Інформаційна безпека АСУ ТП - очевидні проблеми і відомі факти
У самому кінці 2015 року Україна в черговий раз звернула на себе увагу світової преси.
23 грудня 2015 року, в результаті кібератаки на «Прикарпаттяобленерго», значна частина Івано-Франківської області залишилася без електропостачання. Початкові версії про халатність персоналу, відмову зношеного обладнання та інші швидко відійшли на другий план, в результаті аналізу обставин події відповідними службами.
Інцидент викликав великий резонанс. Статті з розбором і деталями події з'явилися навіть в таких не профільному, але дуже авторитетних виданнях, як «The Washitgton Post» і «Forbes». Довгий час, все події пов'язані з кібератаками, здавалися нам чимось далеким і нас не стосуються. З початку 2014 року, хакерами були атаковані десятки українських організацій працюють в державному, фінансовому, медійному та енергетичному секторах. Але реальності сьогодення говорять про те, що ситуація з комп'ютерним тероризмом в світі дуже серйозна.
У 2010 році, на Іранському заводі зі збагачення урану, в Натанзі, вірус Stuxnet, вивів з ладу 1368 з 5000 центрифуг, що спричинило за собою мільйонні збитки і зриви термінів запуску АЕС в Бушері. Вірус, потрапивши в мережу заводу на флеш-носії, вразив програмне забезпечення Siemens Simantic STEP7 і модифікував переданий код від програмного забезпечення до контролера, який відповідає за швидкість обертання центрифуг. Центрифуги виводилися на позамежні швидкості обертання, що призводило їх руйнування.
У 2008 році стався вибух на турецькій ділянці нафтопроводу Баку-Тбілісі-Джейхан. Через 7 років слідству вдалося встановити, що теракт був здійснений за допомогою кібернетичної атаки. Зловмисники проникли в мережу через систему відеоспостереження, знайшли комп'ютер під управлінням Windows і запустили вірус, який заблокував сигналізацію і примусово перевищив допустимий тиск в трубопроводі, що призвело до розливу 30 тисяч барелів нафти з подальшим загорянням. Через не спрацювання сигналізації, персонал дізнався про пожежу тільки через 40 хвилин. Крім вартості відновлювальних робіт, збиток акціонерів від тимчасового припинення транзиту нафти склав понад 100 млн. Дол. Азербайджанський нафтової фонд поніс збиток в мільярд доларів.
У 2014 році, на одному з металургійних комбінатів Німеччини сталася надзвичайна подія пов'язане із зупинкою доменної печі. Федеральне агентство Німеччини з інформаційної безпеки в своєму щорічному звіті повідомило, що збиток понесений металургійним комбінатом був результатом хакерської атаки. Хакери, через вірус впроваджений в повідомлення електронної пошти, проникли в офісну мережу підприємства, звідки змогли пробратися в промислову мережу, після чого вивели з ладу системи контролю над металургійними процесами, в результаті чого одна з доменних печей була погашена і прийшла в повну непридатність.
У грудні 2015 року на «Прикарпаттяобленерго» через електронну пошту був занесений шкідливий BlackEnergy3. Користувачі отримали підроблене лист, що імітує повідомлення від Міненерго, як додаток до якого був документ MS Office, що вимагає при відкритті включити макроси. Запуск макросу ініціював завантаження процесу, який інтегрувався в систему і скачував з віддаленого сервера додаткові файли, завдяки чому у зломщиків з'являвся спосіб впливу і контролю над процесами на зараженому комп'ютері, що дозволило їм частково знеструмити Івано-Франківськ та область.
Очевидно, що Українські обленерго були випадковими жертвами шкідливого програмного забезпечення, а були об'єктами цілеспрямованих атак.
Кількість, складність і різноманітність комп'ютерних загроз продовжує зростати, а захист систем автоматизованого управління на підприємствах стає все більш важким завданням. Однак якщо звернути увагу на основні слабкі місця, то кількість вразливостей можна істотно скоротити.
Загальноприйнятим помилкою є впевненість в абсолютній безпеці об'єкта автоматизації завдяки так званій «повітряному прошарку». Коли офісна мережа підприємства, з якої є доступ в інтернет і внутрішня, промислова мережа підприємства, між собою не пов'язані. Однак ця, на перший погляд приваблива ідея, на практиці продемонструвала свою неспроможність. Компонентів сучасних систем управління виробничими процесами, час від часу потрібне оновлення програмного забезпечення і періодичне внесення виправлень. У разі наявності «повітряного прошарку» ці процедури виконуються за допомогою USB-накопичувача, який може виступити в ролі переносника шкідливої програми. Саме таким чином вірус Stuxnet вразив завод в Ірані.
Перелік слабких місць практично нескінченний. Але ми хочемо виділити найочевидніші і не потребують серйозних капіталовкладень.
Так, важливою проблемою безпеки є слабка підготовка персоналу. Саме людина, прямо або побічно, найчастіше активує вірус у себе на комп'ютері. Один з найпопулярніших способів проникнення на об'єкт автоматизації - це так званий «фішинг». Фішинг базується на методах соціальної інженерії, за допомогою яких шахраї і змушують користувача запустити виконуваний файл вірусу. З цього робота з персоналом, в сфері подолання безграмотності в комп'ютерній безпеці, повинна стати основним інструментом в боротьбі з мережевими зловмисниками.
Іншим не менш важливим обставиною є несвоєчасне оновлення програмних продуктів, що в свою чергу пов'язано з частими випадками експлуатації неліцензійного програмного забезпечення на вітчизняних підприємствах. Це призводить до того, що знайдені в процесі експлуатації і виправлені розробниками ПЗ, помилки і «дірки» залишаються в невиправленої стані на комп'ютерах підприємства і можуть бути використані хакерами для проникнення.
Додатковою вразливістю так само є наявність великої кількості доступних USB-портів на комп'ютерах користувачів, робочих місцях диспетчерів і інтерфейси обладнання задіяного в АСУ ТП. Кількість відкритих портів, по можливості, повинно мити мінімізовано.
Значно посилити безпеку мережі підприємства, допоможе відповідність стандарту IEC-62443, який передбачає поділ мережі на функціональні зони з різними рівнями безпеки і ступенями апаратного і програмного захисту.
Ну і останнім етапом захисту є апаратні засоби здатні фільтрувати мережевий трафік і виявляти в ньому дані, які можуть завдати шкоди кінцевому обладнанню. Такі пристрої встановлюються безпосередньо перед кінцевим об'єктом захисту.
На цю роль ідеально підходять промислові мережеві брандмауери Hirschmann EAGLE Tofino, які містять інтелектуальні модулі для захисту мережі від інформаційних загроз. Брандмауер займається постійною інспекцією трафіку між керуючою мережею і програмованими логічним контролерами, розпізнаванням керуючих пакетів, перевіркою на наявність шкідливого коду і на відповідність заданим значенням і / або вихід за встановлені переділи. Сюди ж відноситься контроль одержувачів і відправників інформації, перевірка маршрутів, за якими передається інформація. Інноваційний режим навчання брандмауера значно полегшує перші кроки по установці в систему, дозволяючи створювати правила на основі накопичених в мережі даних. Офлайновий конфигуратор і веб-панель доповнюють традиційні інструменти управління Hirschmann ™ Industrial HiVision, HiView і HiDiscovery. Брандмауер виконаний в промисловому виконанні, працює в діапазонах температур від -40 до +70, сертифікований для робіт на підстанціях по IEC61850, для роботи у вибухонебезпечних середовищах по ATEX, має сертифікат EN50121 дозволяє експлуатуватися на ж / д транспорті, а так само має багато інших допусками.
Але найважливішою особливістю Hirschmann EAGLE Tofino є підтримка технології Deep Packet Inspection. Ця технологія дозволяє накопичувати статистичні дані, а так само перевіряти і фільтрувати мережні пакети по їх вмісту. Це дозволяє ефективно виявляти віруси, блокувати їх і відсівати інформацію, що не задовольняє заданим критеріям.
Як висновок можна зазначити, що завдання щодо підвищення рівня безпеки на підприємстві не має рішення лежить в одній площині. Проблема захисту від кібернетичних загроз може бути вирішена тільки комплексно, за допомогою внесення змін як на адміністративному рівні так і на програмно-апаратному.
Підготовлено за матеріалами отечственной і зарубіжної преси для журналу Світ Автоматизації .