Автор: А. Ткаченко («Лаборатория Касперского»).

Опубликовано в журнале Химическая техника №3/2018

Новые устройства, умные города, беспилотные автомобили, интернет становятся частью нашей повседневной жизни. Получение различных данных в цифровом виде, обработка больших объемов этих данных и использование результатов их анализа позволяют существенно повысить эффективность различных видов производства, технологий, оборудования, хранения, продажи, доставки товаров и услуг.

Понятие «Industrie 4.0» впервые прозвучало на промышленной выставке в Ганновере в 2011 г., на которой был представлен концепт «Industrie 4.0» (Индустрия 4.0) – интеграция информационных технологий (так называемых киберфизических систем, или CPS) в производственные процессы. И в том же году в Германии была принята правительственная программа Industrie 4.0, на которую планируется потратить 200 млн. евро. Клаус Шваб, основатель и бессменный президент Всемирного экономического форума в Давосе, написал руководство, которое призвано помочь сориентироваться в происходящих изменениях и извлечь из этого максимум выгоды.

Не осталась в стороне от «четвертой промышленной революции» и Россия: приняты федеральная программа «Цифровая экономика Российской Федерации», «Стратегия развития информационного общества в Российской Федерации на 2017–2030 годы. Но готова ли наша страна к широкому внедрению «Индустрии 4.0»? Среди многих факторов, влияющих на успешную работу интеллектуальных производственных систем, не последнюю роль играет безопасность их эксплуатации и защищенность от атак извне. Этому вопросу была посвящена статья, опубликованная в февральском номере нашего журнала (ХТ-2, с. 5–9).

В 2016 г. «Лаборатория Касперского» открыла первый в стране центр реагирования на компьютерные инциденты на индустриальных и критически важных объектах. Мы попросили прокомментировать эту статью А. Ткаченко – разработчика «Лаборатории Касперского».

В упомянутой статье автор поднимает проблемы промышленной безопасности в связке с безопасностью информационной, что, на мой взгляд, крайне актуально на сегодняшний день.

Действительно, с каждым годом уровень автоматизации, т.е. та часть работы по обеспечению функционирования технологической системы, которую берет на себя АСУТП, только растет. Вместе с этим растут и риски, связанные с нарушением работы управляющей информационной системы. Ведь десять – двадцать лет назад автоматизация в основном находилась «в поле», на уровне ПЛК, была минимально подвержена дистанционным воздействиям извне (ввиду своей примитивности), а большую часть решений принимал персонал операторной на основе поступающих «с поля» данных. Сейчас автоматизируются уже технологические установки целиком, причем огромная часть логики принятия решений в аварийных ситуациях лежит полностью на АСУТП – человеческий фактор все активнее исключается из процесса управления и быстрого принятия решений (что хорошо), но недостаточно внимания уделяется тому, что необходимо обеспечивать корректное и бесперебойное функционирование АСУТП при непрекращающемся росте автоматизации (что весьма тревожно). На сегодняшний день защищаемым объектом с точки зрения кибербезопасности выступает не информационная система предприятия в отдельности, а все предприятие в целом. Речь уже идет не столько об утечках конфиденциальной информации или краже денег со счетов предприятия – ведь при серьезных нарушениях в работе АСУТП есть огромный риск нанесения вреда как окружающей среде, так и жизни, и здоровью людей. Получается, что промышленную безопасность технологических объектов невозможно рассматривать в отрыве от безопасности информационной, причем при проектировании систем ИБ необходим комплексный подход и учет разнообразных факторов риска. Просто установить антивирусное ПО на рабочие станции персонала уже давно недостаточно.

Автор очень точно подмечает сложность создания систем информационной безопасности на технологических объектах – не существует типового программно-аппаратного комплекса, вроде автомобильной сигнализации, который смог бы обеспечить защиту АСУТП без кропотливой и дорогостоящей доработки под конкретный объект. Хочу только добавить к этому, что при внедрении защитных систем на промышленных объектах необходимо учитывать общие особенности АСУТП – повышенные требования к бесперебойной работе, распределенный характер систем, и, местами, даже работу в режиме реального времени.

Также поднимается весьма важная проблема – отсутствие полноценного нормативно-правового регулирования в сфере информационной безопасности промышленных объектов. Автор упоминает, что любые средства и методы обеспечения информационной безопасности не являются обязательными для собственников промышленных объектов или их управляющих компаний. Фактически, до недавнего времени не было никакой разницы между крупным нефтеперерабатывающим заводом и, например, небольшой торговой компанией – и там, и там уровень предпринимаемых мер по защите от информационных угроз был обусловлен осведомленностью руководства о рисках, которые в себе таят такие угрозы.

Мероприятия по обеспечению информационной безопасности – еще одна статья расходов, причем зачастую весьма обширная: если, например, систему защиты от кибератак внедрять на уже функционирующем, построенном десяток лет назад производстве, это потянет за собой обновление большей части используемых информационных систем, т.е. повлечет дополнительные расходы. По этой причине защита промышленных объектов зачастую строится «по остаточному принципу» и ограничивается выделением АСУТП в отдельную подсеть с установкой антивирусного ПО (зачастую, бесплатного) на рабочие станции.

Тем не менее, автор почему-то не упоминает о весьма важном шаге для исправления сложившейся ситуации, который был сделан совсем недавно. С 1 января 2018 года вступил в силу закон «О безопасности критической информационной инфраструктуры», обязывающий собственников/управляющие компании принимать организационные и технические меры по обеспечению информационной безопасности на должном уровне.

Этот документ описывает основные принципы, по которым государство будет выстраивать систему контроля и мониторинга информационной безопасности на объектах критически важной инфраструктуры. Детали реализации, нормативно-правовое регулирование и контроль за исполнением закона будут поручены ФСБ и ФСТЭК России.

К большому сожалению, во второй половине статьи рассуждения уходят от действительно актуальных проблем в сторону столь модных сегодня геополитических фантазий и рассуждений о «потенциальных противниках». Я категорически не согласен с расставленными автором приоритетами угроз.

Не вдаваясь в рассуждения о вероятности наличия «закладок» в низкоуровневых элементах АСУТП, давайте на секунду предположим, что они там есть. Для этого производителям подобных устройств (по крайней мере, крупнейшим из них) необходимо было вносить изменения во внутреннюю техническую документацию, дизайн устройств (печатные платы, набор комплектующих), производственные и логистические цепочки, короче говоря, нести огромные расходы. Кроме того, мы живем в эпоху интернета, подобные вещи долго скрывать не получится, и рано или поздно они всплывут на поверхность, после чего есть весьма большая вероятность попадания устройств «с сюрпризами» под пристальное внимание спецслужб (не только российских, давайте мыслить глобально).

Даже единичный такой случай может вылиться для компании-производителя в катастрофические финансовые и, главное, репутационные потери. Я очень сомневаюсь, что гиганты мирового уровня будут рисковать связываться с подобными вещами.

Тем более, для желающих «навредить» существуют способы куда эффективнее потратить деньги, чем оснащение заводов всего мира «модифицированными» ПЛК, например, спланированные направленные атаки на предприятие (т.н. APT – Advanced Persistent Threat), имеющие целью намеренное нарушение технологического процесса и нанесение максимального урона предприятию/людям/окружающей среде. Тем более, что примеры успешно проведенных подобных атак на промышленные объекты по всему миру уже есть – об этом достаточно подробно написано в специализированных изданиях о кибербезопасности.

На мой взгляд, автор статьи сильно переоценивает эфемерные угрозы, не замечая или не придавая значения рискам гораздо более прозаичным (но от этого не менее реальным).

Приведу пример. Не нужно даже представлять себе какую-то хитрую APT. Достаточно попадания во внутреннюю сеть промышленного предприятия модного ныне зловреда-шифровальщика. Не важно, как он туда попал – принес ли его на флешке кто-то прямо в операторную или он распространился по локальной сети через уязвимости в сетевом протоколе (свежайший пример – шифровальщик WannaCry, сотрясший интернет в мае 2017 г.).

После заражения и первой же перезагрузки рабочие станции, входящие в АСУТП, будут выведены из строя на неопределенный срок, доступ операторов к рабочим местам будет невозможен. Безусловно, работу установки придется останавливать «вручную». Ущерба жизни и здоровью людей с большой долей вероятности удастся избежать, но ведь даже час простоя технологической установки (а, тем более, учитывая ее последующий запуск) – это миллионы рублей убытка.

Вообще, как верно отметил автор статьи, решения для защиты промышленных объектов всегда комплексные, обязательно подразумевающие работу на различных уровнях, как технических, так и организационных.

Среди методов технических я бы выделил два наиболее очевидных:

  • защиту от «обычных» киберугроз, т.е. не специфичных для сферы промышленной безопасности. К таким можно отнести, как наиболее показательный (да и популярный) пример, – вирусы-шифровальщики. Разрабатываются они с целью шантажа максимально широкого круга людей, как обычных домашних пользователей, так и организаций – шифруют содержимое жесткого диска на зараженном компьютере, требуя денег за ключ расшифровки. Очевидно, зловреду совершенно не важно, что шифровать: фотографии из отпуска на персональном ноутбуке или исполняемые файлы модулей АСУТП в операторной.
  • защиту ПЛК от изменений в микропрограммах. Тут достаточно вспомнить один из наиболее известных примеров целевых атак на АСУТП – червь Stuxnet, атаковавший иранские промышленные объекты и «заточенный» под определенные модели используемых на производстве ПЛК. Микропрограмма контроллеров изменялась таким образом, что техпроцесс безвозвратно нарушался, оборудование выводилось из строя, но при этом на пульт диспетчера отправлялись поддельные данные о корректной работе системы. С организационными методами защиты ситуация несколько сложнее. Далеко не каждый руководитель понимает, что грамотная политика информационной безопасности и перестроение бизнес-процессов с учетом ее требований будут куда важнее всех остальных технических методов. Я хочу особо выделить следующие пункты, на которые, на мой взгляд, нужно обращать особое внимание:
  • тренинги по кибербезопасности для руководства ответственных за информационную безопасность. Сотрудники, отвечающие за информационную безопасность, обязаны иметь представление об актуальных киберугрозах и иметь опыт в таких сферах, как тестирование на проникновение (pentest) или цифровая криминалистика (digita
  • forensics). Руководителям же очень полезно представлять, какие риски несет с собой растущий уровень автоматизации техпроцессов;
  • повышение осведомленности персонала о природе современных киберугроз. Необходимо доносить даже до рядовых сотрудников предприятий, что они работают на опасных/критически важных объектах, и должны особое внимание уделять культуре информационной безопасности: не открывать вложения из подозрительных писем, не подключать к рабочим машинам usb-накопители и т.д. К сожалению, даже такие очевидные на первый взгляд вещи не всегда находят понимание среди людей. Причем эти советы должны быть донесены не только для персонала, непосредственно работающего с АСУТП, но и до всех остальных сотрудников предприятия – бывали случаи, когда зловред внедрялся в локальную сеть предприятия через отделы кадров или бухгалтерию, распространялся по сети и бил по АСУТП, выводя из строя технологические установки. Подводя итог, я бы хотел сказать следующее. Вспомним принцип «бритвы Оккама»: «не следует привлекать новые сущности без крайней на то необходимости». Так вот, нет никакой необходимости придумывать какие-либо хитрые, «особенные», угрозы на стыке промышленной и информационной безопасности. Есть масса угроз, которые уже придуманы, написаны и ежемесячно наносят ущерб предприятиям по всему миру независимо от страны и континента. Любая из них при отсутствии должного внимания к вопросу информационной безопасности со стороны руководства может нанести весьма ощутимый ущерб любому промышленному объекту – как небольшому «семейному» предприятию, так и критически важному для экономики заводу. Так давайте для начала озаботимся защитой наших критически важных объектов от таких вот элементарных угроз, которые, быть может, не вызовут драматических последствий, но экономический урон нанести в состоянии. А там, глядишь, и от мало-мальски спланированных атак уже развернутые системы смогут защитить.