Актуальність питання кібербезпеки в АСКТП

9.5.1. Актуальність питання кібербезпеки в АСКТП  

Останні десять років тема кібербезпеки в АСКТП є чи не найбільш обговорюваною s з кожним роком стає все більш актуальною. Проблеми, пов’язані з кібербезпекою, кілька разів відчули на собі і українці, зокрема під час вимкнення електромереж зловмисниками в 2015 р, та дії вірусу "Petya" (2017 р). Нижче наведені кілька інцидентів, які мали місце в системах керування.

Ще в 2000-х було поставлено питання про вразливість АСКТП. У 2007 р. експериментальний проект "Aurora" під керівництвом Національної лабораторії штату Айдахо продемонстрував можливість знищення генератора енергії за допомогою кібератаки. У цій атаці зловмисник використовує вразливий протокол зв'язку для доступу до мережі керування дизельного генератора. Це дає йому змогу запустити шкідливу комп'ютерну програму, розроблену для відкриття автоматичного вимикача, дочекатися розсинхронізації генератора та негайно закрити автоматичний вимикач. Такі дії були проведені досить швидко, щоб система захисту не могла виявити проблему, тому призвели до вибуху дизельного генератора. Це можна подивитися на відео експерименту [19].

Через кілька років Stuxnet зробив свій слід в історії кібербезпеки промислових систем та підвищив обізнаність про вразливість систем SCADA. За анонімними джерелами, Stuxnet був комп'ютерним хробаком, розробленим для уповільнення ядерної програми Ірану. Stuxnet спеціально орієнтований на ПЛК, що використовувалися в керуванні центрифугами для розділення ядерних матеріалів з метою збагачення урану. Це знищило б близько 20% виробничих потужностей. Принцип роботи Stuxnet полягав у такому. Хробак вводився в цільову систему через знімний накопичувач, використовуючи вразливість автоматичного запуску. Далі він поширювався між комп’ютерами мережі Windows, використовуючи кілька вразливостей. Коли вірус виявляв середовище програмування ПЛК (Step 7) модифікував бібліотеку, яка змінювала код програми, що надсилалася на ПЛК. Ця модифікація змінювала поведінку системи керування і погіршувала роботу центрифуг шляхом несвоєчасних прихованих перепадів швидкості.

У 2015 р. в результаті кібератаки з використанням трояну BlackEnergy3, було відключено кілька підстанцій у Західній Україні. Зловмисники отримали віддалений доступ до робочого стола операторів і поступово відключали підстанції одну за одною. При цьому оператори бачили дії зловмисників і нічого не могли вдіяти, оскільки паролі було змінено. Деякі спроби зловмисників зняли на смартфон, відео можна подивитися в [20]. Детальніше про троян та атаку на українські енергомережі можна прочитати в [21]

Ще один переломний момент стався зовсім недавно, в 2017 р. Це атака під назвою TRITON, призначена для нападу на системи протиаварійного захисту Triconex, зокрема встановлені в промислових нафтових агрегатах. Точного розташування об'єктів, постраждалих від нападу, не виявлено, але передбачалося, що ці підрозділи знаходились у Саудівській Аравії. Метою цієї атаки було відключення систем протиаварійного захисту (СПАЗ), що могло призвести до аварій у випадку нештатних ситуацій. Згідно інформації від співробітників Шнейдер Електрик, при аналізі інциденту виявилося, що метою було керування контролером. Шкідливий код потрапив на виробництво із-за недоліків ІТ інфраструктури. При спробі дати команду на СПАЗ, система розпізнала несанкціоновану команду та зупинила технологічний процес. Фактично не було злому ні СПАЗу ні SCADA, так як СПАЗ відпрацював у відповідності до своїх функцій.

Подібних атак було набагато більше, і тільки частина з них стала відомою громадськості. Детальну інформацію про деякі з цих інцидентів можна знайти на теренах Інтернету, а також подивитися в матеріалах відео з тематичної конференції ТДА, що проходила в Харкові [22].

Не дивлячись на наявні інциденти, пов’язані з недостатнім захистом систем керування промисловими об’єктами (а частіше з повною відсутністю такого захисту), багато виробничників вважають, що проблеми  кібербезпеки в АСКТП для їх підприємств не є актуальними. У своєму посібнику [23] автор дає кілька типових міфів та їх спростування. Наведемо їх.

1. Кібератаки не сильно актуальні для промислових чи кіберфізичних систем. Звісно, що більшість атак стосуються традиційних комп'ютерних систем. Стосовно промислових систем, кількість атак значно менша. Але при цьому зловмисник має спеціальні знання про цільові системи та здійснює індивідуальну атаку. Ризики, пов'язані з кібербезпекою промислових систем, залежать від ступеня тяжкості пошкодження та ймовірності його виникнення. Для промислових установок чи атомних станцій збитки можуть бути катастрофічними та впливати на населення. У зв’язку з цим у світі впроваджуються та постійно розвиваються регуляторні зобов'язання, такі як LPM (Military Programming Act) у Франції, директива NIS (Network and Information Security) в Європі або Закон про захист критичних інфраструктур у США.

2. Система ізольована від Інтернету, тому вона безпечна. Тривалий час вважалося, що відсутність підключення до Інтернету є достатнім обмеженням, щоб уникнути будь-якого ризику комп'ютерного піратства. Професіонали називають це міфом про "повітряний зазор". Насправді є кілька факторів, які заперечують цей міф. По-перше, навіть якщо система не підключена до Інтернету, вона може стати жертвою технологічних зловмисних дій. Так,  славнозвісний вірус Stuxnet був занесений через USB-флеш накопичувач. По-друге, часто мережа рівня процесу (див. рис. 9.15) підключається до мереж верхнього рівня керування, що може стати жертвою атак та розміщувати шкідливі програми. Ті з часом можуть пошкодити мережі рівня процесу або навіть можуть забезпечити проходження атак безпосередньо через них. По-третє, у мережі рівня процесу можуть існувати тимчасові або постійні прямі підключення до Інтернету з метою обслуговування або конфігурування, і вони створюють реальну вразливість. Крім того, із зростанням потреби завантажувати дані в інформаційну систему підприємства або в хмару, із потребою оновлення систем із сайта виробника та потребою віддаленого обслуговування, ізоляція промислових систем стає все більш ілюзорною.

3. Рівень імовірного пошкодження надто низький, щоб перейматися кіберзахистом.  Поширеною думкою є низький рівень ризиків у випадку, якщо виробниче обладнання не використовує небезпечні машини чи процеси. Зрозуміло, що шкода довкіллю та людям буде обмежена. Однак для компанії втрати можуть бути величезним, оскільки атака може призвести до відключення виробництва на тривалий період, до низької якості виробленої продукції або навіть до знищення виробничого обладнання. Необхідно проаналізувати економічні наслідки та провести аналіз витрат і вигід для визначення рівня заходів з кібербезпеки, яких слід вжити.

4. Робочі станції оснащені антивірусним програмним забезпеченням і брандмауером, тому система захищена. Використання антивірусу є тільки одним з базових кроків захисту, що може захистити робочі станції комп’ютера. Однак у промисловій системі є багато пристроїв, що працюють під операційними системами реального часу або спеціалізованих ОС, для яких, як правило, немає антивірусного ПЗ, і воно є вразливим. Окрім того, однією з проблем антивірусного програмного забезпечення для промислових робочих станцій є те, що воно не завжди оновлюється. Брандмауери також можуть не забезпечити необхідного захисту: по-перше, правила фільтрації не завжди добре налаштовані; по-друге, навіть якщо потоки даних добре фільтруються, це не запобігає проходженню всіх атак. Наприклад, система керування енергетичною станцією, яка була атакована в Україні у 2015 р, включала в себе брандмауери, які не змогли завадити атаці.

5. Використання віртуальної приватної мережі (VPN) убезпечує від несанкціонованого доступу. Це не є достатньою умовою захищеності. По-перше, значна кількість VPN використовує технології, які вважаються застарілими і тому вразливими. Проведені дослідження показали, що більшість тестованих мереж VPN все ще використовують протокол на основі старих методів шифрування, які зараз не рекомендуються для використання. По-друге, навіть при добре налаштованому VPN, при скомпрометованому одному вузлі (отримані захищених ключів та паролів), це може поставити під загрозу решту мережі.

6. Система інформаційної безпеки (ISS Information System Security) є дорогою і створює багато обмежень для ефективного функціонування. Поширена думка, що спеціалізовані системи ISS дорогі й накладають велику кількість експлуатаційних обмежень, несумісних із системами керування промисловими об’єктами. Насправді ISS промислових систем повинні бути адаптовані до викликів, тому важливо проаналізувати ризики та порівняти важливість цих ризиків із вартістю заходів щодо їх зменшення та обмежень, які вони накладають. Однак безпеку часто вважають джерелом витрат, що важко виправдати рентабельністю інвестицій. Більш релевантним є її вимірювання в термінах потенційних втрат, наприклад, щодо кількості виробленої продукції при тимчасовій непрацездатності системи, або витрат на реконструкцію, якщо система була пошкоджена.

Останніми роками було запропоновано багато стандартів та посібників у галузі безпеки інформаційних систем. Деякі з цих стандартів пропонують підхід до керування ризиками відповідно до ISO 31000: це стандарти ISO 27000. Стандарти  безпеки інформаційних систем не підходять до АСТКП у зв’язку з рядом відмінностей між ними (табл. 9.1). Тому для сегмента OT спеціально розроблено ряд стандартів з кібербезпеки, такі як IEC 62443 або посібник NIST SP 800-82. Крім того, розроблено ряд галузевих стандартів, наприклад, розподілу та виробництва електроенергії та атомної енергетики.

Таблиця 9.1. Відмінності між ІТ та ОТ

 

Information Technology (IT)

Operational Technology (OT)

Призначення

Використовується в бізнесовому або офісному середовищі для підтримки щоденних заходів, таких як облік, замовлення, керування персоналом, аналізу даних тощо

Використовується для моніторингу та керування процесами у промислових умовах, таких як заводські приміщення, нафтопереробні заводи, нафтогазові платформи, системи очистки води тощо

Приклади систем або устатковання

-    Робочі станції користувачів.

-    Файлові, поштові, або web-сервери.

-    Бази даних.

-    Мережні пристрої (маршрутизатори, комутатори, брандмауери)

-    ПЛК.

-    Distributed Control Systems (DCSs).

-    SCADA-системи.

-    Historian.

-    Конвертери протоколів

Інтереси кібербезпеки

Першочерговим завданням є конфіденційність даних, далі – необхідність цілісності даних, а потім доступність системи.

Першочерговим задвданням є доступність системи, за нею йде цілісність даних, аж потім – конфіденційність даних. Але для OT цілісність та конфіденційність даних особливо важливі для логіки пристрою та файлів конфігурації, які використовуються в керуючих програмах.

Керування змінами

 

У рамках функції ІТ процеси керування змінами значною мірою є самостійними

Зміни в технології є частиною загального процесу керування змінами. Зміни та оновлення в системах OT можуть потребувати тимчасового виведення устатковання з обслуговування, що може бути проблематичним для деяких виробництв

Інші фактори

-    Для доступу до бізнес-систем співробітники все частіше використовують власні пристрої, наприклад мобільні засоби.

-    Нові технології впроваджуються з недостатньою турботою про безпеку.

-    Мережні протоколи та устатковання, як правило, є пропрієтарними та закритими, що ускладнює впровадження типових засобів  кібербезпеки.

-    Базова технологія може застаріти і, отже, стати вразливою до атак.

-    Середовище устатковання майже завжди неоднорідне, і включає пристрої різного віку та походження.

В Україні в 2019 р. методом підтвердження прийнято стандарт ДСТУ EN IEC 62443-4-1:2019, який просувався в проекті aCampus як один з найважливіших міжнародних стандартів АСКТП. У цьому проекті випущено ряд матеріалів просвітницького змісту, зокрема біла книга "Кібербезпека індустріальних систем" [24], в якій представлено серію стандартів ISA99/IEC 62443, виклики щодо їх впровадження та єдиний каркас для кібербезпеки й функційної безпеки.

Засоби SCADA/HMI є частиною системи керування, тому вибір пристроїв та програмного забезпечення, проектування систем та їх впровадження також впливають на кібербезпеку системи взагалі. Детальний огляд питань кібербезпеки виходить за рамки цього посібника. Далі зупинимося на основних моментах, які допоможуть читачеві зорієнтуватися в темі і, за необхідності, детально вивчити потрібні складові. Крім того, увага приділятиметься питанням кібербезпеки АСКТП взагалі, а не окремим засобам SCADA/HMI, оскільки захист захисту вирішується в комплексі, а не для окремих пристроїв.  

Весь підрозділ читайте в посібнику

Comments