Контроллеры для ЦОДов и безопасность АСУ ТП

Компьютеры несли неоспоримые экономические преимущества, выгода превышала казавшийся маловероятным ущерб от использования новых технологий, и цифровизация все больше проникала в управление технологическими процессами. Росли риски, угрозы стали реализовываться, и скепсис по отношению к необходимости защиты АСУ ТП от киберугроз сошел на нет. Проблемы стали возникать даже на таких продвинутых в вопросах безопасности объектах, как АЭС.

Например, руководитель группы аналитиков по ИБ «Лаборатории Касперского» Екатерина Рудина на конференции RUSCADASEC 2023 рассказала о связанном с кибербезопасностью инциденте на американской АЭС им. Эдвина И. Хэтча. В рабочем контуре АЭС установили небольшую программу, которая собирала первичные данные о работе реактора и передавала их в основную систему, находящуюся в офисном контуре. Схема выглядела безопасной до одного из обновлений, когда новая версия стерла данные, а АСУ реактора восприняла их отсутствие как непонятную ситуацию и на всякий случай остановила реактор. По несчастливой случайности резервный блок в это время был остановлен для загрузки топлива. Запуск занял двое суток, ущерб компании от простоя составил $2 млн. 

АСУ ТП стали интересовать хакеров. В 2013 г. бельгийская и голландская полиция сообщили об арестах по делу о переправке кокаина через порт Антверпена. Преступная группа использовала хакеров для доступа к компьютерным системам портовых компаний и терминалов, с помощью которых контролировала прием и разгрузку своих контейнеров с наркотиками. Не помогла и хорошая защита внешнего контура – преступники пронесли в офисы компаний специальную аппаратуру для перехвата и передачи информации, вмонтированную в обычные электрические удлинители. 

Проблемы безопасности промышленных предприятий резко обострились после февраля 2022 г. К хакерам добавились политически мотивированные преступники, термин «кибервойна» стал употребляться регулярно, заговорили о спонсируемых государствами хакерских группировках. «В целом наши субъекты КИИ так или иначе справились с проблемой – благодаря тому, что “спрятались в домик”. По максимуму отключили внешние интерфейсы, закрутили гайки, отмобилизовали персонал. В публичное пространство не ушла информация о крупных взломах», – констатировал директор компании iGrids («Интеллектуальные сети») Максим Никандров.

Во многом это заслуга регуляторов. Были выпущены требования к субъектам КИИ – приказы ФСТЭК, ФСБ и другие документы, связанные с выполнением закона № ФЗ-187 «О безопасности критической информационной инфраструктуры РФ». Их выполнение во многом обеспечивает защиту объектов – субъекты КИИ под давлением регулятора вынуждены заниматься безопасностью. Этот путь уже проверен на банках. ЦБ РФ был одним из первых регуляторов, который заставил подопечных принять меры по защите своих компьютерных систем, и теперь банки – одни из наиболее защищенных объектов КИИ.

Однако не так все безоблачно. Не сумев справиться с крупными игроками, преступники обратили внимание на небольшие компании, разработчиков, субподрядчиков. Атаки и взломы продолжаются, причем страдают даже специализирующиеся на информационной безопасности компании. Например, как рассказал М. Никандров, в апреле 2023 г. злоумышленники заявили о получении доступа к резервным копиям сервера BI.ZONE, в мае накануне партнерской конференции опубликовали базу данных пользователей сайта «Инфотекс». Также в мае хакеры заявили об уничтожении хранилища с проектной документацией завода гидравлического оборудования «Донвард – Гидравлические Системы», в июне в сеть утекли данные клиентов магазинов «Ашан» и «Твой дом». В большинстве случаев атаки проводились через уязвимости у поставщиков программного обеспечения или услуг.

Субъекты КИИ используют в том числе продукцию мелких компаний, которые в силу отсутствия денег или компетенций зачастую не обращают внимание на информационную безопасность. Требования к этим компаниям не предъявляются, а затраты на безопасность чувствительны для бюджета.

Ситуацию усугубляет уход с российского рынка ведущих вендоров средств информационной безопасности, предлагавших лучшие по соотношению «цена – качество» решения. Выросшие цены ударили прежде всего по небольшим компаниям, решившим укрепить свою безопасность. Неважно обстоит дело и с защитой персональных данных, утечка которых упрощает фишинговые и другие персонализированные атаки на сотрудников организаций. Если же законодательно транслировать требования к субъектам КИИ на подрядчиков, то небольшие компании не смогут их выполнить и уйдут с рынка, а оставшиеся крупные игроки резко поднимут цены. Это ударит и по субъектам КИИ. 

М. Никандров предложил выпустить для подрядчиков облегченные отраслевые требования по безопасности, однако отметил, что нормативная и законодательная база для этого не разработана. Кроме того, непонятно, кто будет проводить аттестацию и проверять выполнение требований.

Защита от атак на цепочку поставок заботит все компании и предприятия. Но защита АСУ ТП имеет особенности, связанные прежде всего с массовым использованием микропроцессорных программируемых логических контроллеров (ПЛК) и интеллектуальных электронных устройств (ИЭУ). Доцент кафедры релейной защиты и автоматизации энергосистем НИУ МЭИ Владимир Карантаев подчеркнул важность обеспечения безопасности встраиваемых в ПЛК и ИЭУ операционных систем, которые предъявляют специфические требования к характеристикам и доступным ресурсам.

В качестве примера он привел релейную защиту от коротких замыканий на подстанциях, главные требования к которой – селективность, чувствительность, быстродействие и надежность. Раньше использовались электромеханические устройства – их работа зависела только от конструктива и уставок срабатывания, задававшихся механическим путем. Теперь используются ИЭУ, которые являются программно-аппаратными комплексами, что делает устройство потенциально уязвимым для хакеров. Причем, как показали исследования, применения наложенных средств безопасности (антивирусов, межсетевых экранов) для эффективной защиты недостаточно. Безопасность обеспечивают только решения, встроенные в операционную систему. И ОС должна быть не общего назначения, а специализированная, удовлетворяющая политикам информационной безопасности, с маленьким ядром, которое сокращает поверхность атаки и ограничивает функционал лишь необходимыми для работы командами.

Атаки на электрические подстанции можно рассматривать как атаки на цепочку поставок, в данном случае поставок электричества, необходимого для работы заводов, предприятий и учреждений. Тем более что далеко не все из них, подобно дата-центрам, готовы к такой ситуации и смогут перейти на работу с ИБП и дизель-генераторами.

Да и ЦОДам, в инженерных системах которых широко используются ПЛК и ИЭУ, стоит учесть возможность атак на встраиваемые операционные системы. По крайней мере предусмотреть такую возможность в модели угроз и обратить внимание разработчиков инженерных систем на соответствующие риски. 

Главная проблема создания российских технологически независимых встроенных решений, как указал В. Карантаев, – неопределенность с микропроцессорами. До начала СВО были доступны процессоры как минимум двух архитектур – «Эльбрус» и «Байкал». Сейчас поставки этих процессоров заблокированы из-за того, что заводы на Тайване присоединились к санкциям. Перспективной выглядит архитектура RISC-V, но и здесь возникают вопросы с производством.

Вторая проблема – недостаток внимания к созданию российских защищенных встраиваемых ОС, которые являются основой АСУ ТП, да и всей промышленной автоматизации в целом. Используемые в настоящее время встроенные ОС, в том числе массово применяемые системы из недружественных стран, не соответствуют научно обоснованным требованиям по защите. Чтобы обеспечить безопасное функционирование нашей промышленности, нужна поддержка работ данной тематики со стороны государства.

Общая для ИБ проблема, которую отметили и на конференции RUSCADASEC 2023, – нехватка кадров. В будущем ее смягчит широкое внедрение средств автоматизации и искусственного интеллекта. А пока – традиционная учеба и обмен опытом.

Удачной оказалась идея провести «баттл» – соревнование трех экспертов специализирующихся на ИБ компаний, которые по очереди предлагали свои варианты действий по обсуждаемым проблемам из реальной практики защиты АСУ ТП. Со своими рецептами могли выступать и слушатели. Голосование велось через Telegram-канал, причем иногда побеждали слушатели. В зале присутствовало много практиков, и обмен опытом был весьма полезным.