Хочешь мира - готовься к кибервойне!

Автор: Евгений Акимов, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»

Отношение к киберугрозам в топливно-энергетическом комплексе сегодня, прямо скажем, неоднозначное. Некоторые компании уже запустил проекты по защите АСУ ТП, другие − только следят за данной тематикой. Пока нельзя с уверенностью сказать, что есть общее осознание существующих рисков.

Многие искренне полагают, что сеть, на которой работает АСУ ТП, функционирует независимо от корпоративной сети её с её почтовыми сервисами, бухгалтерскими приложениями, ERP, CRM и пр. Сотрудники в неё попасть не могут, а даже, если и попали бы, что они там найдут – информацию о давлении в трубопроводе? Ну и что? И зачем вообще каким-то непонятным киберпреступникам туда лезть? Нефть через провод не украдешь. Информацию о технологических процессах вряд ли продашь. Большой шумихи в СМИ про инциденты, связанные с отсутствием защиты АСУ ТП, тоже нет. Зачем тогда инвестировать в защиту от гипотетических проблем? Это мнение довольно распространено, и немалая часть компаний предпочитает занимать выжидательную позицию.

Далее мы обсудим каждый из этих моментов: и возможности киберпреступников и их мотивацию. Начнём с того, так ли всё неуязвимо в АСУ ТП.

Опасные ребята

Говоря о тех возможностях, которыми обладают преступники, приведу два примера из нашего опыта.

Почти каждый наш проект в топливно–энергетическом комплексе начинался с оценки защищенности АСУ ТП с точки зрения взломов. Мнение, с которым мы сталкивались в данных компаниях, я озвучил выше: «У нас отдельная сеть. С ней ничего не будет». Так ли это на самом деле, показывает практика.

На одном из предприятий, с которым мы работали, сеть Wi-Fi находилась под официальным запретом. Действительно, ИТ-подразделение беспроводную сеть не поднимало. Но на каждом современном и даже не очень современном ноутбуке есть возможность запустить точку доступа Wi-Fi. Естественно, что кто-то из сотрудников не преминул этим воспользоваться для каких-то своих целей. В течение нескольких часов нам удалось незаметно взломать эту сеть прямо из машины, припаркованной около здания заводоуправления и захватить компьютер, являвшийся точкой доступа.

С этого ПК мы начали ходить по корпоративной сети, и в течение нескольких часов без особого труда нашли якобы «не существующий» шлюз между корпоративной сетью и АСУ ТП. Надо ли говорить, что никакой особой защиты там не стояло, и с помощью уязвимости операционной системы и приложений нам удалось получить управление серверами. На этом этапе мы остановились (в принципе, таким образом можно было обесточить полгорода) и принесли данные исследования руководству, что и стало последней каплей в обосновании запуска проекта.

В другой компании мы использовали социальную инженерию: на ряд почтовых ящиков, которые нашли в интернете, разослали письма с сообщениями «посмотри, какая классная ссылочка». Простак нашёлся, и кто-то по этой ссылке все-таки перешел, поймал трояна, и мы получили доступ к компьютеру. Дальше – по старой схеме. В итоге, мы получили контроль над насосной станцией, которая перекачивает нефтепродукты.

Мир поменялся

Мировой опыт в этом вопросе также весьма показателен.

  • Кибертеррорист, видимо используя схожие технологии, отключил управление диспетчерской аэропорта Ворчестер в штате Массачусетс.
  • В Австралии из-за действий террориста произошел сброс десятков миллионов литров сточных вод в почву.
  • В Интернете появились данные о захвате системы управления трубопроводами России. Газпром этого факта официально не подтверждает.

Цели

Зачем люди идут в кибертеррористы? Некоторое время назад, на заре

«хакеризма», целью подобных действий было самоутверждение: я куда-то залез, что-то сломал, что-то погасил, самолеты не летают. Я крут. Хулиганство ради забавы − удел неокрепших умов. Прагматики же хотят денег.

Отвлечёмся ненадолго на то, что происходит в других отраслях.

В 2011 Мегафон компенсировал своим абонентам потери от действий кибермошенников в 9 миллионов рублей. В прошлом году сумма составляла уже 40 миллионов. Рост более чем в 4 раза. И хотя эти показатели довольно значительные, они меркнут на фоне того, что происходит в банковской сфере.

Сбербанк за 9 месяцев прошлого года предотвратил хищений с клиентских счетов на сумму более 1 миллиарда рублей. Количество попыток съема денег со счетов клиентов выросло за год более чем в 3 раза. А это уже полноценный криминальный бизнес.

В ТЭК всё серьезнее. Когда речь идет о сточных водах, нелетающих самолетах и взорванных электростанциях − это не хулиганство, воровство или криминал. Это целенаправленные диверсии. И участвуют в них не мелкие воришки, и даже не крупные криминальные группировки.

Информация для размышления: еще несколько лет назад черный рынок софта для взлома различных систем состоял из небольших групп людей, которые эти эксплойты пишут, а также тех, кто их выкупает и использует. Стоимость такого заказного ПО составляла порядка 3-5 тыс. долларов. В последние год-два стоимость заказных эксплойтов возросла до 100 тыс. долларов. Эксперты объясняют это тем, что на черный рынок ПО вышли спецслужбы различных государств.

Кибервойна?

Впервые раз я столкнулся с этой проблемой в студенчестве. В 1996 год мой преподаватель, сотрудник российских спецслужб, в качестве дополнительного довода о необходимости контроля отсутствия недекларируемых возможностей в софте, привёл в пример случай с закладками в зарубежном оборудовании. Результатом этих действий, организованных ЦРУ, стал взрыв трубопровода в Сибири.Тогда в это верилось с трудом, но в 2004 сотрудник ЦРУ описал это событие в своих мемуарах с оценкой мощности взрыва в три килотонны.

Более позднее время – конфликт Израиля и Сирии. Во время авиаудара сирийцы отметили проблемы с ПВО из-за кибератаки.

И наконец, самый известный случай – вирус Stuxnet, в разработке которого пострадавшая сторона напрямую обвиняет США и Израиль. Сначала этот вирус обнаружили на предприятии по обогащению урана в Иране. В результате, иранцы оценили потери эквивалентно 2 годам разработок. Вирус не был локальным. Его распространение показано на карте.

В прошлом году правительство США официально заявляло о целенаправленных атаках на Пентагон со стороны Китая. Кто это, преступники или спецслужбы, не известно, но факт остаётся фактом.

Реакция последовала незамедлительно. Официальные органы России и США заявили о серьезности угроз национальной безопасности и необходимости выработки ответных мер.

Возможно, несколько лет назад колючая проволока, серьезная проверка сотрудников предприятий ТЭК, отсутствие инцидентов и уверенность в том, что технологический сегмент отделен от корпоративного, и защищали от угроз. Картина сегодняшнего дня совершенно другая.

ЧТО ДЕЛАТЬ?

Следует понимать: какие бы меры не предпринимались, 100% защиты не существует.

Шаг 1

Очень правильная стратегия – использовать чужой опыт. Имеется в виду не только другие компании, но и департаменты собственной организации. Тут не нужно открывать Америку и преодолевать путь в 15-20 лет, который прошла ИТ. Firewall, IPS, антивирусы, шифрование – все это уже есть в корпоративной сети, и с учетом специфики АСУ ТП должно быть как можно быстрей перенесено в технологический сегмент.

На этом этапе служба безопасности может столкнуться с рядом проблем. Прежде всего, с новизной. Раньше в безопасности объектов ТЭК ни о какой кибербезопасности речи не было. Довольно сложная задача для подразделений безопасности – оперативно найти грамотных ИБ специалистов, наладить с ними конструктивное взаимодействие. Нетривиальный вопрос – как оценивать навыки кандидатов, если у самих нет таких компетенций.

Как известно, практически все используемое ПО, в том числе и по управлению АСУ ТП, западного производства. Про закладки, которые могут быть в коде, и их последствиях я уже рассказывал выше. По-хорошему, подобные вещи надо проверять, но кто из западных производителей на это пойдет?

Кроме закладок в коде возможны уязвимости, которые могут повлечь за собой нештатный режим работы оборудования. С этой проблемой справиться легче. Во-первых, все потенциальные проблемы известны, а во-вторых, существуют Firewall, создающие виртуальный патчинг. Да и производителя кода теоретически можно заставить убрать уязвимости из своих продуктов.

Марианна Кочубей

Мнение Марианны Кочубей, помощника руководителя Антитеррористического центра СНГ, доктора юридических наук:

«В современном мире риски террористических атак на объекты энергетики многократно возросли. Университет ООН сделал прогноз «Глобальные Энергетические Сценарии» до 2020 года, в котором отмечено, что, что мир вступил в эпоху войн за ресурсы. В докладе прямо указано, что главной целью многих террористических и экстремистских группировок становится не свержение центрального правительства или приобретение гражданских прав, которых была лишены их социальная, этническая, религиозная группа, а установление и удержание контроля над ресурсами. На это ясно указывают тенденции последних лет. Приведу лишь несколько примеров.

«Арабской весне» в Египте предшествовали системные диверсии на газопроводе, ведущем из Египта в Израиль, в результате чего Израиль был ограничен в доступе к газу. Это повлекло за собой серьезные энергетические и экономические последствия.

Схожая ситуация в Ливии. Там повстанцы первым делом бросились не в Триполи освобождать узников совести, а атаковали и установили контроль над нефтеналивными портами, и только потом начались волнения и беспорядки в столице.

Если мы посмотрим на события в Алжире начала этого года, террористы захватили крупный газоперерабатывающий завод, взяли заложников. Итог – поставки в Европу были временно приостановлены, экономика Алжира испытала потрясение.

Таким образом, при нападении на большой объект энергетики решается сразу несколько стратегических задач, а варианты такого нападения могут быть разными, как физическое вмешательство (взрывы, диверсии), так и виртуальное – кибератаки.».

Шаг 2

Возвращаясь к невозможности 100% защиты, как бы мы ни обеспечивали безопасность кода, какую бы стену из безопасности ни выстраивали, всегда найдется «человек со стремянкой», который может всё преодолеть.

Во многих государствах Европы в качестве дополнительной меры борьбы создают центры реагирования на киберинциденты . Работающие в режиме

24/7, они, в случае атаки, могут оперативно отреагировать, отключить сеть и нивелировать угрозу. Учитывая масштаб организаций России – Газпром, Роснефть и т.д. – можно говорить о создании корпоративных центров реагирования, не ожидая реакции государства.

Существует технология расширенного проникновения (advanced persistent threat – APT) и, соответственно, расширенного противодействия проникновению (anti advanced persistent threat – Anti-APT).

APT занимает месяцы, в течение которых пишется специальное ПО, в сеть запускаются сложные трояны, которые не ловятся антивирусами,− идет постепенный процесс по краже конфиденциальной информации или подготовке к диверсии. Противостоять таким атакам при помощи автоматизированных систем защиты невозможно – такой суперпрофессиональный взлом они не замечают. Бороться с ними можно только силами специальных команд противодействия. В топливной энергетике создание таких групп вполне оправдано.

Опишу лишь некоторые трудности, которые могут возникнуть при реализации данных задач.

Первая заключается в задействованности многих подразделений. Если обычный проект по безопасности – это сотрудничество ИТ и ИБ департаментов, то в случае с обеспечением безопасности АСУ ТП формула намного сложнее: ИБ + корпоративные ИТ + производственные подразделения + подразделения отвечающие за работу АСУ ТП. Отсюда сложности с согласованием, сроками, обеспечением доступа на объекты.

Вторая проблема – географическая распределенность. В обычном корпоративном сегменте это намного скромнее, например, 1000 метров на этаж, всего 10 этажей, плюс удаленное подразделение – несколько компьютеров в одном месте. Тут понятно, как тянуть кабели, как устанавливать антивирусы. Если же говорить об энергокомпаниях, то точек работы технологических систем на один только Московский регион − сотни. И все они неодинаковые. Разное ПО, разные версии софта. Компании росли и поглощали друг друга. В результате, для решения одной задачи используется несколько типов АСУ ТП. Однотипное решение тут − несбыточная мечта. Эти точки не удается даже удаленно анализировать, приходится приезжать и смотреть, что реально на них стоит, чтобы решение по защите было применимо. А через два месяца все меняется, приобретаются новые трансформаторы и все процесс запускается заново.

И, наконец, очень серьезный вопрос: кто и как должен выбирать сами средства защиты? Ведь в топливной энергетике, случись что, от этого выбора зависит безопасность не только конкретной организации, но и целого государства. Весьма опрометчиво оставлять его за организациями. Такой серьезный вопрос должен решаться в рамках серьезного сотрудничества государства и бизнеса, к которому мы в итоге должны прийти.

Алексей Лукацкий

Мнение Алексея Лукацкого, бизнес-консультанта по безопасности, Cisco Systems:

«В последнее время значительно увеличилось число международных атак на стратегические объекты, в числе которых ТЭК, ЖКХ, транспорт, промышленность. Такие атаки очень опасны, ведь они влекут за собой серьезные финансовые потери для самих государств, а также нередко наносят ущерб гражданам. Именно поэтому сегодня во многих странах ведется разработка документов и стандартов кибербезопасности, либо происходит активная подготовка к их созданию.

В России в настоящее время идет процесс ухода от точечной защиты отдельных ведомств к формированию национальной стратегии кибербезопасности. В частности, в 2012 году в Совете Безопасности был разработан документ «Основные направления по защите АСУ ТП», а также подготовлен план действий по обеспечению безопасности стратегических объектов до 2020 года. Более того, скоро увидит свет документ о формировании культуры кибербезопасности. Его цель – вывести данный вопрос на широкую аудиторию, чтобы каждый гражданин, так или иначе имеющий отношение к ИТ, знал основные правила обеспечения защиты.

Наконец, в МИД ведутся переговоры о формирования законодательной базы и мер транснациональной безопасности на уровне ООН. Речь также идет о разработке кодекса поведения на глобальном уровне. Все это делается для того, чтобы уже в ближайшее время появилась возможность укрепить национальную безопасность, опираясь на внутренние принципы и международную практику.».


Другие статьи
Поделиться:
 
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.