Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

История про то, как страшно жить рядом с заводом

Аватар пользователя kisttan
Автор: Колыбельников Александр, Код безопасности
(7)
()
Опубликовано в:

Очень давно, в 2007 году,когда я работал в одном из интеграторов к нам обратился представитель службы ИТ одного из подмосковных заводов с просьбой привести их систему безопасности в соотвествие нормативным требованиям по персональным данным. Просьба была типовая и не предвещала каких-либо особенных проблем. В ходе предварительного обследования сети была описана полная структура сети которая содержала в себе три основных сегмента: 1. промышленную сеть с Industrial Ethernet; 2. ИТ сеть завода; 3. ИТ сеть НИИ при заводе. Что тоже не представляло собой ничего необычного для промышленного объекта, два сегмента, первый и второй были объединены в единую сеть и не имели выхода в интернет, по словам заказчика, третий сегмент имел выход в интернет и был изолирован от первых двух.

Неожиданности в проекте начались когда заказчик выразил твердое намерение объеденить все три сегмента в один. На аргументацию о том, что регулирующие органы ФСТЭК и ФСБ резко против подключения промышленных сетей в интернет заказчик ответил, что в НИИ будет установлено два сетевых контура. Прямой связи между контурами не будет и переключение будет осуществляться физически, подключением и отключением кабеля и данный вопрос будет регламентирован как организационная мера защиты.  Аргумент о том, что через неделю все обзаведутся вторыми сетевыми платами и никто ничего переключать не будет был проигнорирован полностью.

В последствии проект по защите ИСПДн успешно завершился, при нас сеть модернизировать не успели. И только два нюанса беспокоят меня до  сих пор, до управления их промышленными контроллерами можно "добраться" если есть подключение промышленного сегмента напрямую или опосредовано в интернет. Это связано с тем, что промышленная сеть у них строилась на EtherCAT который не предусматривает каких-либо механизмов или средств защиты информации в то время как получить доступ из интернет к ИТ сегменту внутренней сети можно было путем перехвата пакетов или подбора паролей к протоколам telnet, ssh, rdp. Сам факт использования этих протоколов через интернет был связан с тем, что администраторам на заводе платили мало и они часто работали удаленно, подрабатывая в других местах. Вся эта картина и сейчас типична для многих промышленных предприятий, но был еще второй нюанс который мог превратить такое положение вещей в катастрофу - завод использовал и использует в своем технологическом цикле синильную кислоту, минимальный необходимый остаток на заводе - 80 тонн. Многие помнят из курса гражданской обороны, что синильная кислота - это химическое оружие массового поражения. В случае успешной кибертеррорестической атаки на это предприятие можно получить большое количество человеческих жертв и экологическую катастрофу.

Именно по этому, аргумент  про отстуствие фактов эфективных и эффектных атак на АСУ-ТП для меня не является значимым, ведь заводы до сих пор набирают на работу администраторов за 25 тысяч рублей. Если ружье, висящее на стене не выстрелило, это не означает что оно не умеет стрелять.

Эти же соображения привели к тому, что эту проблему детально рассмотрел в книге "Кибертерроризм и безопасность специальных систем", которая была написана в соавторстве. 

 

Оцените материал:
Total votes: 364
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Забавная история. Вот только интересно, как эти пресловутые кибертеррористы (кстати, кто они?) смогут реализовать свои коварные планы? Ведь с вероятностью 157% ИТ-сеть используется для создания макулатуры (пишущая машинка с памятью) и игр, а управление тех. процессом и тогда, и, наверняка, до сих пор осуществляется вручную?
А не задумывались ли Вы над тем, что распространяя подобные мифы, Вы становитесь информационным террористом? И не мифическим, а реальным, т.к. пытаетесь посеять страх (а может быть и ужас) среди тех, кто живёт рядом с тем самым заводом (и множеством других аналогичных).
И уверяю Вас, что ружьё, вне зависимости от того, висит оно на стене или лежит в кладовке, стрелять не умеет. Если оно технически исправно, из него МОЖНО стрелять, если нет, то не стоит. А УМЕЕТ стрелять или нет, это к тому, кто взял его в руки, т.е. к субъекту, человеку, индивиду. И это не мелочная придирка к словам, как считают многие, это – важнейший компонент методологии исследовательской деятельности. Нужно не только скрупулёзно исследовать объект, но и грамотно изложить результаты исследования. 

up
12 users have voted.
Аватар пользователя kisttan

Геннадий,
 
Цель руководства была управление некоторыми процессами в АСУ-ТП из НИИ и это не слухи. Аналогичную систему, где смешаны были ИТ и АСУ-ТП видел своими глазами, вектор атак на нее строил за очень короткое время.  Проблема существует и она не надумана. Попробуйте представить, что Вы администратор сети водоконала города в котором живете или любого пищевого предприятия. Невыскокая зарплата на этих предприятиях будет подразумевать невысокую компетенцию и невысокие требования руковоства к Вам. Что скорее всего приведет к тому, что вся сеть, в том числе и промышленная, будет настроена как удобно, а не как надо. И окажется что в одной сети работает бухгалтер с уязвимым ДБО, есть удаленный доступ на случай Вашей болезни  или отпуска, работники администрации будут иметь доступ ко всей сети и многое другое. В итоге, окажется что эффективно атаковать сеть этого предприятия вполне возможно, ущерб от атаки будет огромный (хотя бы потому, что или пить будет нечего или можно будет организовать выброс вредных веществ в атмосферу) и то, что она до сих пор не была реализована всего лишь счастливая случайность.
В остальном, Вы прекрасно понимаете что полное изложение результатов этого исследования может привести к уголовной отвественности.

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

Я, конечно, не администратор сети, но водоканал в моей зоне внимания. И я не просто представляю, но очень хорошо знаю, как там обстоят дела. Угроза кибератак им вообще "по барабану". Почему? А потому, что их сеть и тех. процесс не пересекаются, а только соприкасаются. В бухгалтерии и кадрах. И такое положение, по моим умозрительным заключениям, в 90% городах России. В 8-9% вообще об интернете и сетях может быть слышали и только для 1-2% это в какой-то степени (незначительной) актуально. Чтобы кибератаки представляли угрозу сети, такую сеть надо иметь. Так что сначала нужно создать сети, для которых это всё будет актуально, а потом (лучше, конечно же, параллельно) пугать их владельцев, а не тех, кто может пострадать от их бездействия. А чтобы владелец начал вникать в проблему, он должен видеть её актуальность. А по этому поводу ещё один вопрос: сколько кибератак на АСУ ТП российских предприятий было совершено террористами в прошлом году? И что это были за атаки? 

up
13 users have voted.
Аватар пользователя kisttan

Геннадий,
 
В книге, на которую я ссылаюсь, приводится пример одного из коммунальных предприятий рассмотрено было в ходе комплексного аудита сети. В результате такого "соприкосновения" внешний нарушитель дошел до управления задвижками и то, что эти уязвимости не эксплуатировались атакующими вопрос времени. Про количество атак на предприятия не скажу не собирал статистику, зато хорошо знаю статистику по уязвимости сетей отечественных предприятий, вот те же 90% и уязвимы. Поверьте, компетентные органы, для которых эта статистика собиралась были очень ей "обрадованы". Статистика проверялась и была признана достоверной. Ну случай ведь не единичный. Многий спасает лишь то, что АСУ ТП у них еще старая, советского производства и протоколы там даже к Industrial Ethernet отношения не имеющие. Но оборудование этих АСУ-ТП потихоньку из строя выходит и меняют его как раз на современные АСУ -ТП с теми самыми уязвимостями.  Проблема она ведь есть, я насмотрелся на нее будучи работником Positive Technologies и других компаний. Говорить о том, что ее нет вообще нерационально. То что Вам, как эксплуатационщику плевать на нее, пока не сломают серьезно - это не подход, это старая поговорка "гром не грянет, мужик не перекрестится". Знать метод взлома проникнуть в сеть и остановить свои действия до часа "ч" очень выгодно, так как не надо при этом ввязываться в соревнование "защита-взлом" и "светить" свои возможности. Но когда возникнет серьезная необходимость окажется что в Вашей сети сидит модификация Stuxnet, пароли не менялись 2 года, разделения прав нет, каналы связи "соприкасаются" и технологический канал не шифруется.  И такой подход не редкость даже у серьезных организаций, иногда и на канал управления спутником "забывают" поставить криптозащиту, а потом удивляются почему он перестал понимать команды с Земли
 

up
11 users have voted.
Аватар пользователя kisttan

То, что такой подход возможно использовать для террора и цели для этого есть подтверждалось не только технарями, способными пройти через такие "соприкосновения" сетей, но и специалистами по антитеррористической деятельности. Никто не утверждает, что эту проблему способны решить собственники АСУ-ТП в одиночку. Но то, что ее нужно решать - факт, она существует.
 

up
13 users have voted.
Аватар пользователя kisttan

Что касается широко известных примеров атак на АСУ ТП, приведу классический пример со взрывом газопровода Уренгой -Помары -Ужгород летом 1982 года, благодаря логической бомбе в ПО управления.
 

up
12 users have voted.
Аватар пользователя Атаманов Геннадий

Пример про газопровод не очень корректный, доисторический (тогда Интернета даже близко-рядом не было) и, что немаловажно, произошёл в государстве, которого нет и которое сегодня не в почёте. Этим примером Вы не напугаете и не подвигнете к активной деятельности тех, кто должен принимать защитные меры, т.е. собственников и топ-менеджеров предприятий, которые, в свою очередь, согласно правильной модели угроз являются самыми главными внутренними источниками угроз. А главными внешними источниками – органы власти. Их Вы тоже этим примером не напугаете и не подвигните к решению проблемы. Пугать же народ, который живёт возле завода, - не очень благое дело. Он ведь не может решить эту проблему и даже повлиять на её решение не может. А те, кто может и должен, даже если Вы их подвигните, решать проблему будут всё теми же – СОВЕРШЕННО НЕПРАВИЛЬНЫМИ – методами, которыми решали до сих пор. И получается: низы не могут и не хотят, верхи не хотят и не могут. Вот такая сложная диалектика получается! 

up
9 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.