На прошедшем вчера форуме «Интернет экономика 2015» Евгений Касперский рассказал о выпуске первой специализированной платформы для защиты сетей промышленных объектов. Kaspersky Industrial CyberSecurity создавалась с учётом особенностей автоматизированных систем управления технологическими процессами (АСУ ТП, SCADA). Она призвана защищать критически важные индустриальные объекты от внешних кибератак и действий инсайдеров.
Новая платформа – это гибкое решение, настраиваемое с учётом специфики каждого промышленного объекта. KICS уже была успешно опробована нефтепереребатывающей компанией «ТАНЕКО». Как показала практика, она способна выявлять не только злонамеренные действия, но и нарушения правил использования техники, а также попытки мошенничества.
«Уже в первые месяцы работы решение по защите индустриальных объектов «Лаборатории Касперского» обнаружило несанкционированное подключение стороннего ноутбука к одному из контроллеров, а также попытку изменить параметры работы датчика. Результат работы решения Kaspersky Industrial CyberSecurity превзошел все наши ожидания. Этот проект наглядно продемонстрировал возможность использования подобных решений на промышленных объектах», – комментирует свой опыт использования KICS начальник отдела АСУ ТП, АО «ТАНЕКО» Марат Гильмутдинов.
С момента своего появления системы управления производственными процессами были изолированными. В начале XXI века такая изоляция стала условной. Сотрудники начали приносить на работу свои устройства и сменные носители. ИТ-отделы стали подключать системы управления к интернету ради удобства мониторинга и удалённого администрирования. Иногда подключение внутренней сети к интернету выполняется для совершенно других задач, но в любом случае АСУ ТП перестают быть изолированными.
Обычно для их защиты ограничивались созданием каналов VPN, и это был первый тревожный звонок. Методы, принятые в корпоративной среде, не следует слепо копировать на индустриальную. Взлом или инфицирование серверов компании затронет только её саму, партнёров и клиентов. Вмешательство в работу электростанций (особенно атомных), нефтеперерабатывающих заводов и других промышленных объектов может привести к техногенной катастрофе.
«Теоретически, промышленные информационные сети не должны быть связаны с офисными, и уж точно не должны иметь прямой выход в интернет. Однако, как показывает практика, далеко не все сотрудники понимают важность такой изоляции. Иногда люди, не желая причинить вред намеренно, вставляют в промышленные компьютеры зараженные сменные накопители или подключаются к интернету, чтобы обновить какую-нибудь программу на сервере. В результате, вредоносное ПО проникает в промышленную сеть», – поясняет директор по развитию безопасности критической инфраструктуры «Лаборатории Касперского» Андрей Суворов.
В последние годы ситуация кардинально ухудшилась. Консультант IOActive Эйрианн Леверетт (Eireann Leverett) ещё в 2012 году обнаружил свыше десяти тысяч АСУ ТП с открытым доступом через веб-интерфейс. Всё что ему потребовалось сделать – это использовать поисковую систему Shodan, которая позволяет искать в том числе и специфические отклики подключённых к интернету устройств.
Анализ поисковой выдачи Shodan показывает рост числа уязвимых систем. Эксперты AtenLabs сообщают о том, что их число в этом году уже превысило миллион. Какую-то часть из них занимают домашние контроллеры – например, электронные замки и климатические системы. Наверняка заметную долю составляют ловушки (honeypot), расставленные ENISA и другими международными группами по борьбе с киберугрозами. Однако и настоящих SCADA крупных предприятий в этой выборке тоже хватает.
В данном контексте избитый термин «киберугроза» употребляется исключительно точно. Приставка «кибер» (κυβερ) означает управление. Именно угрозы вмешательства в работу систем управления и представляют серьёзную опасность на современных промышленных объектах.
В 2010 году червь Stuxnet поразил АСУ ТП ядерных объектов Ирана, выведя из строя центрифуги для обогащения урана. Атакуемые им контроллеры Simatic S7 используются во многих узлах инфраструктуры, поэтому Stuxnet мог быть использован и для диверсий в других системах управления.
В 2011 году Центр разведки и борьбы с терроризмом США обвинил «российских хакеров» в том, что они оставили без воды тысячи домов в штате Иллинойс. Система водоснабжения была дистанционно выведена из строя из-за того, что ей была отправлена серия команд включить/выключить насосы.
В 2013 году сотрудник обслуживающей фирмы подключил инфицированную флешку на одной из американских электростанций. В результате заражения её работа была остановлена на три недели.
Подобные случае происходят всё чаще. «По данным отчета американской организации ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) за 2014 год произошло 238 киберинцидентов с АСУ ТП, из которых 8 привели к ущербу, превышающему 1 миллион долларов. И это только задокументированные инциденты — большинство компаний предпочитают скрывать такие случаи, равно как и масштабы убытков», – поясняет Андрей Суворов.
Несмотря на серьёзные последствия киберугроз, изоляция управляющих систем больше не может рассматриваться как единственный вариант защиты. Эффективное управление сегодня подразумевает интеграцию разнородных систем. Дистанционный контроль часто приходится выполнять через интернет, а флешку и карту памяти можно пронести даже при введении полного досмотра всех сотрудников. Поэтому защищать нужно все компоненты ИТ-инфраструктуры промышленных объектов: контроллеры, сети и конечные узлы, включая непосредственно системы SCADA.
«Kaspersky Industrial CyberSecurity позволяет анализировать не только события, связанные исключительно с информационными системами (подключения новых устройств, возникновение подозрительных соединений между различными элементами SCADA-систем), но и информацию на уровне технологического процесса. Например, отслеживать подачу нелогичных и несвоевременных команд на контроллеры. Иными словами, производит полный мониторинг технологического техпроцесса».
Помимо KICS, «Лабораторией Касперского» с 2011 года ведётся разработка защищённой POSIX-совместимой операционной системы для промышленных объектов. Под рабочим названием Kaspersky OS с начала года она распространяется через партнёрские фирмы.