КАК ЗАЩИТИТЬ АСУ ТП ПРЕДПРИЯТИЯ

(Русский) На авось. Почему АСУ ТП так легко взломать

Sorry, this entry is only available in Russian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Почти половина АСУ ТП в России хотя бы раз в 2018 году сталкивалась с проблемой несанкционированного доступа. Злоумышленники пытаются вмешаться в технологические процессы через отправку фишинговых ссылок, внедрение вредоносных программ, используя уязвимости в компонентах систем промышленного контроля. В большинстве случае дело в халатности самих сотрудников и игнорировании элементарных правил ИБ для критически важной инфраструктуры.

 

Ситуация на рынке АСУ ТП

Автоматические системы управления производством внедряются повсеместно: от нефтедобывающих предприятий до небольших мукомольных заводов. Если вы живете не в тайге на полном самообеспечении, значит, вы, так или иначе, используете продукты и услуги компаний, работающих на АСУ ТП.

Подобные системы продолжают эволюционировать, все больше стандартных операций уходит в цифру. Драйверами выступают развитие роботизации, «интернет вещей», новые решения в области архитектуры (обсуждается даже создание систем промышленного контроля на базе open source) и программного обеспечения.

По прогнозам, рынок АСУ ТП в мире будет прирастать на 5,8% ежегодно в ближайшие три года. Среди заглавных трендов – совершенствование сенсоров, снижение их стоимости, внедрение технологии «умных» сетей для SCADA.

Российский рынок систем промышленного контроля в целом следует в фарватере общемирового, хоть и с некоторым запозданием. В мае 2018 года «Ростех» анонсировала, например, создание системы управления технологическими процессами исключительно на базе отечественных разработок.

Недостатка в выборе продуктов промышленной автоматизации нет. Ключевой проблемой остается безопасность АСУ ТП. В этом вопросе имеем пугающую статистику.

В 2018 году, согласно данным «Лаборатории Касперского», 41% систем промышленного контроля хотя бы раз подвергались атаке вредоносных программ. В 2017 году этот показатель был на уровне 37%. В региональном срезе наиболее уязвимыми оказались промышленные предприятия Юго-Восточной Азии, Африки и Латинской Америки. В России количество атак было выше среднего показателя – примерно 45%.

В большинстве случаев злоумышленники проводили поиск уязвимостей в узлах системы для взлома или крали данные аутентификации. Множество инцидентов было связано с отправкой фишинговых почтовых рассылок, через которые можно было заразить серверы.

Уязвимости выявлены у многих ведущих производителей «железа» и софта для АСУ ТП. В апреле прошлого года массовым атакам подверглись, например, коммутаторы Cisco. Появились и эволюционировали новые напасти в виде криптомайнеров или зомби-сетей

IoT. Подробнее можно прочитать в самом документе.

Еще в 2016 году вышло масштабное исследование Positive Technologies, посвященное безопасности промышленных систем контроля. Тогда ежегодное количество новых уязвимостей в АСУ ТП оценивалось цифрой 200 (половина имела высокую степень риска). В топ наименее безопасных продуктов входили компоненты Siemens, Schneider Electric и Advantech. Многие производители с запозданием публиковали эксплойты даже на те уязвимости, которые обнаруживали самостоятельно.

На текущий момент, согласно свежим публикациям Positive Technologies, мало что изменилось. В 2018 году был выявлен ряд уязвимостей в контроллерах фирмы Schneider Electric, позволяющие обходить защиту авторизации.

В 1982 году ЦРУ раскрыло заговор СССР, целью которого была кража промышленного ПО для контроля газотранспортной сети. В ответ в программу был внедрен вредоносный код. Советский Союз установил модифицированный софт в виде SCADA на сибирских месторождениях.

После нескольких месяцев бесперебойной работы вирус начал самовольно закрывать предохранительные клапаны, повышая давление в трубах. Трубопровод не выдержал, произошел, по определению «Washington Post», «самый значительный не атомный взрыв в истории. Это был первый пример целенаправленной атаки на промышленную систему управления и контроля с помощью вредоносного ПО.

 

АСУ ТП посылают в сеть незащищенные данные

Хакерам, желающим взломать систему управления предприятия, не нужно даже особо ломать голову. Как выяснилось, все необходимые данные для атаки они могут получить из открытых источников.

Недавно специалисты Свободного университета Берлина провели исследование, в котором оценили количество незащищенных данных, передаваемых системами промышленного контроля через интернет.

Компоненты АСУ ТП типа SCADA и Modbus были разработаны в эпоху до глобального распространение интернета. Их архитектура подразумевала функционирование в закрытых сетях без какой-либо связи с внешним миром. Позже осознали удобство удаленного контроля.

Первые хакеры подключались к подобным системам через телефонный модем, информационная защита АСУ ТП по фату отсутствовала как класс. Для обеспечения безопасность таких систем возникла целая индустрия. Переписывать софт не было смысла, просто выделили новый слой, по которому части системы могли обмениваться зашифрованными пакетами уведомлений удаленно, доступ защитили паролями.

Оказалось, что далеко не все применяют этот базовый уровень защиты информации на предприятиях. Команда исследователей проанализировала две базы трафика в интернете.

Была собрана статистика из точки обмена трафиком (IXP) за 2017-2018 годы, где можно было получить информацию об обмене данными между провайдерами внутри одной страны. Следующим проинспектировали архив «сырого» интернет-трафика между провайдерами в США и Японии.

Информацию отфильтровали стандартным пакетным анализатором Wireshark, который помог найти незащищенные пакеты, используемые АСУ ТП. Плюс взяли данные из открытых источников по мониторингу индустриального трафика проектов по безопасности.

В результате всех манипуляций обнаружено порядка 330 000 незащищенных пакетов обмена данными АСУ ТП, которыми свободно обмениваются провайдеры по интернету (1,5% от всего трафика).

Полученные данные проанализировали через записи DNS и протоколы WHOIS, что позволило выявить компании, посылающие незащищенные пакеты уведомлений, среди которых были и крупные предприятия с развитой инфраструктурой. В исследовании они, по понятным причинам, не названы. Речь идет о консалтинговых фирмах в области солнечной энергетики, строительных корпорациях, торговых и транспортных гигантах.

 

Защита АСУ ТП на предприятии

Критически важная инфраструктура предприятия должна быть оснащена системами информационной защиты. Базовые правила безопасности АСУ ТП включают:

  • Систему мониторинга сетевой активности для обнаружения и анализа любого логового события от нового пользователя, трафика на внешний IP
  • Систему автоматического управления подключенными объектами, необходимо в реальном времени видеть их конфигурацию и текущие активности.
  • Валидацию параметров в контроллерах, обнаружение изменений в их работе, источником которых является сеть или физический контакт, включая изменения конфигурации, кода, задержке в работе.
  • Систему доступа, когда подключение к контроллерам доступно только с обозначенных в списке адресов IP.
  • Встроенный web-сервер, который рекомендуется отключать при работе системы в штатном режиме. Он необходим лишь при диагностике и технических работах. То же самое касается службы FTP, который в обычном режиме не пригодится.
  • + Межестевые экраны и прочие программно-аппаратные вещи для дополнительной защиты АСУ ТП.

Здесь можно ознакомиться с распространенными инструментами тестирования и защиты автоматических систем управления техническими процессами.

Безопасность систем промышленного контроля во многом зависит от грамотной установки и наладки АСУ ТП, всех ее подсистем и подключаемых устройств. Советуем внимательно ознакомиться с инструкциями по безопасности на сайтах производителей, отслеживать их публикации по обнаружению уязвимостей.

Для пущей надежности можно воспользоваться предписаниями стандарта IEC 62443, основанного на критериях ISO 27001.