В последнее время угрозы вмешательства в функционирование автоматизированных систем, в том числе на объектах транспорта, городского хозяйства, жизнеобеспечения, энергетики, воплотились в реальность. Соответственно назрела и даже перезрела проблема защиты таких систем.

После атаки на ядерные объекты Ирана, важным элементом которой стало использование вируса Stuxnet, мир осознал необходимость защиты критически важных объектов. Само появление этого вируса раскрыло целый клубок застарелых проблем, которыми долгое время никто не занимался. Впоследствии атак становилось все больше, и замалчивать их было уже очень сложно. Так, по некоторым данным, большая часть энергоаварий в США связана с кибератаками на генерирующие и сетевые компании.

Проблема эта актуальна еще и потому, что атаки на критически важные объекты могут быть частью межгосударственной или корпоративной кибервойны. Подобную тактику вполне могут проводить и террористические группировки, и организованная преступность. Эффект от атаки может быть сравним с последствиями мощного взрыва, авиаударом или артобстрелом, но материальные затраты здесь будут на порядки ниже. К тому же кибератаку можно инициировать с территории другого государства, что осложняет работу правоохранительных органов и спецслужб. А необходимые знания для ее осуществления можно получить довольно быстро, не отходя от компьютера.

Борьбе с атаками на жизненно важные объекты серьезно мешает и тот факт, что ИТ и АСУТП являются своего рода параллельными вселенными. Например, АСУТП для традиционных ИТ-специалистов — это Terra Incognita. Да и подготовка специалиста по АСУТП требует больше специальных знаний, чем нужно для подготовки ИТ-персонала. Помимо этого на предприятиях за ИТ и АСУТП отвечают разные подразделения, причем отношения между ними традиционно скверные, а то и открыто враждебные.

С одной стороны, данная ситуация осложняет и проведение атак, поскольку необходимо собрать группу, куда войдут не только хакеры, но и специалисты по АСУТП. Но с другой стороны, невысокую частоту атак злоумышленники могут компенсировать их масштабом или выбором в качестве объекта чувствительной либо высококритичной системы, что позволит нанести больший ущерб.

Как это работает

Типовой управляющий комплекс состоит из трех уровней: диспетчерской системы (SCADA в английской аббревиатуре), программируемых логических контроллеров и «полевого» уровня, который представлен, как правило, сложной системой из датчиков, собирающих информацию с объектов, и исполнительных устройств (задвижек, насосов, приводов), служащих для непосредственного управления операциями производственных и технологических процессов. Команды передаются через промышленные сети, сети связи, сети оперативно-технологического и диспетчерского управления.

Непосредственное участие человека (например, оператора) необходимо на верхнем уровне SCADA-системы. Сама SCADA является специализированной прикладной программой, установленной на ПК с массовой ОС, обычно Microsoft Windows, и называется АРМ (автоматизированное рабочее место). При этом АРМ, на которые устанавливается такая система, может быть отключено от внешней сети Интернет и не иметь в пакете установленных антивирусных средств. Нередки случаи, когда в качестве базовых используются устаревшие ОС (Windows XP, Windows 2000), поддержку которых Microsoft уже прекратила.

Диспетчерские системы слабо защищены от внутреннего нарушителя, и этим часто пользуются действующие или бывшие сотрудники компаний, вошедшие в конфликтные отношения с работодателем и стремящиеся нанести предприятию вред из мести либо скрытно действуя в пользу конкурентов. Сотрудник может стать внутренним нарушителем и без явного злого умысла. Наконец, оператора могут принудить к каким-то действиям с помощью социальной инженерии или шантажа. Как правило, всё сводится к тому, что сотрудника вынуждают активизировать вредоносную программу или код через открытие специальной ссылки. Падение качества подготовки специалистов — также объективная реальность. Низкая квалификация персонала, обслуживающего АСУТП предприятий, может порождать и непреднамеренные ошибки. Поэтому отсутствие злого умысла не является гарантией от пользовательских ошибок и их последствий.

На средних уровнях АСУТП повсеместно применяются программируемые логические контроллеры (ПЛК) — те же компьютеры, пусть и специализированные, далеко не всегда реализованные на базе стандартной архитектуры x86 и нередко работающие под управлением так называемых систем реального времени, без участия человека, где скорость реакции на то или иное событие должно быть как минимум предсказуемой. И это вполне оправданно, поскольку контроллер реагирует на различные события не просто в разы, а на порядки быстрее оператора. Защитой таких контроллеров до недавнего времени и вовсе не занимались, хотя они, как и ПК, уязвимы и их тоже можно заразить вредоносным ПО. Зловредное воздействие может быть направлено как с уровня SCADA, так и с нижних уровней технологической сети. В результате такого воздействия можно, например, перепрограммировать контроллер, чем, кстати, упомянутый выше Stuxnet и занимался. Так что для защиты контроллеров необходимо не только следить за тем, чтобы в их ПО не проникали зловреды, но и за тем, чтобы их поведение не отличалось от некоего паттерна.

И SCADA-системы, и ПО контроллеров, как и любое другое, содержат различные уязвимости. Это ни для кого не секрет, и об этом многие знают, включая хакерское сообщество. А чтобы узнать, какие системы используются на том или ином объекте, достаточно увидеть фотографии их сотрудников в любой социальной сети на рабочем месте, где отображены ключевые признаки систем (интерфейсы, оборудование и т. п.). Здесь атакующий может получить вполне исчерпывающую информацию. Всё это открывает большие возможности для того, чтобы вмешаться в технологический процесс или в систему управления в деструктивных целях. И примеров тому уже немало. Причем совсем не обязательно обладать высокой квалификацией. Скажем, вирус Shamoon, который использовался сирийскими кибернаемниками для атаки на крупнейшую нефтедобывающую компанию Саудовской Аравии, был написан, что называется, на коленке, но это не помешало ему нанести весьма серьезный ущерб и прервать добычу нефти как минимум на неделю.

Вместе с тем стоит иметь в виду, что уровень типизации при построении комплексов АСУТП намного ниже, чем у систем для автоматизации бизнес-процессов. Прежде всего вследствие того, что используются разные датчики и исполнительные устройства, управление которыми имеет свои особенности не просто для разных отраслевых решений, но и на разных предприятиях одной отрасли.

Стоит также отметить, что многие зарубежные производители оборудования осуществляют дистанционный контроль режимов эксплуатации своих изделий через скрытый канал мониторинга, например, через встроенные модемы. По сути такой дистанционный доступ к управлению может быть использован не только для обеспечения сервисных услуг, но и для иных целей.

Технологическая сеть как большая прореха

Отдельного разговора заслуживают и многие вопросы информационной безопасности технологических сетей. С этим тоже не всё в порядке. От коллег, занимающихся вопросами защиты промышленных объектов, приходилось слышать рассказы о том, как технологические сети использовались сотрудниками для компьютерных игр или как операторы диспетчерских систем подключали компьютеры АРМов к Интернету с помощью мобильных телефонов либо модемов. Таким образом требование, которое прямо запрещает подключать технологическую сеть к публичному Интернету, нарушалось. Подобные инциденты выявляются в том числе и в результате аудитов информационной безопасности АСУТП.

Чрезвычайно распространена практика, когда администраторы сетей устанавливают средства дистанционного управления для «комфорта», чтобы иметь возможность удаленного доступа, например, из дома. Считается также, что данный метод оптимизирует нагрузку персонала, позволяя сокращать его состав. К сожалению, при этом зачастую игнорируются требования информационной безопасности, применяются заведомо уязвимые средства. А злоумышленники информацию о таких подключениях добывают очень быстро и могут использовать её в своих целях.

Все большее распространение получают беспроводные технологические сети. В том числе, например, для сбора информации с «умных» счетчиков. И здесь также не выполняются требования информационной безопасности. Типичной является ситуация, когда используются слабые алгоритмы шифрования или не меняются заводские пароли. В результате атака на такой объект становится возможной. И тому есть примеры. В 2011 году в Болгарии была совершена атака, объектом которой стали «умные» электросчетчики. В итоге их обладатели получили многократно завышенные счета за электроэнергию, что привело к гражданским беспорядкам. Есть пример и в России, когда на одной из центральных улиц Москвы уличный экран начал демонстрировать видео непристойного содержания. Эту трансляцию провел злоумышленник, причём не слишком высокой квалификации и к тому же находившийся в состоянии сильного опьянения. И опять же он проник в незащищенную беспроводную сеть.

Необходимо помнить, что пренебрежение требованиями защиты информации в сетях информационно-технологического обмена данными существенно облегчает работу злоумышленников, которым для осуществления атаки даже не нужно прибегать к такой сложной процедуре, как врезка в каналы телемеханики. Такие каналы тоже не всегда защищают должным образом. В частности, при одной из демонстраций специалистам по безопасности удалось отключить подсветку взлетной полосы аэропорта, как раз подключившись к технологической сети через незащищенный технологический шкаф. Таким же способом была атакована система видеонаблюдения в туннеле Кармель в Израиле осенью 2013 года. В результате этой атаки движение в туннеле было прервано и образовалась огромная пробка.

Отдельное окно возможностей для нарушителей открыто там, где не обеспечивается должный уровень физической защиты доступа к интеллектуальным инженерным системам здания. В этом случае злоумышленнику будет достаточно смартфона, чтобы проникнуть в систему управления инженерными коммуникациями или охранными системами. Нарушители могут, например, отключить системы видеонаблюдения либо датчики движения в квартире (или в офисе, не суть важно), которую собираются обокрасть.

Таким образом, наше информационное общество безотлагательно должно повышать культуру собственной безопасности.

***

Серьезную помощь в этом оказывают государственные регуляторы. Например, ФСТЭК России 14 марта 2014 года издал приказ № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Разработано множество методик по реализации различных мер защиты информации в автоматизированных системах управления. В стадии активной подготовки находится и соответствующий федеральный закон. Созданы банки данных, касающиеся уязвимостей и угроз безопасности. Многие владельцы ключевой информационной инфраструктуры готовы вкладывать значительные денежные средства в повышение защищенности своих объектов от киберугроз. Общий вектор изменений можно назвать положительным. Надеюсь, что они окажутся системными и долгосрочными. А задача эта вполне решаемая.