Атаки на АСУ ТП: как защитить промышленную инфраструктуру?

С развитием корпоративных сетей и систем у менеджмента появилась потребность получать и передавать данные между технологическими сетями и корпоративными. Грань между сетями все больше стиралась. На этом фоне для технологических сетей стали проявляться новые угрозы, которые раньше были характерны в основном для корпоративных сетей. Ситуация осложняется тем, что мероприятия по защите в технологической сети проводить гораздо сложнее. Связано это с тем, что технологические сети работают в режиме 24х7, и, например, обновлять ПО можно только во время технологических окон, когда оборудование останавливается для профилактики и обслуживания. По этой же причине сложно протестировать обновление на совместимость с имеющимся ПО и оборудованием. Строить копию технологической сети для тестирования достаточно дорого. А реалии таковы, что все мы видели, как некоторые обновления от крупных компаний приводили к сбоям и необходимости отката. В технологической сети такие инциденты приводят к простоям и убыткам. С другой стороны, наличие эксплуатируемых уязвимостей в технологическом оборудовании и прямой связи с корпоративной сетью, а через нее и с сетью Интернет, несет большие риски нарушения работоспособности технологического сегмента. Компрометация технологической сети ведет к убыткам и ущербу репутации. И самое страшное – такие инциденты могут привести к катастрофическим последствиям: авариям и гибели людей.

На сегодняшний день многие компании в области обеспечения ИБ обратили свои взоры на безопасность технологических сетей. Среди них можно отметить Positive Technologies, Digital Security и др. Специалисты данных компаний находят множественные уязвимости и показывают, как можно их использовать для компрометации систем. Все это интересно и познавательно, и не обращать внимания на эти угрозы – не самый лучший выход для компании. Государство в лице ФСТЭК также активизируется и выпускает различные документы по безопасности технологических сетей. В частности, вышел приказ № 31 от 14.03.2014, зарегистрированный 30.06.2014: "Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах". Данный документ определяет основные подходы к обеспечению безопасности технологических сетей.

В этой статье будут рассмотрены только вопросы сетевого взаимодействия. Совместная работа технологической и корпоративной сети играет все большую роль в бизнесе, и обеспечение безопасности такого взаимодействия является одной из основных задач. Основными направлениями в обеспечении межсетевой безопасности можно выделить:

• безопасность архитектуры;
• безопасность сетевого взаимодействия;
• стандартизация проектных решений;
• мониторинг и контроль;
• обучение персонала.

Основные проблемы безопасности, возникающие в технологических сетях

На раннем этапе технологическая и корпоративная сеть были полностью разделены и никак между собой не взаимодействовали. Попасть в технологическую сеть можно было, только находясь непосредственно на объекте. Тем не менее, инциденты все равно возникали. Например, остановка конвейера ВАЗ в 1983 г. и история так называемого "первого хакера СССР". В то время один из программистов завода обнаружил, что обновления ПО устанавливаются без проверок. После экспериментального подтверждения этого факта программист решил, что на этом можно заработать. Внеся в код целенаправленную закладку, он запланировал сбой конвейера. Далее он планировал героически решить проблему и получить за это премию. План предусматривал и создание алиби для злоумышленника. Закладка запускалась в день выхода программиста из отпуска. Но что–то пошло не так, и активация закладки произошла на два дня раньше. В результате конвейер по разным данным не работал от трех часов до трех дней. Закладку в коде в результате нашли и исправили. А злодей пришел с повинной. В ходе расследования выяснилось, что "первый хакер" оказался лишь первым пойманным. Многие годы программисты завода вносили мелкие ошибки в код, которые приводили к сбоям. Сбои устраняли, исправляли код и регулярно получали за это премии. Беда "первого хакера" оказалась в жадности. Хотелось заработать сразу и много.

В дальнейшем с развитием корпоративных сетей у менеджмента возникла потребность в получении информации из технологических сетей. Началось межсетевое взаимодействие, на первом этапе в одностороннем порядке. Информация передавалась из технологической сети в корпоративную. Это было ново, интересно и полезно для бизнеса. Но аппетит приходит во время еды, и взаимодействие начало расширяться. И вот уже потребовалось передавать некую управляющую информацию обратно в технологическую сеть. О безопасности сильно не задумываются. И в результате такого взаимодействия в современном мире возможно полное слияние технологической и корпоративной сети. Четко определить, где кончается корпоративная и начинается технологическая сеть, зачастую невозможно. Такая архитектура несет серьезные риски безопасности. Корпоративные сети подвержены серьезным угрозам. Например, вирусы, хакеры и т.д. И в случае общей сети все эти угрозы напрямую влияют и на технологическое оборудование. И это большая проблема.

Инструментальное сканирование нескольких технологических площадок выявило, что ошибки архитектуры присутствуют практически везде. Даже если сети разделены, не везде присутствует правильное разграничение доступа. В результате, например, мне удалось попасть на коммутатор технологической сети, на котором оказались учетные данные, установленные по умолчанию заводом-изготовителем.

На сегодняшний день эталоном архитектуры нужно считать четкое разделение корпоративной и технологической сети и организацию взаимодействия через межсетевой экран с четким разграничением доступа. В компании должна быть определена отдельным нормативным документом архитектура построения сетей. Кроме этого, необходимо следить за беспрекословным исполнением этой политики. Очень важно вести документирование сети.

Еще одной проблемой является использование оборудования, не предназначенного для работы в технологических сетях. К такому оборудованию относится, например, различное сетевое оборудование, предназначенное для домашнего использования и не рассчитанное на установку в пыльных, жарких помещениях. Кроме этого оборудование зачастую не обладает возможностями удаленного управления и имеет множество других недостатков. Зачем же его используют? Использование такого оборудования продиктовано желанием сэкономить, так как специализированное оборудование стоит гораздо дороже. Однако если рассматривать не сиюминутную выгоду, а на период нескольких лет, то результат будет не в пользу домашнего оборудования.

Следующим фактором, приводящим к проблемам, является настройка оборудования. Очень часто администраторы производят настройку оборудования по минимальному принципу. Такая настройка не учитывает рекомендации производителей и лучшие практики по безопасности. Это, в свою очередь, приводит к появлению уязвимостей и компрометации оборудования. Правда, существует еще одна сторона этой медали. Зачастую производители технологического оборудования используют закрытые протоколы для взаимодействия. И это накладывает ограничения на настройку сетевого оборудования.

Немаловажным фактором являются сотрудники, работающие с технологическими сетями. Как было показано выше, они могут являться серьезным источником угроз. Имея доступ к оборудованию и ПО, сотрудники имеют возможность непосредственно влиять на его функционирование. Такие сотрудники являются целью для социальной инженерии. Их могут подкупить, запугать и многое другое. Здесь на первый план выходят вопросы повышения осведомленности персонала о вопросах информационной безопасности. Правильная мотивация. Дополнительно внедрение систем контроля доступа, мониторинга работы сотрудников и оборудования.

Это лишь некоторые основные факторы, влияющие на безопасность. Они показывают, что обеспечение безопасности технологических сетей – это комплексная задача. И решать ее нужно как организационными мероприятиями, так и техническими. В статье не рассматривались вопросы использования систем обнаружения вторжений, выявления аномалий, мониторинга событий и многое другое. Также должен быть разработан комплект нормативной документации, включающий стандарты на оборудование, архитектуру сетей, порядок предоставления и контроля доступа и многое другое. Немаловажным является наличие документов, обеспечивающих непрерывность работы, например планы аварийного восстановления, процедуры реагирования на инциденты и т.д.

Основные задачи при обеспечении ИБ технологических сетей

Таким образом, можно выделить некоторые основные задачи при обеспечении информационной безопасности технологических сетей:

1. Проектировать технологические сети с учетом обеспечения безопасности кабельной инфраструктуры.
2. Разделять технологические и корпоративные сети с помощью межсетевых экранов.
3. Ограничить использование протоколов только теми, которые необходимы для работы систем/сетей.
4. Блокировать сетевые порты, не используемые во взаимодействии систем/сетей.
5. Использовать оборудование в промышленном исполнении.
6. Использовать управляемое сетевое оборудование.
7. Вести журнал всех действий персонала и подрядных организаций.
8. Вести мониторинг событий и инцидентов.
9. Не использовать беспроводные сети.
10. Разграничить доступ к оборудованию и портам управления.
11. Блокировать периферийные порты на рабочих местах операторов.
12. Проводить обучение персонала по вопросам ИБ.