• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

На пороге катастроф. О том ли мы думаем сегодня?

Пока мы пережевываем в деталях никому, в общем-то, не нужный закон о персональных данных, навязанный каждой организации и каждому предприятию законодателями, разгоряченными стремлением в ВТО, и регуляторами, увидевшими еще одну возможность порегулировать, каждый гражданин живет под гораздо более опасными рисками, имя которым по-русски – АСУ ТП, а во всем остальном мире – SCADA.

Загадочная сила

Когда мы садимся в самолет, экспресс «Сапсан» или местный дизель, кланяющийся каждому верстовому столбу, включаем свет в квартире или откручиваем кран с водой, мы попадаем под власть этой загадочной силы. Когда рушится Саяно-Шушенская ГЭС, разваливаются и заражают все вокруг реакторы Фукусимы, встает бромное желтое облако над Челябинском или оранжевое – над литейным цехом где-нибудь в Ижевске или Магнитогорске, эта загадочная АСУ ТП рыкает на цивилизацию и требует жертвоприношения. И жертвы приносятся, безвинные, бессмысленные и многочисленные.

Со времен станков с числовым программным управлением автоматизированные системы управления технологическими процессами (АСУ ТП) жили абсолютно отдельно от автоматизации предприятий и построения в них локальных вычислительных сетей. Офисные системы, коммерческие приложения и даже системы управления предприятиями (не по-русски – ERP) развивались по одним правилам, в которых постепенно появлялись средства защиты от вредоносного контента (антивирусной, антифрод-, антишпионской и прочей анти-), средства обнаружения и предупреждения вторжений, межсетевого экранирования, противодействия несанкционированному доступу и далее со всеми остановками. АСУ ТП сначала жили в мире DOS (очень долго, а некоторые – и до сих пор), затем – Windows, UNIX или Linux, но со своими, почему-то совсем другими правилами.

Когда АСУ ТП существовали совсем изолированно, не выходя за периметр предприятия, никто особенно вопросами безопасности этих систем не задавался. Ими в советской и постсоветской экономике командовали главные инженеры, энергетики, технологи, не подпуская к своей святая святых пижонов (тех, которых теперь называют директорами информационной службы или CIO), строивших сети на клиент-серверной технологии. Между тем до сих пор многие специалисты в США считают самым успешным примером применения кибероружия взрыв газопровода в Сибири еще в 80-е годы, ставший возможным в результате программной закладки в систему управления этим самым газопроводом (закладка то ли была поставлена самими американцами, то ли ловко подставлена в исходный код, украденный в Канаде советским шпионом).

Со временем АСУ ТП стали активно подключаться к Интернету (потому как разработчик железа, софта или сервисная организация находятся далеко от самого предприятия, а без них системы никак функционировать не хотят и не могут). Для их построения, как гордо рапортовали интеграторы, начали активно применяться виртуальные локальные сети, использоваться весь набор устройств ввода-вывода данных, прекрасно подходящий для комфортного офиса в центре современного города, но крайне опасный для промышленной системы управления. Закончилось это хаосом на иранских центрифугах, зараженных Stuxnet’ом и путавших день с ночью, старт – с остановом, а недопустимую норму – с минимальной. И стало ясно, что так дальше жить нельзя.

А как можно?

Главные инженеры, технологи и энергетики этого не знали. Директора информационных служб – тоже, потому что раньше их в этот огород не допускали. Руководители служб информационной и просто безопасности – тем более, потому как они про эти АСУ ТП не знали вообще ничего.

И вдруг многим, кто интересуется темой, стало очень страшно. Не специалистам даже – простым обывателям, садящимся в эти самые поезда и самолеты или живущим около ядерных и гидростанций, металлургических заводов и очистных сооружений, железнодорожных узлов и складов Министерства обороны.

Страшно, потому что масштаб возможных последствий нарушений в этих системах потенциально катастрофический. Заинтересованы в решении этой назревшей, как фурункул, проблемы должны быть владельцы бизнеса и топ-менеджеры, отвечающие за производство, поскольку это их прямая зона ответственности. Но, по ряду причин, интереса особого нет.

Достучаться до менеджмента

Интерес проявили компании, предлагающие услуги на рынке информационной безопасности, – это новый сегмент, и весьма перспективный. Но достучаться до менеджмента они не могут в силу простой причины – языки общения у них разные. ИБ-компании привыкли иметь дело со своими коллегами у заказчика, в самом сложном случае – с ИТ-директорами. А здесь потенциальным заказчиком является главный инженер, главный технолог, главный энергетик, замруководителя по производству. Как с ними говорить? О чем? Об эксплойтах, уязвимостях нулевого дня и пенетрейшн-тесте? Бесполезно. Заказчики все больше про невмешательство в технологический процесс, непрерывность, невозможность остановки процесса для всяких там непонятных тестов. Вот и не сходятся они никак вместе.

Ни простые проблемы управления идентификацией, доступом и правами, ни сложные – поиска недекларированных возможностей, критичных уязвимостей, возможностей враждебных воздействий – при создании АСУ ТП, как правило, не решаются. И обеспечения безопасности АСУ ТП на предприятии нередко нет никакого вообще.

Ситуация усугубляется тем, что, как показывает история со Stuxnet, защититься от целевой атаки с использованием вредоносного кода, написанного специально под жертву, практически невозможно. Особенно если закладка сделана в новый сервис-релиз непосредственно у вендора внедренными туда специалистами. Червь эксплуатировал для атаки и скрытия своих действий наиболее распространенные антивирусные программы. На новые вызовы, получившие название Advanced Persistent Threat, адекватный ответ пока не получен. В этих условиях неизбежно приходится думать о возврате к изоляции программной среды и ее замкнутости, об отключении АСУ ТП от Интернета, что не всегда возможно по технологическим причинам, о способах обновлений и доработки используемых программ. Все это еще более усложняет и без того непростую ситуацию.

Для решения проблемы нужны очень квалифицированные специалисты, понимающие архитектуру именно АСУ ТП и особенности ее функционирования, умеющие анализировать специфический софт, строить сценарии развития событий в случаях возникновения нарушений, доносить информацию до владельцев технологических процессов в понятных им терминах. Нужен тщательный анализ лучших практик по западным стандартам SCADA, грамотный перевод и адаптация уже существующих в них стандартов обеспечения безопасности. Все это – серьезные вложения с неочевидной отдачей. Поэтому заниматься безопасностью АСУ ТП хотят очень многие, но они предпочитают не инвестировать в исследования, а тренироваться на клиентах, которым такой подход совсем не нравится. Вот и не срастаются проекты при очевидной актуальности проблемы.

А тем временем

в середине октября специалисты Symantec обнаружили нового супершпиона. Обнаружили в реальных системах реальных европейских предприятий. Червь Duqu, в отличие от своего предшественника и, похоже, сводного брата Stuxnet, не разгоняет центрифуги до недопустимых скоростей, не ломает их и не передает на систему управления информацию, сохраненную во время штатной работы оборудования (не напоминает это камеры видеонаблюдения, недавно гонявшие одну и ту же картинку для московского ГИБДД?). Duqu молча и целенаправленно собирает максимально возможный объем информации о системе, куда он внедрен. В первую очередь ищется проектная и технологическая документация, описание инфраструктуры атакованного предприятия и его информационной системы, фиксируется список запущенных процессов, делаются интересные «фото» работающей системы  (скриншоты), определяются учетные данные пользователей, характеристики доменов и другая информация. Попутно в режиме keylogger запоминаются логины и пароли, вводимые с клавиатуры. Поработав 36 дней и сбросив в нужное место собранные данные, червь тихо самоликвидируется. Мавр сделал свое дело… До активации червь остается незамеченным и вполне вписывается в картину угроз типа Advanced Persistent Threat, направленных на конкретную цель, использующих конкретные уязвимости этой цели (лучше, если нулевого дня) и потому практически неуязвимых для систем защиты от вредоносного контента и обнаружения новых угроз.

После дополнительного анализа червя представители компании McAfee, получившие его для исследования, «обрадовали» мир сообщением о том, что Duqu в активном состоянии обнаружен также в Африке и на Ближнем Востоке.

Очень похоже, что Duqu и Stuxnet писала одна и та же команда разработчиков. Компания Siemens, контролеры и программное обеспечение которой атаковал Stuxnet, делает системы SCADA для электростанций и водохранилищ, нефтяных вышек и платформ. Явно готовится новая операция по захвату контроля над очередной системой управления производства. Какой? Где? Боюсь, ответы на эти вопросы мы получим очень скоро. Слишком скоро…

А сталь плавится, самолеты летают, турбины крутятся. И каждая новая катастрофа – это на 99,9% результат сбоя, изъяна или несовершенства АСУ ТП.

Может, лучше заняться этим, а не искать способы еще раз надавить на предприятия, получившие вдобавок к тому, что было, гордое имя «операторов персональных данных»? Если жахнет очередная АСУ ТП, мало никому опять не покажется. А персданные... Жили же мы как-то и без этого закона...