объекты подключаются к корпоративным сетям и все чаще управляются удаленно через Интернет. Но вместе с преимуществами новых технологий в промышленный мир пришли и новые угрозы, к которым он оказался не готов. Жизненный цикл работающих сейчас АСУ ТП измеряется десятилетиями, и многие из них разработаны без учета вопросов информационной безопасности.
Нарушить стабильность функционирования производственной сети сегодня может не только отказ технологических узлов или ошибка оператора, но также ошибки в ПО, случайное заражение рабочих станций вредоносными программами или целенаправленные действия со стороны киберпреступников. А они, к слову, в последние годы проявляют все больший интерес к инфраструктурным и промышленным объектам.
Однако АСУ ТП критически важных объектов угрожают не только целенаправленные атаки со стороны кибертеррористов. Специфика этих систем такова, что они вполне могут пострадать и от самых обычных, «офисных» вирусов. Однако в промышленных сетях обычное вредоносное ПО способно причинить несравнимо больший вред, чем при заражении офисного или домашнего компьютера – например, заблокировать выполнение критически важных приложений, что приведет к сбою в работе оборудования. Например, червь Conficker сумел заразить производственную сеть, только потому что в ней не было своевременно установлено обновление ОС Windows. Зловред посылал миллионы сетевых запросов, тем самым вызывая паралич производственной сети.
«Болевые точки»
Основным показателем защищенности АСУ ТП является их способность поддерживать стабильность, непрерывность и корректное функционирование технологического процесса, будь то выработка и передача электричества, очистка воды, управление производством или что-то другое, независимо от внешних воздействий. Но в реальной жизни всегда существует масса факторов, из-за которых промышленные системы могут выйти из строя, особенно если им «помогают» киберпреступники. Сегодня наибольшему риску АСУ ТП подвергаются в первую очередь из-за устаревшего ПО, оборудования и коммуникационных протоколов, изначально не предполагавших даже самой возможности существования киберугроз. Проблема усугубляется еще и тем, что для обновления этого ПО нужно преодолеть массу административных и технологических трудностей, и не каждая компания пойдет на это.
Немало вопросов вызывает также интеграция АСУ ТП в общую сеть предприятия. Обычно АСУ ТП функционируют в изолированной технологической сети (к которой однако имеют доступ сторонние, например сервисные компании, что также чревато проблемами). Но нередки случаи, когда эта изолированная сеть интегрировалась в общую корпоративную сеть, а то и подключалась к Интернету.
Если говорить непосредственно о компонентах АСУ ТП, то наиболее уязвимыми элементами в них являются ПЛК, а также SCADA-системы. Первые «страдают» из-за жестко запрограммированных логина и пароля администратора, которые обычно устанавливаются производителем. Также контроллеры подвержены сетевым атакам вроде DoS/DDoS. Что касается SCADA, то, как и обычные Windows приложения, они подвержены всем тем же уязвимостям, и это, безусловно, дает злоумышленникам «простор для творчества». Наиболее часто встречающиеся проблемы здесь – это переполнение буфера памяти, все тот же DoS, межсерверное выполнением сценариев, неправомерное исполнение кода и ряд других. На данный момент только в открытых источниках указаны около 650 уязвимостей в SCADA-системах, и эта цифра продолжает расти.
Итак, поскольку АСУ ТП находятся под угрозой не только проникновения простых вирусов, но также являются объектами целевых атак, то, следовательно, они должны иметь защиту от самых распространенных зловредов и уязвимостей в ПО, а также располагать специальными средствами и политиками безопасности для противодействия направленным атакам.
Текущие трудности
К сожалению, сегодня в России защиту промышленной инфраструктуры затрудняют как архитектурные, так и организационные и технологические факторы. Не способствует решению проблемы и сложная бюрократическая процедура внесения изменений в работу технологических узлов. Как известно, российские АСУ ТП, однажды пройдя процедуру ввода в эксплуатацию, «опечатываются», и работают без обновлений многие годы. Строгие регламенты и нормативные акты не позволяют вносить в уже сертифицированную систему какие-либо изменения, даже в виде обновления операционной системы. Между тем, когда происходила приемка системы, проверка встроенных свойств безопасности, скорее всего, не проводилась. Да и само понятие безопасности, как правило, до сих пор сводится к ограничению доступа пользователя по паролю, который, опять же, нередко хранится в открытом виде в базе данных самого приложения.
Вычислительное оборудование АСУ ТП тоже, как правило, вводится в эксплуатацию с уже устаревшими прошивками (внутренним исполняемым микрокодом). Однако на сайте производителя всегда доступна свежая прошивка, в которой ряд известных проблем с информационной безопасностью уже закрыт, но их наличие никто не проверяет даже на этапе развертывания системы – просто потому, что с администраторов этого никто не требует.
С другой стороны, автоматизацией технологических процессов обычно занимаются не сами предприятия-операторы, а сторонние фирмы-подрядчики. Они, в свою очередь, заинтересованы в реализации именно функциональной составляющей, не придавая особого значения информационной безопасности, поскольку ее реализация довольно трудозатратное занятие. Таким образом, предприятие получает только ту степень защиты от киберугроз, которая требуется действующим законодательством, ни о каких специальных настройках и проверках речь не идет. В конце концов, использующееся ПО «падает» или поддается несанкционированному управлению без особых проблем. Помимо этого, существуют трудности с обнаружением киберугроз из-за отсутствия сетевого мониторинга, а также с необходимостью привлечения сторонних экспертов, в то время как предприятия не горят желанием сообщать об инцидентах. Наконец, проще переустановить, чем разбираться.
Защита возможна
Надежную защиту АСУ ТП можно обеспечить только при сотрудничестве государства, самих предприятий, проектных, научных организаций и производителей решений информационной безопасности. Необходимо выработать методологии и практики для построения защищенной инфраструктуры критически важных объектов, прийти к соглашению по единым критериям защищенности промышленной инфраструктуры, которые должны оперативно дорабатываться и адаптироваться под изменения ландшафта угроз, разработать методы стимулирования и юридической поддержки тех предприятий, которые уже применяют эффективные меры защиты, а также в обязательном порядке проводить образовательные программы для работников и управляющих АСУ ТП.
Государству также необходимо предпринимать и другие меры, например, организовывать регулярные кибертеррористические тренировки, разработать и внедрить единую политику в области обеспечения и контроля поставок оборудования и ПО для АСУ ТП, создать единые стандарты по приемке и сертификации АСУ ТП при вводе их в эксплуатацию, которые включали бы критерии информационной безопасности.
Сегодня в России нет организаций, которые занимались бы мониторингом ситуации с безопасностью АСУ ТП системно, это вне компетенции любого из существующих госорганов. Именно поэтому «Лаборатория Касперского» видит необходимость в создании Национальной российской тестовой лаборатории по исследованию проблем информационной безопасности критически важных объектов. Такой единый центр мог бы на федеральном уровне исследовать как уже известные, так и перспективные подходы по организации защиты АСУ ТП, своевременно обнаруживать проблемы информационной безопасности в используемых программных и аппаратных средствах, вырабатывать рекомендации по их устранению, информировать соответствующие предприятия, рекомендовать к использованию протестированные программно-аппаратные средства, обладающие высокими показателями устойчивости к кибератаке, и т.д.
Наряду с этим для защиты IT-инфраструктур промышленных объектов нужны и принципиально новые методы и продукты. Многие производители решений информационной безопасности сейчас пытаются внедрять свои обычные, «офисные» продукты в АСУ ТП, однако это неверный подход. В промышленных системах есть своя специфика, и нужны продукты, ее учитывающие. Именно поэтому «Лаборатория Касперского» сейчас работает над созданием ряда специальных решений, предназначенных для защиты АСУ ТП от самых разных киберугроз.