- Вмешательство в системы управления ключевым технологическим оборудованием энергетики, к которому относятся турбины, может иметь самые неприятные последствия. Насколько это серьезно? Каков масштаб этих угроз?
- Здесь, наверное, правильнее разделять то, что в англоязычной литературе называется Power Plant, т.е. электростанции, которые непосредственно отвечают за генерацию электроэнергии, и Power Grid - ту часть инфраструктуры, которая отвечает за распределение электроэнергии в сети пользователя. Соответственно, когда мы говорим про нарушения работы генерации электроэнергии, Power Plant, как правило здесь не идет речь о блэкауте, т.е. о том, что реально может пугать обычного пользователя. Блэкаут скорее возможен в результате атак на подстанции, направленные на нарушение работы электросети. Когда мы говорим об атаках на Power Plant, здесь возможно нарушение функционирования электростанции, работы ее турбин, в определенных условиях - вывод турбин из строя, но опять же это очень специфичные вещи. Например, чтобы вывести турбину из строя, злоумышленнику нужно хорошо понимать, как она функционирует, какие действия могут повлиять на ее дестабилизацию.
- Какие основные источники угроз для систем управления турбинами в электроэнергетике? Откуда может прийти злоумышленник?
- Нельзя выделить какие-то особенности исключительно для систем управления турбинами, правильнее будет говорить в общем о проблемах, которые есть в системах АСУ ТП. Если раньше существовал некий «воздушный зазор», разделяющий промышленную инфраструктуру предприятия, так называемую сеть ОТ (операционные технологии) от сети ИТ, то сейчас этот зазор становится все меньше и меньше. Это обусловлено тем, что на данный момент уже невозможно оставлять достаточно старые, 20-, 30-летней давности технологии. Сейчас в сети OT, как и в сети ИТ, должны стоять антивирусные решения, системы защиты, должен вестись патч-менеджмент. Так или иначе, у вас будет получаться если не постоянное, то как минимум временное сетевое соединение, которое в т.ч. может использоваться и злоумышленником.
Например, если нужно обновить операционную систему на серверах, которые работают в сети ОТ (а делать это необходимо, это правильный подход), того времени, условно 10 минут, на которые устанавливается этот канал, может быть достаточно злоумышленнику для проведения атаки, если до этого он уже получил доступ к сети ИТ. Разумеется, среди угроз есть и достаточно старые, аналогичные Stuxnet, когда на объекте не было доступа к внешней сети, но при этом систему удалось заразить и провести атаку с помощью съемных носителей.
Когда мы проводим проверки защищенности объектов, на рабочих станциях операторов и SCADA-серверах, отдельное внимание уделяется наличию съемных носителей, а также тому, какие носители подключались. По итогам этих проверок мы говорим нашим заказчикам, что это тоже может быть потенциальным вектором атаки, который следует учитывать.
- Насколько велики риски перехвата управления турбинами с помощью диагностических систем?
- Если скомпрометирован оператор, который диагностирует систему, то конечно такой риск существует. Это похоже на последнюю атаку на американскую ИТ-компанию SolarWinds, когда их взломали, а затем злоумышленники распространили атаку на их клиентов. Здесь может быть примерно такая же логика - если взломан оператор технической поддержки или сервис-провайдер, то такой вектор атаки может быть. Но опять же нужно смотреть, как эта диагностика конкретно выполнена. Т.е. если в инфраструктуре стоит диод данных, который на аппаратном уровне может выдавать телеметрию только наружу, то в этом случае физически нет возможности отправить что-то внутрь и такую систему можно считать более-менее защищенной от данных угроз . Но, опять-таки, надо смотреть как конкретно этот диод данных реализован - если аппаратно, то это хорошо, если программно, то, могут быть какие-то лазейки.
- Как в идеале должна быть выстроена безопасность систем управления турбинами? Так сказать «инструкция для чайников» - на что нужно обратить внимание, какие самые болезненные точки, какие аспекты нужно учесть?
- Здесь все придумано за нас. Есть и отраслевые стандарты, есть более общие, тот же стандарт МЭК 62443, в котором рассказывается про сегментирование сетей, про выделение демилитаризованной зоны (DMZ) в OT сегменте, в которой должно происходить взаимодействие ИТ и OT, отделение программируемых логических контроллеров (ПЛК) от серверов SCADA (диспетчерского управления и сбора данных, Supervisory Control And Data Acquisition), чтобы они были в разных сетевых сегментах. Сервера SCADA должны быть отделены от более высокоуровневых систем, которые уже могут предоставлять информацию бизнесу и ИТ, о том, как работает технологический процесс. Часто бывает, что эти стандарты не были учтены вовремя при создании системы и это ведет к некому разброду и шатанию, которым могут воспользоваться злоумышленники, нарушив работу компании.
- Какие решения «Лаборатория Касперского» в этом плане может предложить?
- Решение проблем безопасности в промышленных компаниях лучше формулировать как устойчивость (resilience) компании к кибератакам. Корректнее ставить цель - создать операционный центр по безопасности, который не допустит наступления нежелательных событий (авария, потеря контроля над процессом, остановка промышленного процесса и т.д.). Операционные центры (SOC - Security Operations Center) состоят из различных инструментов безопасности и сотрудников-операторов решений, следующих подготовленным процессам. У «Лаборатории Касперского» есть полноценный набор инструментов для защиты промышленной сети - KICS for Nodes and Networks - защищающие рабочие станции, сервера, специализированные станции и сеть АСУ ТП. Ключевая задача эксплуатации промышленных сред - это построение процесса по обнаружению и реагированию на инциденты с помощью инструментов. Данные процессы могут быть созданы промышленной компанией или с помощью внешних консультантов. Наши команды экспертов SOC регулярно участвуют в оценке зрелости операционных процессов, помогают оптимизировать существующие или строить новые процессы в промышленных компаниях. Важнейшими шагами в рамках функционирования и создания подразделения способного обеспечить устойчивость от кибератак является поддержание практических навыков. «Бумажные» процессы и установленные продукты - это необходимая база, а этичная эмуляция атак (Red Teaming), оценка текущей защищенности (пентест и анализ защищенности АСУ ТП) - это точильные камни, учебные тревоги, и способ идентификации и исправления слабых мест без реального инцидента.
- Что с Вашей точки зрения является ключевым моментом в создании более безопасных систем управления турбинами?
- Защищающийся или защищающий часто отстает от атакующего. Если у нас есть, например, одна или две недели на то, чтобы ознакомиться с системой управления и найти ее недостатки, то злоумышленник, перед которым поставлена задача взломать данную систему, может выделить на это 3 месяца, полгода, и точно найдет эти недостатки. Оценить реальное состояние дел позволяют совместные исследования, взаимодействие разработчиков защитных решений и производителей оборудования. Взаимодействие с вендором в этом случае необходимо, потому что найденная проблема затрагивает большое количество объектов. Примером такой открытости может служить наша совместная работа с Siemens по обнаруженным уязвимостям в системе управления SPPA-T3000. На наш взгляд это правильная позиция - исследователи находят уязвимости, они сообщают о них вендорам, вендоры выпускают обновления и патчи. После этого можно говорить открыто об этих вещах, чтобы люди знали и могли принять меры по защите. Тогда они готовы.
Автор: Е. Алифирова
