• (D)DoS-атаки (возможны при наличии подключения ICS к Интернету).
• Саботаж со стороны внутренних и внешних нарушителей (в данном случае речь не идет о саботаже средствами специального ПО).
• Запуск вредоносного ПО через съемные носители и внешние устройства (Stuxnet).
• Чтение и запись записей в сети промышленных систем контроля (АСУ ТП).
• Несанкционированный доступ к ресурсам.
• Атаки на компоненты сети (атака типа «незаконный посредник» (MITM), упрощение анализа трафика и проч.).
В основных параметрах динамика ИКТ-угроз объектам КИИ сегодня может быть описана в рамках нескольких тенденций:
• Рост числа и масштабов инцидентов, связанных с ИКТ-угрозами АСУ ТП КВО.
• Внедрение интеллектуальных систем энергоснабжения (программа Smart Grid) и неуклонное повышение зависимости функционирования КВО от АСУ ТП в целом информационных систем, в том числе подключенных к различным сетям, в том числе и Интернету.
• Тенденция к увеличению числа инцидентов, предположительно отражающих стратегические мотивы нарушителей, в том числе и в пользу отдельных государств.
• Стратегия сочетания инструментов кибершпионажа и агрессии при осуществлении недружественного воздействия на АСУ ТП КВО.
Отдельного внимания заслуживает резкий рост количества и размаха кампаний кибершпионажа и целевых атак в отношении объектов КИИ (см. рис. 5).
На рисунке 5 приведены далеко не все примеры кампаний кибершпионажа и организации атак с использованием ИКТ на объекты КИИ.
Тем не менее, несмотря на глобальный масштаб кибершпионажа в отношении объектов КИИ, еще бóльшую и прямую угрозу может представлять использование различных вредоносных программ для вмешательства в работу информационных систем объектов КИ, в том числе саботажа функционирования таких объектов.
На сегодняшний день наиболее известным и серьезным по своим последствиям инцидентом, связанным с умышленными атаками на объекты КИИ с использованием специально разработанного программного обеспечения, остается использование червя Stuxnet для саботажа работ по обогащению урана на комбинате в иранском г. Натанз в 2009–2010 гг.
Помимо беспрецедентной сложности и успешного саботажа объектов в Натанзе, дополнительную опасность Stuxnet придало быстрое распространение по всему миру после попадания червя в Глобальную сеть в 2010 г. Несмотря на то что заражение десятков тысяч устройств не повлекло серьезных последствий в силу того, что вирус был нацелен на ПЛК одной конкретной модели, «утечка» червя в Глобальную сеть показала, что даже самые точные и сложные инструменты операций с использованием ИКТ могут выходить из-под контроля и угрожать неограниченно широкому кругу объектов.
Stuxnet – первый прецедент применения вредоносного ПО в целях саботажа стратегических объектов
Описание. Компьютерный червь, первое в истории орудие стратегического саботажа средствами ИКТ. Многими российскими и зарубежными экспертами признан первым случаем использования компьютерного кода в качестве оружия, обсуждалась теоретическая возможность квалификации его использования в качестве акта агрессии в рамках Статьи 52 Устава ООН.
Создание и применение. Разрабатывался с 2005–2007 г. в рамках программы Олимпийские игры как средство замедления иранской атомной программы тайными невоенными средствами. В 2008–2010 гг. поразил АСУ ТП на комбинате по обогащению урана в иранском городе Натанз. Первая версия червя могла поразить иранские объекты в 2007 г.; обновленные версии появлялись в июне 2009 г., а также весной 2010 г., также попав в сети объекта в Натанзе. Выявлен лишь 17 июня 2010 г. после многих месяцев скрытой деятельности. Активность червя привела к физическому износу и выведению из строя более 1000 центрифуг и торможению ядерной программы Ирана на срок от шести месяцев до двух лет. Эти события спровоцировали широкую дискуссию о потенциале использования кибероружия и необходимости его ограничения.
Функционал. Крайне передовая и сложная вредоносная программа объемом более 500 Кб, 15 000 строк кода. Осуществлял перехват и модификацию информационного потока между программируемыми логическими контроллерами (ПЛК) Siemens марки Simatic S7 и рабочими станциями системы Simatic WinCC. Использовал четыре уязвимости нулевого дня ОС Microsoft Windows и два действительных цифровых сертификата. Возможно, распространялся через USB-накопители, после попадания во внутреннюю сеть скрытно распространялся, находил нужные ПЛК, перехватывал контроль над ними и (в случае с Натанзом) изменял скорость вращения роторов центрифуг, вызывая их ускоренный физический износ. В то же время на рабочие станции АСУ ТП отсылалась заранее сохраненная червем информация о штатной работе всех центрифуг, что позволяло Stuxnet в течение долгого времени действовать скрытно.
Учитывая опыт Stuxnet, необходимо понимать, что инцидент в Натанзе не стал единичным примером использования ИКТ для нарушения работы объектов КИИ, а спектр ИКТ-угроз таким объектам не исчерпывается операциями государственных игроков с мотивами стратегического саботажа. За последние годы в открытом доступе неоднократно появлялись сообщения об инцидентах, связанных с вмешательством в работу объектов КИИ в различных секторах национального хозяйства, включая атомную отрасль:
• В США в 2003 г. червь Slammer проник на АЭС Дэвис Бесс (Davis-Besse) и вызвал сбой в цифровой системе мониторинга параметров безопасности, проникнув из внешней сети на АСУ ТП станции. Дублирование функций мониторинга аналоговой системой позволило персоналу объекта получать необходимые данные о состоянии на протяжении почти пяти часов сбоя и избежать серьезных последствий.
• К кампаниям и образцам ПО на рисунке 5 достаточно близок троян, известный как Shamoon и использовавшийся для атак на инфраструктуру нефтяных компаний Саудовской Аравии и, предположительно, Катара. В августе 2012 г. червь мог заразить до 30 000 рабочих устройств арабской нефтяной компании Saudi Aramco; в сентябре 2012 г. похожая атака имела место в отношении катарской компании по производству СНГ RasGas. Несмотря на «родство» с Flame и похожего модульного дизайна, Shamoon, согласно отчету «Лаборатории Касперского», предназначен не для сбора информации, а для уничтожения файлов на зараженных системах. Для ликвидации последствий заражения червем предприятие Saudi Aramci было вынуждено приостановить работу внутренней корпоративной сети на десять дней и понесло определенные убытки. Хотя Shamoon не может быть назван инструментом саботажа КИИ (червь не проник в АСУ ТП), такой инцидент все же затрагивает работу критических объектов.
Ключевые выводы, которые позволяет сделать сегодняшняя картина инцидентов безопасности КИИ в части ИКТ-угроз, неутешительны:
• Нарушение работы стратегических объектов, включая техногенноопасные объекты, средствами ИКТ технически реально и в определенных обстоятельствах политически приемлемо для ряда ключевых игроков, включая государства.
• Даже при наличии большого количества косвенных технических данных, указывающих на заказчика кибератаки на критический объект, и подтверждения такой информации независимыми источниками (Эдвард Сноуден, Дэвид Сангер) оперативное трансграничное расследование инцидента малореально, так как возможности и механизмы достоверной атрибуции атак на международном уровне крайне ограничены. Это обеспечивает безнаказанность государств и субъектов-посредников, причастных к таким атакам.
• Несмотря на соображения национальной безопасности, государствам, осуществляющим эксплуатацию техногенноопасных объектов КИ, по мере роста роли ИКТ в эксплуатации таких объектов все более остро нужен будет доступ к лучшим мировым практикам и экспертизе в сфере обеспечения безопасности КИИ. Прежде всего речь идет о развивающихся странах, активно воплощающих программы строительства техногенноопасных объектов, включая объекты атомной отрасли (Индия, Вьетнам, Иран, Турция, Бангладеш, Пакистан), либо планирующих их развитие (Алжир, Египет, Индонезия и проч.). Собственных компетенций в случае атак, аналогичных либо превосходящих по уровню сложности Stuxnet, специалистам таких стран может не хватить, как показывает иранский опыт. В ситуации, когда выработка форм конструктивного международного взаимодействия может оказаться затруднительной в нынешних условиях, более вероятными могут оказаться двусторонние или региональные форматы такого сотрудничества.
• Отсутствие реализованной угрозы Бушэрской АЭС в случае со Stuxnet не означает того, что выведение таких объектов из строя невозможно. В 1988 г. на Игналинской АЭС в Прибалтике был зафиксирован случай саботажа со стороны работника отдела АСУ, который внес изменения в работу программного комплекса, отвечающего за один из процессов на атомном реакторе. По счастливой случайности жертв удалось избежать. В этой связи необходимо не только признание, но и отражение нового вида и уровня риска в политиках и документах государств, осуществляющих эксплуатацию АЭС и других техногенноопасных объектов (иные объекты ЯТЦ, дамбы ГЭС и проч.).
Эти факторы, с учетом отсутствия у значительной части государств эффективных стратегий борьбы с изощренными ИКТ-угрозами безопасности КИИ и дефицита кадров, экспертных компетенций и иных ресурсов у многих развивающихся стран, ставят вопрос о развитии международного взаимодействия в сфере обеспечения безопасности объектов КИИ.
Актуальность обеспечения защиты АСУ ТП от информационных угроз
Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского»
Работает в «Лаборатории Касперского» с 1998 г. За время работы прошел путь от инженера-программиста до главного архитектора ПО. В настоящее время возглавляет Департамент перспективных технологий. Участвовал в разработке ряда прорывных технологий и продуктов «Лаборатории Касперского». Сейчас занимается разработкой защищенной операционной системы и технологий, предназначенных для защиты АСУ ТП.
Необходимость информационной защиты автоматизированных систем управления технологическими процессами (АСУ ТП) в настоящее время уже не подвергается сомнению со стороны ведущих мировых специалистов. Тем не менее все еще достаточно широко распространено мнение, что подобные системы не нуждаются в защите или изначально неплохо защищены. Кроме того, некоторые специалисты уверены, что имеющиеся сегодня средства защиты не могут быть использованы в индустриальной информационной среде.
Отчасти такие сомнения оправданны – существующие средства информационной защиты действительно необходимо применять в индустриальной среде с большой осмотрительностью, однако пренебрегать защитой ни в коем случае нельзя. Совершенно ясно, что в современных условиях информационные технологии могут быть использованы для негативного воздействия на индустриальные объекты, вплоть до нанесения значительного материального ущерба и даже до физического разрушения. Несколько таких случаев уже было зафиксировано.
Разумеется, подходы к информационной безопасности АСУ ТП существенно меняются по сравнению с «офисной» информационной средой или использованием информационных технологий в личных целях. Если для рядовых пользователей приоритетом является конфиденциальность информации, а целость и доступность данных имеют меньшую значимость, то в технологических системах управления приоритеты другие, и первостепенное значение здесь имеют как раз целостность и доступность данных, благодаря которым и обеспечивается непрерывность процесса управления.
Новая реальность
Нарушить стабильность функционирования производственной сети сегодня может не только отказ технологических узлов или ошибка оператора, но также ошибки в ПО, случайное заражение рабочих станций вредоносными программами или целенаправленные действия со стороны киберпреступников. А они в последние годы проявляют все больший интерес к инфраструктурным и промышленным объектам.
Например, с 2010 г. и по настоящее время продолжается кампания кибершпионажа, известная как Crouching Yeti или Energetic Bear. Более 2800 предприятий, значительная часть которых связана с энергетикой и машиностроением, уже пострадали от действий организаторов этой операции – предположительно похищена конфиденциальная информация, составлявшая коммерческую тайну. Большая часть предприятий-жертв находится в США и Испании, однако в их числе есть и некоторые российские объекты.
Другой пример: 2 января 2014 г. системный администратор японской АЭС Monju обнаружил многократные удаленные подключения к одному из восьми компьютеров в центре управления реактором. Причиной этого инцидента стала установка одним из сотрудников обновления бесплатного видеоплеера GOM Media Player. В результате инцидента злоумышленниками была украдена часть информации, в том числе конфиденциальной, хотя последствия исполнения злонамеренного программного кода в центре управления реактором могли бы быть куда более опасными.
Казалось бы, в этих условиях достаточно обеспечить сетевую изоляцию АСУ ТП. Но несостоятельность этой концепции продемонстрировал печально известный инцидент с Stuxnet: компьютерный червь размером 500 Кб проник в изолированные сети через USB-накопитель и инфицированные SCADA-проекты, заразил программируемые логические контроллеры и физически вывел из строя центрифуги на ядерном объекте в Иране. Более того, потом этот червь «вырвался на свободу» и затронул ряд других критически важных объектов.
В конце 2014 г. также была зафиксирована атака на одно из металлургических предприятий в Германии. При помощи фишинга и методов социальной инженерии, в частности посредством писем, содержавших вредоносные вложения, киберпреступники проникли во внутреннюю сеть предприятия и получили доступ к системам управления производством. Инцидент привел к тому, что сталеплавильную печь невозможно было остановить в штатном режиме, что привело к значительным убыткам. Это второй случай после Stuxnet, когда проникновение вредоносного ПО в АСУ ТП закончилось для предприятия реальным материальным ущербом.
Однако АСУ ТП критически важных объектов угрожают не только целенаправленные атаки со стороны кибертеррористов. Специфика этих систем такова, что они вполне могут пострадать и от самых обычных, «офисных» вирусов. Однако в промышленных сетях обычное вредоносное ПО способно причинить несравнимо больший вред, чем при заражении офисного или домашнего компьютера – например, заблокировать выполнение критически важных приложений, что приведет к сбою в работе оборудования. Например, червь Conficker сумел заразить производственную сеть только потому, что в ней не было своевременно установлено обновление ОС Windows.
Зловред посылал миллионы сетевых запросов, тем самым вызывая паралич производственной сети.
Даже средства автоматизированного проектирования могут использоваться для распространения вредоносного кода. Так, например, был зарегистрирован случай проникновения в производственную сеть вредоносной программы, написанной на языке AutoLisp (AutoCAD). Она внедрила вредоносный код в чертеж, открытие которого привело к массовому уничтожению данных.
Обеспечение непрерывности процесса управления АСУ ТП
Основным показателем защищенности АСУ ТП является их способность поддерживать стабильность, непрерывность и корректное функционирование технологического процесса, будь то выработка и передача электричества, очистка воды, управление производством или что-то другое, независимо от внешних воздействий. Но в реальной жизни всегда существует масса факторов, из-за которых промышленные системы могут выйти из строя, особенно если им «помогают» киберпреступники.
Наибольшему риску АСУ ТП сегодня подвергаются в первую очередь из-за устаревшего ПО, оборудования и коммуникационных протоколов, изначально не предполагавших даже самой возможности существования киберугроз. Проблема усугубляется еще и тем, что для обновления этого ПО нужно преодолеть массу административных и технологических трудностей, и не каждая компания пойдет на это.
Немало вопросов вызывает также информационное взаимодействие сети АСУ ТП с офисной сетью предприятия. Обычно АСУ ТП функционируют в изолированной сети, но нередки случаи, когда в ней создаются каналы обмена информацией с корпоративной сетью для обеспечения тех или иных производственных процессов. Часто доступ к сети АСУ ТП имеют сторонние, например, сервисные компании или компании производители оборудования, что также чревато проблемами. Зачастую при этом владельцы промышленных объектов уверены в том, что их АСУ ТП изолирована, что не способствует принятию ими мер защиты и предотвращения вторжений.
Если говорить непосредственно о компонентах АСУ ТП, то уязвимыми элементами в них являются ПЛК, сетевое оборудование, промышленные сетевые протоколы общения, а также SCADA-системы. Контроллеры подвержены сетевым атакам вроде DoS/DDoS, часто содержат неизменяемую идентификационную информацию. Используемые сетевые протоколы нередко не имеют механизмов подтверждения аутентификации и шифрования данных. Что касается SCADA, то, как и обычные Windows приложения, они подвержены всем тем же уязвимостям, и это, безусловно, дает злоумышленникам «простор для творчества». На данный момент только в открытых источниках указано около 650 уязвимостей в SCADA-системах, и эта цифра продолжает расти.
В современных условиях информационные системы АСУ ТП должны как содержать защиту от «обычных» зловредов, так и располагать специальными средствами для противодействия целенаправленным атакам.
Текущие трудности
К сожалению, сегодня в России защиту промышленной инфраструктуры затрудняют как архитектурные, так и организационные и технологические факторы. Не способствует решению проблем и сложная бюрократическая процедура внесения изменений в работу промышленных и особенно критически важных промышленных объектов.