Железный ад…

Семь любимых отговорок и один убийственный аргумент инженеров АСУ ТП, или почему всем безразлична информационная безопасность в индустрии.

Недавно мне довелось прослушать доклад, в котором шла речь об ИБ-угрозах для систем управления электрической подстанцией. После выступления инженеры АСУ ТП, присутствовавшие в зале, стали доказывать, что предлагаемый комплекс мер не только бесполезен, но даже опасен. Почти полгода назад, рассказывая о том, какие угрозы несут электростанциям, химическим заводам и другим критически важным объектам (КВО) недостаточная защищенность протокола HART и уязвимости работающего по нему софта на конференции 4S в Майами, я получил схожий перечень замечаний.

Захотелось обобщить услышанное. Сформировав небольшой перечень любимых отговорок, я добавил к нему «убийственный» аргумент инженеров АСУ ТП из серии «а оно нам надо?» и дал комментарии по каждому пункту.

Отговорка №1

Проникнув на индустриальный объект, злоумышленник и так может все сломать, поэтому защищаться от хакеров нет необходимости.

Комментарий. Этот отговорка – ТОП-1 среди аргументов, выдвигаемых инженерами АСУ ТП. Мол, наши линии защищены, на территорию завода никто не зайдет, ну а уж если проникнет, ему будет проще повернуть один вентиль, и авария окажется гораздо более серьезной.

Но инженеры «забывают» о том, что одной из задач злоумышленника может быть сокрытие причин аварии и самого факта атаки. Применение для этой цели не физического воздействия на объект, а открытых и неконтролируемых каналов связи подходит идеально. К тому же игнорируется тот факт, что современные АСУ ТП используют не только внешние проводные линии передачи данных, длина которых может составлять километры, но и беспроводные технологии, включая GSM, Wi-Fi, ZigBee и «самопальные» протоколы поверх мегагерцовых радиочастот. Вспомним происшествие в Маручи (Maroochi Water Breach Incident), когда  уволенный из компании инженер не пробрался на предприятие, чтобы вручную повернуть вентиль, а взял направленную антенну, многократно «повернул» вентиль и слил очень много загрязненной воды.

Отговорка №2

Стоимость внедрения предлагаемых решений по защите и устранения уязвимостей намного превосходит нашу оценку риска, поскольку вероятность инцидента очень мала.

Комментарий. Этот аргумент мне особенно нравится. Мы с КВО работаем или нет? Если все же да, то давайте прикинем примерный ущерб от утечки хлора при аварии на химзаводе, от веерного отключения региона из-за ошибки системы управления подстанцией, от взрыва на ТЭЦ из-за некорректных показаний датчиков давления в котле. Не нужно умножать на вероятность, просто посчитайте УЩЕРБ. От единичного случая. И не стоит ссылаться на отсутствие инцидентов в прошлом – все когда-то происходит впервые. И вспомните Маручи.

Полезно задуматься и о том, сколько инцидентов остались скрытыми и сколько раз при расследовании не были найдены следы нарушителей ИБ системы управления. Посетите соседний завод и попросите показать систему, аналогичную SIEM для компьютерных сетей предприятия, только установленную в сегменте АСУ ТП. Ах, нет такой? Так как же можно утверждать, что произошедшие ранее инциденты не были следствиями программных ошибок или действий злоумышленников!

Отговорка №3

Используемые в нашей индустрии микроконтроллеры/процессоры/электроника настолько вычислительно маломощны, что внедрение шифрования на уровнях ниже MES невозможно.

Комментарий. На первый взгляд, это замечание может показаться справедливым, но давайте разберемся. В современных ПЛК установлены мощные микроконтроллеры и ASIC, и их возможности зачастую намного превосходят потребности инженеров АСУ/ТП. Многие ПЛК уже применяют HTTPS, так почему же тогда нельзя поддерживать шифрование протоколов на более низких уровнях?

Недавно мне довелось изучить «внутренности» одного датчика температуры, поддерживающего FF H1 и Profibus PA. После «вскрытия» обнаружились две микросхемы FPGA, одна CPLD и микроконтроллер на базе ARM Cortex M3. А затактовано все это было от кристалла на 100 МГц! Так о какой недостаточной вычислительной мощи идет речь?

Отговорка №4

Нас спасет изоляция. Мы не подключены к Интернету, к тому же антивирусные базы, патчи на ПО и прочее надо сертифицировать, поэтому обновление ПО и исправление уязвимостей приведут к увеличению риска, а не к его уменьшению. Наконец, у нас есть "диоды".

Комментарий. Говоря об изоляции, многие подразумевают «наш сегмент сети не взаимодействует с Интернетом и внешним миром». На самом деле это далеко от истины. Сегмент АСУ ТП может так или иначе взаимодействовать с MES или КИС, а КИС – быть как-то связанным с Интернетом. Например, компьютер инженера КИС может иметь доступ и к Интернету, и к системе АСУ ТП. Взлом MES-системы, доменного сервера или инфраструктурных устройств (таких как KVM, IPMI, маршрутизаторы, файерволы, коммутаторы и др.) тоже может нарушить изоляцию.

Но даже если перечисленных проблем нет, это еще не означает изоляции. Современные инфраструктуры АСУ ТП настолько сложны, что могут включать в себя внешние линии связи для датчиков и RTU, расположенные за пределами предприятия или объекта, могут использовать беспроводные технологии или задействовать другие системы, например видеонаблюдения. Все это – потенциальные точки вторжения. А так как проводить аудит наши инженеры АСУ ТП не любят, то зачастую архитектурные дыры остаются открытыми годами и даже десятилетиями.

Кроме того, принцип изоляции дает удобный повод ничего не делать – не обновлять ПО и прошивки оборудования. Бездействие аргументируется все тем же принципом изоляции и необходимостью сертификации любого обновления (даже критически важного), после которой могут пройти годы до установки этих обновлений.

Вы думаете, кто-то усвоил уроки Stuxnet? Уверены, что флешки на предприятиях никто не использует? Значит, вы слишком доверчивы.

Отговорка №5

Физический контроль нерушим.

Комментарий. Один из самых любимых аргументов инженеров АСУ ТП – наряду с сертификацией, закладками и физическим доступом. Дескать, наличие физического контроля – панацея от всех бед. Даже если злоумышленник сможет каким-либо образом переконфигурировать или передать ложные данные на тот или иной компонент системы, то сработает физический контроль, релейная автоматика, и ничего страшного не случится. Вот только инженеры забывают, что в случае компрометации системы такая команда может прийти от поддельного оператора системы.

Спросите инженера: может ли он гарантировать, что оператор не имеет возможности привести индустриальную систему с пульта в некорректное состояние? При любом ответе напрашивается следующий вопрос: а что будет делать оператор, если такое все же произойдет, хватит ли у него возможностей для вывода инфраструктуры из критического состояния?

Но пусть даже хватит. Давайте представим, что произойдет, если злоумышленник воспользуется правами оператора и отправит команду, якобы, от HMI или PLC. Большинство систем АСУ ТП до сих пор при общении с RTU используют протоколы Modbus, Profibus, HART и множество других, которые на физическом и канальном уровне не гарантированы от сниффинга и спуфинга, не применяют шифрование, не реализуют функции аутентификации и авторизации пользователей и устройств на уровне приложения. Получив физический доступ к линии или возможность контролировать одно из устройств на линии, злоумышленник сможет легитимно отправлять любые команды, которые предусмотрены для конечных устройств. В Маручи релейная автоматика как-то не очень помогла!

Отговорка №6

Устройство N у нас многократно дублировано, поэтому к нему предъявляются пониженные требования к надежности. А значит, мы можем применить такие же пониженные требования к безопасности.

Комментарий. Хотя безопасность и надежность очень близки, это – не одно и то же. Допустим, у вас есть многократно дублированный RTU, управляющий каким-либо действием (например, сливается пиво из бродильного чана). Если при подаче команды оператором один из RTU сбоит, то может сработать второй, третий, n-ный RTU и т.д. Надежно? Да. Но увеличивает ли это степень защиты от угроз ИБ? Лишь частично.

Если злоумышленник проводит атаку отказа в доступе на RTU, то многократное дублирование компонентов, скорее всего, снизит риск возникновения ситуации, в которой ни один из RTU не сможет выполнить команду оператора. Но дублирование не спасет, например, при наличии уязвимостей в RTU, промышленном протоколе, конфигурации инфраструктуры – злоумышленник может просто слить пиво из чана. Более того, при дублировании есть вероятность повысить риск некорректной конфигурации RTU, поскольку количество устройств в архитектуре увеличивается.

Отговорка №7

Индустриальные системы настолько сложны, что даже при наличии уязвимости злоумышленник не сможет ее нормально эксплуатировать, ведь у него нет описания процесса и архитектуры системы.

Комментарий. Спросите любого хорошего криптографа, работает ли security through obscurity? Не найдете ни одного, который бы ответил положительно. Почему же она должна работать в АСУ ТП? Неужели системы АСУ ТП настолько сложнее криптоалгоритмов, что принцип "безопасности через сокрытие" неожиданно начинает действовать? Многократные взломы проприетарных протоколов, систем DRM, криптоалгоритмов, казалось бы, давно должны были убедить всех в том, что этот принцип порочен. Однако, инженеры АСУ ТП считают иначе, и переубедить их невозможно.

Но даже если бы этот принцип работал, всегда остается человеческий фактор. Слышали байку об администраторе АЭС, который пришел на собеседование и в качестве доказательства своей квалификации продемонстрировал подробную архитектуру сети электростанции? Видели в новостях фотографии и видео с системами мониторинга завода/электростанции/нефтепровода и с отображенными на них IP-адресами и доменными именами? То-то же. А еще в очередной раз вспомним о Маручи и о Stuxnet.

«Убийственный» аргумент

Все ваши исследования – просто «распил» денег, и то, что вы делаете, идет не на пользу индустрии.

Комментарий. Что ж, когда разумные аргументы заканчиваются, остается лишь непонимание и недоверие. Что можно сказать в ответ? Что десятки исследовательских компаний самостоятельно закупают контроллеры, тратят временные и трудовые ресурсы для изучения той или иной платформы? Что государства чаще всего не заботятся об элементарном исследовании аппаратных и программных средств, устанавливаемых на их КВО? Что вендоры и пальцем не пошевелят, чтобы обеспечить сторонний поиск уязвимостей в их устройствах: они не готовы даже предоставить образцы оборудования и демоверсии ПО, не говоря уже о об оплате полноценных исследований. Что, на поверку, успешно сертифицированные во многих странах устройства позволяют заливать прошивки без аутентификации? Что ни один завод не решится на проведение реального пен-теста? Максимум разрешат поставить тестовый стенд – как бы чего не вышло…

Один совет для аудитории, не связанной напрямую с АСУ ТП: чаще читайте результаты исследований безопасности индустриальных устройств и ПО. Чем больше людей лишится сна из-за возможных проблем, тем лучше. Просто ради интереса спросите у любого инженера по ИБ предприятия, какая версия Windows и с каким обновлением стоит у него на пульте управления реактором/котлом/трубопроводом. И, получив ответ «Windows NT 4.0», начните обходить стороной ближайшую к вам ТЭЦ или ГЭС, не говоря уже о химических заводах. Пусть вам начнут сниться кошмары. Может, хотя бы благодаря этому что-то, наконец, изменится в индустрии.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.