Статья

«Лаборатория Касперского»: Любая атака на КВО чревата ущербом, вплоть до катастроф и потери множества человеческих жизней

B2BSecurity

Автоматизированные системы управления технологическими процессами критически важных объектов (КВО) находятся под угрозой как обычных вирусов, так и целенаправленных атак. Соответственно, защита их ИТ-инфраструктуры – это первоочередная задача для специалистов. Прокомментировал риски, уязвимости и средства защиты Андрей Духвалов, стратег по развитию технологий «Лаборатории Касперского».

CNews: Какие вы можете выделить критерии защищенности ИТ-инфраструктуры критически важных объектов?

Андрей Духвалов: Основным критерием защищенности ИТ на КВО, на наш взгляд, является их способность к поддержанию стабильного, непрерывного и корректно работающего технологического процесса независимо от поступающих внешних воздействий. Именно технологический процесс (выработка и передача электричества, очистка воды, управление городскими коммунальными службами и т.д.) является основной функциональностью таких объектов, поддержание его корректного функционирования и есть ключевая задача ИТ-систем.

Следует отметить, что в реальной жизни существует масса факторов, из-за которых такие системы могут выйти из строя, и далеко не всегда речь идет о вредоносном ПО. Поэтому к критериям защищенности нужно отнести не только защиту от внешних атак, но и инструменты предупреждения и предотвращения некорректных или ошибочных действий со стороны собственных операторов. Еще одним источником сбоев являются ошибки в ПО АСУ ТП, не обнаруженные на этапе тестирования, – защищенная инфраструктура не должна допускать сбоев технологических систем из-за ошибок в ПО.

И, наконец, специфика АСУ ТП КВО такова, что они находятся под угрозой не только проникновения самых обычных «офисных» вирусов, но и являются объектом таргетироварованных (то есть направленных, целевых) атак со стороны кибер-террористов. ИТ-инфраструктура КВО должна иметь защиту не только от распространенных вредоносных программ, но и предусматривать специальные средства и политики безопасности для противодействия целевым атакам.

CNews: Какие вы можете назвать известные ИБ-риски, специфичные для КВО? Расставьте их, пожалуйста, по величине возможного ущерба.

Андрей Духвалов: Главный и принципиальный риск заключается в том, что любая успешная атака на КВО чревата реальным ущербом, вплоть до катастроф и потери множества человеческих жизней. Нам бы не хотелось в явном виде указывать риски ИБ КВО, чтобы не провоцировать злоумышленников и давать им подсказок, поэтому ограничимся обобщенными формулировками.

Среди рисков ИБ, специфичных для КВО, можно назвать следующие. Во-первых, риски повышает использование в АСУ ТП устаревшего программного обеспечения, оборудования и коммуникационных протоколов, изначально не предполагавших даже самой возможности киберугроз. Во-вторых, это административные и технологические трудности для обновления ПО. В-третьих, серьезный риск ИБ вызывает подключение изолированной сети АСУ ТП к общей сети предприятия или даже к интернету. В-четвертых, это доступ сторонних компаний к технологической сети. Также надо выделить угрозой для ИБ на КВО недостаток таких необходимых процедур как аудит, тестирование на проникновение, сканирование уязвимостей, тренинг персонала и т.д.

CNews: Какие компоненты ИТ-инфраструктур КВО являются наиболее уязвимыми и требуют первоочередного внимания?

Андрей Духвалов: В первую очередь – автоматизированные системы управления технологическими процессами, АСУ ТП. Также это программное обеспечение, в особенности – ОС, использующиеся для работы и администрирования технологической сети. И, наконец, сама логика построения технологической сети, вопросы ее интеграции с корпоративной сетью и вопрос разработки/внедрения современных политик информационной безопасности.

Если говорить о компонентах АСУ ТП, то наиболее уязвимыми элементами в них на текущий момент являются PLC-контроллеры, а также SCADA-системы. Типовыми угрозами безопасности контроллеров являются жестко запрограммированные логин и пароль администратора, обычно закладываемые производителем в целях удобства последующего обслуживания и поддержки, а также подверженность PLC-контроллеров сетевым атакам вроде DoS/DDoS.

Андрей Духвалов: в унаследованной промышленной инфраструктуре в России защиту затрудняют как архитектурные, так и организационные и технологические факторы

Что касается SCADA, то здесь простор для злоумышленников: как и обычные Windows-приложения, они подвержены всем тем же уязвимостям. Наиболее часто встречаются здесь классические Buffer overflow и все тот же DoS, затем следуют unauthorized code execution, XSS, SQL Injection.

На текущий момент только в открытых источниках указано около 650 уязвимостей в SCADA-системах, и эта цифра продолжает неуклонно расти. На практике это означает, что в условиях специфики АСУ ТП злоумышленник без труда может нарушить работоспособность практически любой SCADA-системы.

CNews: Какие факторы (архитектурные, технологические, организационные или иные) затрудняют защиту ИТ-инфраструктур КВО?

Андрей Духвалов: К сожалению, в унаследованной промышленной инфраструктуре в России защиту затрудняют как архитектурные, так и организационные и технологические факторы. Свое влияние оказывает даже сложная бюрократическая процедура внесения изменений в работу технологических узлов. Сейчас на пути создания действительно защищенного КВО стоит комплекс вопросов, требующих такого же комплексного подхода.

Так, например, российские АСУ ТП, однажды пройдя процедуру ввода в эксплуатацию, «опечатываются», и работают без обновлений многие годы. Строгие регламенты и нормативные акты предприятия не позволяют вносить в уже сертифицированную систему какие-либо изменения даже в виде обновления операционной системы. А при приемке систем в программной методике испытаний для них часто отсутствует проверка встроенных свойств безопасности. Да и сама безопасность сводится к ограничению доступа пользователя по паролю, который нередко хранится в открытом виде в БД самого приложения.

Если говорить об используемом в АСУ ТП вычислительном оборудовании, то, как правило, оно даже вводится в эксплуатацию с уже устаревшим внутренним исполняемым микрокодом. В то время как на сайте производителя находится свежая прошивка, в которой уже может быть закрыт ряд известных проблем с ИБ, их наличие никто не проверяет даже на этапе развертывания системы просто потому, что этого никто не требует.

Как правило, автоматизацией технологических процессов КВО занимаются не сами предприятия, а сторонние фирмы-подрядчики. Они заинтересованы в реализации именно функциональной составляющей, тогда как грамотная реализация функций ИБ для них – только затраты. Вот и получается, что подрядчики реализуют ту ИБ, что требует от них заказчик, а тот, в свою очередь, ссылается на требования действующего законодательства, «чтобы проблем не было». Соответственно, ни о какой проверке разрабатываемого ПО методами фаззинга и пентестинга не идет и речи. В итоге оно может упасть или поддаться несанкционированному управлению без особых проблем, хотя, казалось бы, должно работать надежнее швейцарских часов.

CNews: Нужны ли для защиты ИТ-инфраструктур КВО принципиально новые ИБ-методы и ИБ-продукты? Какие?

Андрей Духвалов: Разумеется, нужны. Многие участники рынка ИБ сейчас пытаются внедрять свои обычные, «офисные» продукты в АСУ ТП, однако это неверный подход. В АСУ ТП своя специфика, и нужны продукты, ее учитывающие, в которых нет ничего лишнего, построенные на принципах Default Deny. Со своей стороны «Лаборатория Касперского» сейчас готовит ряд специфичных для АСУ ТП продуктов.

Что касается разработки новых методологий защиты АСУ ТП, то это тоже очень важно. Сейчас не существует единой, простой и понятной методологии, которая бы показала специалисту по ИБ необходимые для обеспечения достаточного уровня защищенности своей АСУ ТП шаги.

CNews: Готова ли ИБ-индустрия, в первую очередь отечественная, сегодня обеспечить защиту ИТ-инфраструктур КВО? Как вы оцениваете состояние российской регулятивной базы, относящейся к области ИБ КВО?

Андрей Духвалов: Вопрос ИБ КВО в РФ давно назрел, и его следует решать комплексно. Так, сейчас разрабатывается соответствующий законопроект, что является необходимым шагом. Но в условиях 21 века такого рода закона будет недостаточно – регулирование в области ИТ сегодня лишь реактивно. Помимо законодательной базы должны быть выработаны методологии и практики для построения защищенной инфраструктуры КВО; выработаны единые критерии защищенности инфраструктуры, которые могут быть оперативно доработаны и адаптированы под изменения ландшафта угроз; разработаны методы стимулирования и юридической поддержки КВО; также должны проводиться образовательные программы для работников и управляющих КВО.

Реальную защиту способно обеспечить только сотрудничество государства, КВО и участников рынка. Необходимы совместные инвестиции рыночных игроков в развитие средств защиты КВО.

Государству необходимо предпринимать также и другие меры, например, организовывать регулярные кибер-террористические тренировки, разрабатывать и внедрять единую политику обеспечения и контроля цепочек поставок (supply chains) оборудования и ПО для КВО, создавать единые стандарты по приемке и сертификации АСУ при вводе их в эксплуатацию на КВО по целому ряду критериев (включая ИБ).

Сегодня в России никто не занимается исследованиями безопасности АСУ ТП системно, это вне компетенции любого из существующих государственных органов. В том числе именно поэтому «Лаборатория Касперского» видит необходимость в создании Национальной Российской тестовой лаборатории по исследованию проблем информационной безопасности КВО. Такой единый центр мог бы на федеральном уровне исследовать как уже известные, так и перспективные подходы по организации ИБ в АСУ ТП, своевременно обнаруживать проблемы ИБ в используемых программных и аппаратных средствах, вырабатывать рекомендации по их устранению, информировать соответствующие предприятия, рекомендовать к использованию на КВО протестированные программно-аппаратные средства, обладающие высокими показателями устойчивости к кибератаке, проводить федеральные «учения», и т.д.

Следует подчеркнуть, что необходимо сочетание контроля обязательных требований и стимулирование дополнительных, добровольных усилий КВО по улучшению защиты, обмену информацией об угрозах и средствах защиты.