Назад до списку статей
Ярушевський Дмитро, CISA, CISM,
керівник відділу кібербезпеки АСУ ТП
АТ «ДиалогНаука»
Актуальність питань кібербезпеки автоматизованих систем критично важливих об'єктів взагалі і об'єктів електроенергетики зокрема, з кожним роком зростає. За даними ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) [1] за 2015 року було зареєстровано 295 інцидентів кібербезпеки на об'єктах критичної інфраструктури США. Причому, друге місце - 46 інцидентів, займає сектор енергетики. Подібна агрегована інформація по інцидентах на об'єктах критичної інфраструктури Росії поки, на жаль, відсутня. По крайней мере, в відкритому доступі.
Про те, що вже було
Проте, самі «гучні» події не залишаються непоміченими. Менш ніж за рік в енергетичній галузі відбулося кілька дійсно значимих і помітних інцидентів, пов'язаних з кібератаками. По-перше, не можна не згадати про атаки на Українську енергомережу з використанням шкідливого ПО BlackEnergy. Нагадую: в грудні 2015 здійснився ряд успішних атак, в ході яких імовірно були змінені конфігурації RTU (програмно-апаратні пристрої середнього рівня АСУ ТП, є, по суті, сполучною ланкою між нижнім і верхнім рівнями АСУ ТП), знищена інформація на АРМ (автоматизованих робочих місцях) диспетчерського персоналу, DDoS-атакам (атакам, спрямованим на відмову в обслуговуванні) зазнали call-центри електромережних компаній. [2] Як це часто буває, результати розслідування кібератак, за якими послідувало відключення напруги на семи 110 кВ і двадцяти трьох 35 кВ підстанціях і відключення енергопостачання в 5 регіонах країни на 6 годин, ставилися під сумнів і викликали безліч припущень і припущень. Однак, залишивши осторонь геополітичні міркування і версії про зловмисників, звернемо увагу на наступне: атаки BlackEnergy на енергомережу України були зареєстровані ще в 2014 р і в вересні того ж року, про можливі атаки на енергомережу попереджали, як мінімум, експерти компанії Eset [ 3]. Рік по тому інцидент стався за участю того ж BlackEnergy.
Малюнок 1. Інформаційне повідомлення «Київобленерго» про хакерські атаки
(Джерело: https://blogs.sans.org/industrial-control-systems/files/2016/01/Screen-Shot-2016-01-06-at-10.12.55-PM.png)
натисніть, щоб збільшити малюнок
Взагалі, якщо говорити про кібербезпеки в контексті захисту АСУ ТП, «попереджений» ще зовсім не означає, що «озброєний». Можуть пройти місяці (і навіть роки) між тим, як офіцер кібербезпеки (назвемо так відповідального за ІБ АСУ ТП співробітника) дізнається про нові вразливості, можливі методи атаки і «захисних» патчах для програмного забезпечення АСУ ТП і тим, як ці патчі дійсно будуть встановлені. Адже установка оновлень на технічні засоби, що працюють в режимі 24/7, пов'язана з простоями і ризиками збоїв після оновлень, неприпустимими на більшості технологічних об'єктів.
Втім, і в «корпоративної частини» таких об'єктів не все гладко з оновленнями. Наприклад, в квітні 2016 «офісної» мережі німецької атомної електростанції Gundremmingen було виявлено численне шкідливе програмне забезпечення, включаючи W32.Ramnit і Conficker [4,5]. Обидва ці шкідливих хробака відомі з 2008 р і блокуються практично будь-яким антивірусним програмному забезпеченням ... При його наявності і хоча б «щорічному» оновленні, звичайно.
Ці, та інші інциденти, що відбулися в недалекому минулому, добре демонструють вразливість об'єктів ПЕК не тільки перед цілеспрямованими атаками (як у випадках з енергосистемою України або ядерною програмою Ірану [6]), а й перед порушеннями в роботі, викликаними «випадковим» зараженням « звичайним »шкідливим програмним забезпеченням.
Про те, що є
Ще 4-5 років тому забезпечення кібербезпеки промислових об'єктів і об'єктів ПЕК було темою, цікавою вузькому колу фахівців. Зараз ситуація змінюється. За ці роки багато власників об'єктів провели аудити безпеки, які продемонстрували уразливості в інфраструктурі об'єктів, архітектурі систем і збудованих (або взагалі відсутніх) процесах кібербезпеки.
Ризиків і проблем кібербезпеки на об'єктах електроенергетики дуже багато. У тому числі і системного характеру, таких, що підійдуть до більшості сучасних промислових об'єктів і об'єктів ПЕК. Грунтуючись на результатах численних аудитів, можу виділити такі основні і найбільш поширені проблеми:
1. Недостатність (або відсутність) політик, процедур і процесів кібербезпеки
Найчастіше політики ІБ де факто (а іноді і де юре - я зустрічав приписку «крім технологічних систем» в організаційно-розпорядчої документації з питань ІБ) не поширюються на технологічні системи. Це призводить до того, що в технологічних середовищах не дотримуються навіть елементарні принципи безпеки.
2. Уразливості мережевий архітектури
На більшості технологічних об'єктів мережева архітектура будувалася, модернізувалася і розвивалася протягом десятиліть. Причому процес цей далеко не завжди враховував вимоги інформаційної безпеки та найчастіше проходив по принципам «швидше, доступніше, простіше і надійніше». Додайте до цього той факт, що ідеологи і керівники процесів розвитку мереж зв'язку змінювалися, привносячи свої розуміння цих принципів, а контролю з боку регуляторів і нормативної бази, як такого не було. І, звичайно ж, багато зміни в мережевій архітектурі документовані дуже бідно, або не задокументовані взагалі. З огляду на вищесказане, ретельний аудит часто призводить до несподіваних знахідок, на кшталт незахищеного віддаленого доступу до SCADA-серверів з дому відповідальних співробітників, або наявності неконтрольованих каналів зв'язку між мережами середнього рівня АСУ ТП із суміжними організаціями (наприклад, між двома високовольтними підстанціями, що належать різним організаціям) .
3. Уразливості процесів аутентифікації, авторизації та реєстрації подій
Процеси управління і розмежування доступу в технологічних сегментах часто керуються підрозділами, відповідальними за експлуатацію розташованих в цих сегментах систем. Тому звичними для фахівців з ІБ принципами і вимогами (обмеження і розмежувань повноважень, процедури зміни паролів, рольова модель доступу, реєстрація та облік дій користувачів і т.п.) часто нехтують. Причому, це ж нехтування правилами управління доступом іноді поширюється і на тимчасово надається підрядникам з зовнішніх організацій доступ до технологічних систем.
4. Відсутність засобів захисту від шкідливого програмного забезпечення
Причин для «нелюбові» експлуатують АСУ ТП підрозділів до антивірусного ПО більш ніж достатньо. Серед них і побоювання за можливі програмні конфлікти і збої, які може викликати несумісність з програмним забезпеченням АСУ ТП, і ризик хибнопозитивних спрацьовувань і побоювання за брак обчислювальних ресурсів апаратного забезпечення. Дійсно, багато систем об'єктів ПЕК не можуть похвалитися потужним і сучасним апаратним забезпеченням, а більшість антивірусного ПО, розробленого для корпоративних середовищ, досить вимогливо до ресурсів. Також дійсно існують ризики несумісності ПО і помилок першого роду (хибнопозитивних спрацьовувань антивірусного ПО на цілком легальні процеси і файли). Однак слід враховувати, що існує антивірусне програмне забезпечення, розроблене спеціально для застосування в технологічних середовищах і протестоване розробниками систем АСУ ТП, а акуратне і ретельне конфігурація кваліфікованими експертами, дозволяє звести ризики до мінімуму. У той же час, поширення по технологічної мережі «древніх» вірусів може призвести до куди більш неприємних наслідків.
5. Уразливості або недостатність контролю і захисту фізичного та логічного периметра
Якщо говорити про об'єкти паливно-енергетичного комплексу та, зокрема, електроенергетиці, то «размазанность» логічного периметра - часто зустрічається явище. Канали зв'язку з системним оператором (ОДУ, РДУ), із суміжними об'єктами інших організацій, з підрядниками та іншими зовнішніми системами часто не захищені. Для розподільних мереж характерно розташування об'єктів в «слабо контрольованої» зоні, наприклад, системи телемеханіки в приміщеннях РТП (розпорядчі трансформаторні підстанції) або комунікаційне обладнання, яке встановлюється в житлових будинках. Елементи системи управління зовнішнім міським освітленням часто розташовуються в загальнодоступних місцях у шафах, які навіть не завжди закриваються (див. Рис. 2). І хоча в шафі на наведеній фотографії немає коштів автоматизації, коротке замикання може влаштувати будь-який бажаючий. Практично кожна велика розподілена технологічна система має характерні уразливості, пов'язані з недостатнім забезпеченням безпеки периметра.
Малюнок 2. Відкритий шафа системи міського освітлення
(Фото автора)
Зрозуміло, це далеко не всі проблеми і уразливості. І головну з них я приберіг наостанок. Найголовніша проблема кібербезпеки - відсутність відповідальних за неї.
Як правило, на об'єктах зустрічаються два варіанти:
1. Відповідального за ІБ (або кібербезпека) в технологічних сегментах просто немає. «Зв'язківці» відповідають за те, щоб «зв'язок була», «асутпшнікі» - за те, щоб «АСУ ТП працювало», а ось хто відповідає за те, щоб «АСУ ТП не працювала на зловмисника» - з внутрішніх організаційно-розпорядчих документів , політик і організаційної структури і діючих де факто процесів, абсолютно не ясно.
2. Відповідальний за ІБ «як би» є. Але не володіє ні необхідними компетенцією і кваліфікацією, ні можливостями впливу на архітектуру, конфігурацію або порядок роботи систем зв'язку і АСУ ТП. У цьому випадку, на об'єкті можуть бути присутніми організаційні заходи кібербезпеки, яких дотримуються в технологічних сегментах досить формально. При цьому вимоги ІБ можуть не враховуватися ні при модернізації або створення нових систем, ні при їх експлуатації.
Обидва ці варіанти ведуть до того, що на об'єкті неможливо вибудувати процедури і процеси безпеки, розробити, впровадити і контролювати організаційні заходи захисту і навіть найдосконаліші технічні засоби захисту, впроваджені найбільш кваліфікованими підрядниками, будуть марні - нікому буде керувати ними, і не буде кому здійснювати розслідування та реагування на інциденти. Поки ця проблема не буде вирішена, поки не буде створено відповідальне за забезпечення кібербезпеки підрозділ, що має відповідною компетенцією і правами, ефективність інших заходів захисту завжди буде під великим питанням.
Про те, що, може бути, буде
У жовтні 2016, в рамках четвертої міжнародної конференції щодо захисту АСУ ТП «Час діяти разом», відбувся турнір з «Industrial CTF» - змагання з кібербезпеки, організовані «Лабораторією Касперського». У минулому році учасники мали спробувати свої сили у зломі цифровий підстанції (яка, до речі, була успішно зламана). Цього року «на розтерзання» був представлений «ціле місто» - були змодельовані та генерація електроенергії, і розподіл, і споживачі. Електропостачання «міста» теж було порушено, і не раз і різними методами, але мова не про це.
Середній вік учасників змагань ( «хакерів»), навскидку, не більше ніж 25 років. Досвіду роботи в електроенергетики і глибоких пізнань в АСУ ТП і РЗА у більшості команд (успішно зламали стенди) також немає [7]. Це демонструє, що досвіду тестувань на проникнення в корпоративних системах, знання «класичних» (чи не промислових) інформаційних і мережевих технологій та інформації з відкритих джерел, вистачає молодим фахівцям для здійснення успішних атак на об'єкти АСУ ТП. Що, в свою чергу, розвінчує древній міф про те, що «для злому АСУ ТП потрібні особливі знання, навички та допомогу спецслужб».
Малюнок 3. Фотографія з Industrial CTF.
Джерело: https://ics.kaspersky.ru/ru/conference-ru/
Популярність тематики кібербезпеки АСУ ТП і атак на промислові системи зростає і буде зростати з кожним роком (а на підході ще Internet of Things і «нова індустріальна революція», яку нам пророкують ЗМІ і вендори АСУ ТП). Це означає, що, крім зростання компетенції експертів, розвитку систем захисту і ускладнення атак, нас очікує зростання числа так званих "script-kiddies" в сфері атак на АСУ ТП - молодих, які не дуже вмілих, але досить активних зловмисників, які намагаються зламувати «все , що попадеться під руку »по готовим алгоритмами і схемами, часто просто заради розваги і не замислюючись про наслідки. Так, в більшості випадків, вони будуть використовувати добре відомі уразливості і детектіруемих шкідливе програмне забезпечення. Але, якщо згадати інциденти, описані вище, такі атаки все одно можуть стати проблемою для об'єктів електроенергетики.
З іншого боку - автоматизація об'єктів ПЕК і відкриваються їй нові горизонти для кібервійни є надто ласим шматочком для терористичних організацій і спецслужб недружніх країн, щоб їх ігнорувати. І так як ступінь автоматизації об'єктів ПЕК в подальшому буде тільки рости, ризики, пов'язані з кібератаками на ці об'єкти, також будуть зростати.
висновок
За останні кілька років ситуація в сфері кібербезпеки технологічних об'єктів і об'єктів ПЕК трохи змінилася. Власники багатьох об'єктів перейшли від стадії заперечення ( «наша АСУ ТП повністю ізольовані від зовнішнього світу», «Для злому АСУ ТП потрібні особливі, дуже глибокі і спеціалізовані знання і навички» і навіть «Наш об'єкт нікому не цікавий, нас нікому атакувати») до стадії торгу. На багатьох об'єктах вже проведено аудит безпеки та виявлено проблеми, але власники і зацікавлені сторони ще вирішують, як ці проблеми можна усунути з мінімальними втратами для бюджету і ризиків переривання технологічних процесів. Складно оцінити якийсь «загальний рівень захищеності об'єктів ПЕК Росії» і його зміни за кілька років, але очевидно, що процеси кібербезпеки запущені, і їх не зупинити, також, як і не зупинити процеси розвитку загроз.
джерела:
[1] NCCIC / ICS-CERT Year in Review FY 2015 року, US Department of Homeland Security. ( https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C.pdf )
[2] SANS-ICS, E-ISAC. TLP: White. Analysis of the Cyber Attack on the Ukrainian Power Grid. Defense Use Case ( https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf )
[3] Last-minute paper: Back in BlackEnergy діє до: 2014 targeted attacks in the Ukraine and Poland ( https://www.virusbulletin.com/conference/vb2014/abstracts/back-blackenergy-2014-targeted-attacks-ukraine-and-poland )
[4] Detektion von Büro-Schadsoftware an mehreren Rechnern 25.04.2016 ( http://www.kkw-gundremmingen.de/presse.php?id=571 )
[5] REUTERS: German nuclear plant infected with computer viruses, operator says ( http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS )
[6] Kim Zetter. Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon. Published November 11th 2014 by Crown.
[7] Команда Хакердом: Ми зламали цифрову підстанцію, нічого не знаючи про електроенергетику та обладнанні ( http://digitalsubstation.com/blog/2016/01/22/komanda-hakerdom-my-vzlomali-tsifrovuyu-podstantsiyu-nichego-ne-znaya-ob-elektroenergetike-i-oborudovanii/ )
PDF-версія статті "Кібербезпека об'єктів електроенергетики: про те, що було, є і буде" Php?