В 2010 году состоялась одна из самых интересных и неоднозначных хакерских атак. Она связана с иранской ядерной программой.
Вирус Stuxnet заразил 1368 центрифуг для обогащения урана (из 5000 тысяч), а также помешал запуску АЭС в Бушере. Расследование показало, что вирус попал в систему через флешку одного из сотрудников, поскольку сама рабочая станция была отключена от интернета по соображениям безопасности.
Не будем рассматривать политический аспект этой истории. Важно, что компьютерный вирус смог нанести физический вред. И часть — это атаки стали автоматизированные системы управления технологическим процессом (АСУ ТП).
По данным Kaspersky ICS CERT атакам подвергается около 40% АСУ ТП нефтегазовой отрасли. Основными языками, на которых пишут вирусы стали Python и PowerShell. Positive Tecnologies приводит другие интересные данные: более 60% уязвимостей АСУ ТП можно назвать критически высокими. При этом 82% предприятий не защищены от действий собственных сотрудников.
Под угрозой находится любое производство, в котором задействованы различные датчики, контроллеры и люди.
Предприятие выиграло конкурс на поставку 5000 керамических деталей. Каждый процесс контролируется датчиками и технологами, вся информация от оборудования автоматически журналируется.
И вот на финальном этапе, после обработки в печи, выясняется, что партия бракованная. Допустим её передержали в печи или наоборот не догрели. Значит надо заново начинать процесс с подготовки керамического теста до формовки и так далее. Но и новая партия выходит с браком.
Что произошло? Злоумышленники просто подключились к печи и установили неправильную температуру. А на пульт технологам отдавали поддельные, якобы правильные, показания.
Пример с керамикой щадящий. Но если будет нарушен технологический процесс, то остановится не только производство. Огромное количество сырья будет испорчено, а оборудование может быть сломано. Последнее особенно губительно для металлургического производства. Подобный инцидент произошел в Германии, когда остановилась и была уничтожена домна.
Подобные атаки чаще всего диверсии конкурентов. И цель их проста — нанести существенные убытки или сорвать производство. Иногда же это халатность работников.
Атаки на промышленные сети и устройства фиксируют уже много лет и к, счастью, пока они не принесли серьёзных потерь и человеческих жертв.
Их не так много, но каждый виде губителен.
На это есть как минимум три причины.
Есть ещё один фактор, который учитывают очень редко — человек. Работник может подключить управляющий компьютер к интернету, вставить флешку с фильмом или сериалом, поставить игры. Сотрудники лаборатории Касперского рассказали, как на одном предприятии сотрудники разных цехов устраивали сетевые кибербаталии.
Разумеется, в этом случае вся сеть предприятия оказывается под угрозой.
Защита — это обязанность
О том, что атаки на АСУ ТП могут иметь серьёзные последствия, говорит хотя бы тот факт, что в России несколько законов и постановлений, посвящённых защите промышленных сетей и датчиков.
Один из главных — Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Согласно этому закону есть три категории значимости объектов критической информационной инфраструктуры (КИИ) - первая, вторая и третья. Все КИИ предприятия должны быть внесены в реестр, обо всех инцидентах необходимо уведомлять органы исполнительно власти.
Таким образом, защита АСУ ТП - обязанность предприятия. А несоблюдение подпадает под статью 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Соблюдение 187-ФЗ обязательно для следующих сфер:
Все перечисленные компании должны быть подключены к ГосСОПКА - Государственной системе обнаружения, предупреждения и ликвидации компьютерных атак. Это единый центр, который собирает информацию о кибератаках от компаний, имеющих КИИ. ГоССОПКА нужна для полной и превентивной защиты промышленности страны от кибератак.
Федеральный закон от 21.07.11 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
Руководящий документ «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
Руководящий документ «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
Руководящий документ «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
Руководящий документ «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007)
Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации (утв. ФСТЭК России 18.11.2008 246-дсп)
Положение о Реестре ключевых систем информационной инфраструктуры (утв. приказом ФСТЭК России 04.03.2009 года № 74)
Практически любая АСУ ТП имеет свою защиту. Однако недостаточно просто включить её. На рынке АСУ ТП не так много устройств и, если в каком-либо контроллере хакеры найдут уязвимость, они смогут использовать её на предприятиях, где установлено такое же оборудование. Так же нужно учитывать, что злоумышленники могут обойти и эту защиту. Именно поэтому нужна дополнительная «броня».
Продукты для защиты АСУ ТП поставляет несколько компаний. Все они имеют сертификацию ФСТЭК и многолетний опыт работы с промышленными предприятиями.
Линейка продуктов довольно большая:
KICS FOR NETWORKS |
Модуль для контроля промышленной сети. Пассивно подключается к сети АСУ ТП. Возможности:
|
KICS FOR NODES |
Решение для зашиты АРМ (на базе Windows и Linux) в рабочей сети. Преимущества
|
KASPERSKY SECURITY CENTER |
ПО для управления безопасностью из одного приложения Преимущества
|
Дополнительно можно провести анализ защищённости сетей и провести обучение сотрудников.
Продукты «Лаборатории Касперского» обеспечивают комплексную защиту промышленного оборудования и сетей.
Но прежде, чем воспользоваться их ПО, стоит проверить список совместимого оборудования.
Программно-аппаратный комплекс для анализа технологического трафика. Он не только предотвращает атаки, но и позволяет расследовать инциденты, обнаруживать нетипичные, в том числе опасные действия персонала.
Один из элементов системы — PT ISIM netView Sensor. Это устройство высотой 1 или 2U, которое подключается к промышленной сети и не требует специальных настроек. После подключения она за несколько часов проведет сбор данных о ресурсах сети, построит её карту и выявит недостатки, над которыми надо будет работать в дальнейшем. Система знает более 4000 правил обнаружения угроз и в дальнейшем её можно дополнительно обучить с учетом специфики предприятия.
Возможности:
Программно-аппаратный комплекс | Установка стоечного оборудования PT ISIM на стороне клиента. |
Работа через диод данных | PT ISIM анализирует копию трафика, который получает от зеркалированного порта сетевого коммутатора или диод данных. |
Сценарий с минимальными затратами | Решение под будущее масштабрование или небольших предприятий. На каждой площадке специалисты ставят минимальный набор оборудования, а мониторингом занимаются сотрудники заказчика. Не требует глубокого анализа сети. |
Максимальная эффективность | На первом этапе проводится глубокий анализ сети, затем устройства защиты проходят дополнительную настройку. Затем создается ситуационный центр для обработки инцидентов. |
Распределенная инфраструктура со слабнагржуенными сегментами | Используется несколько видов устройств. Для слабангруженных или удаленных систем - PT ISIM Sensor. В более сложных инфраструктурах - серверы PT ISIM View Point. Для обработки событий используется SIEM-система. |
В первую очередь нужно провести инвентаризацию оборудования, сети и решить какой именно продукт или подход больше подойдет вашей компании.
Затем поставка, установка и обучение сотрудников. Параллельно мы проведем тестирование всех систем и при необходимости внесем изменения.
Сроки внедрения зависят от выбранного продукта и размера предприятия.
Напишите одному из наших менеджеров, и мы создадим комплексную систему безопасности для ваших АСУ ТП и другого оборудования.