В самом конце 2015 года Украина в очередной раз обратила на себя внимание мировой прессы. 23 декабря 2015 года, в результате кибератаки на «Прикарпатьеоблэнерго», значительная часть Ивано-Франковской области осталась без электроснабжения. Первоначальные версии о халатности персонала, отказе изношенного оборудования и другие быстро отошли на второй план, в результате анализа обстоятельств происшествия соответствующими службами.
В самом конце 2015 года Украина в очередной раз обратила на себя внимание мировой прессы.
23 декабря 2015 года, в результате кибератаки на «Прикарпатьеоблэнерго», значительная часть Ивано-Франковской области осталась без электроснабжения. Первоначальные версии о халатности персонала, отказе изношенного оборудования и другие быстро отошли на второй план, в результате анализа обстоятельств происшествия соответствующими службами.
Инцидент вызвал большой резонанс. Статьи с разбором и деталями происшествия появились даже в таких не профильных, но очень авторитетных изданиях, как «The Washitgton Post» и «Forbes». Долгое время, все происшествия связанные с кибератаками, казались нам чем-то далёким и нас не касающимся. С начала 2014 года, хакерами были атакованы десятки Украинских организаций работающих в государственном, финансовом, медийном и энергетическом секторах. Но реальности дня сегодняшнего говорят о том, что ситуация с компьютерным терроризмом в мире очень серьёзная.
В 2010 году, на Иранском заводе по обогащению урана, в Натанзе, вирус Stuxnet, вывел из строя 1368 из 5000 центрифуг, что повлекло за собой миллионные убытки и срывы сроков запуска АЭС в Бушере. Вирус, попав в сеть завода на флеш-носителе, поразил программное обеспечение Siemens Simantic STEP7 и модифицировал передаваемый код от программного обеспечения к контроллеру, отвечающему за скорость вращения центрифуг. Центрифуги выводились на запредельные скорости вращения, что приводило их разрушению.
В 2008 году произошёл взрыв на турецком участке нефтепровода Баку-Тбилиси-Джейхан. Спустя 7 лет следствию удалось установить, что теракт был совершён с помощью кибернетической атаки. Злоумышленники проникли в сеть через систему видеонаблюдения, нашли компьютер под управлением Windows и запустили вирус, который заблокировал сигнализацию и принудительно превысил допустимое давление в трубопроводе, что привело к разливу 30 тысяч баррелей нефти с последующим возгоранием. Из-за не срабатывания сигнализации, персонал узнал о пожаре только через 40 минут. Не считая стоимости восстановительных работ, ущерб акционеров от временного прекращения транзита нефти составил свыше 100 млн. дол. Азербайджанский нефтяной фонд понёс убыток в миллиард долларов.
В 2014 году, на одном из металлургических комбинатов Германии произошло ЧП связанное с остановкой доменной печи. Федеральное агентство Германии по информационной безопасности в своём ежегодном отчёте сообщило, что ущерб понесённый металлургическим комбинатом был результатом хакерской атаки. Хакеры, через вирус внедрённый в сообщение электронной почты, проникли в офисную сеть предприятия, откуда смогли пробраться в промышленную сеть, после чего вывели из строя системы контроля над металлургическими процессами, в результате чего одна из доменных печей была погашена и пришла в полную негодность.
В декабре 2015 года на «Прикарпатьеоблэнерго» через электронную почту был занесён вредонос BlackEnergy3. Пользователи получили поддельное письмо, имитирующее сообщение от Минэнерго, во вложении которого был документ MS Office, требующий при открытии включить макросы. Запуск макроса инициировал загрузку процесса, который интегрировался в систему и скачивал с удалённого сервера дополнительные файлы, благодаря чему у взломщиков появлялся способ влияния и контроля над процессами на заражённом компьютере, что позволило им частично обесточить Ивано-Франковск и область.
Очевидно, что Украинские облэнерго были не случайными жертвами вредоносного программного обеспечения, а являлись объектами целенаправленных атак.
Количество, сложность и разнообразие компьютерных угроз продолжает возрастать, а защита систем автоматизированного управления на предприятиях становится всё боле трудной задачей. Однако если обратить внимание на основные слабые места, то количество уязвимостей можно существенно сократить.
Общепринятым заблуждением является уверенность в абсолютной безопасности объекта автоматизации благодаря так называемой «воздушной прослойке». Когда офисная сеть предприятия, из которой имеется доступ в интернет и внутренняя, промышленная сеть предприятия, между собой не связаны. Однако эта, на первый взгляд привлекательная идея, на практике продемонстрировала свою несостоятельность. Компонентам современных систем управления производственными процессами, время от времени требуется обновление программного обеспечения и периодическое внесение исправлений. В случае наличия «воздушной прослойки» эти процедуры выполняются с помощью USB-накопителя, который может выступить в роли переносчика вредоносной программы. Именно таким образом вирус Stuxnet поразил завод в Иране.
Перечень слабых мест практически бесконечен. Но мы хотим выделить самые очевидные и не требующие серьёзных капиталовложений.
Так, важной проблемой безопасности является слабая подготовка персонала. Именно человек, прямо или косвенно, чаще всего активирует вирус у себя на компьютере. Один из самых популярных способов проникновения на объект автоматизации – это так называемый «фишинг». Фишинг базируется на методах социальной инженерии, с помощью которых мошенники и вынуждают пользователя запустить исполняемый файл вируса. По этому работа с персоналом, в сфере преодоления безграмотности в компьютерной безопасности, должна стать основным инструментом в борьбе с сетевыми злоумышленниками.
Другим не менее важным обстоятельством является несвоевременное обновление программных продуктов, что в свою очередь связано с частыми случаями эксплуатации нелицензионного программного обеспечения на отечественных предприятиях. Это приводит к тому, что найденные в процессе эксплуатации и исправленные разработчиками ПО, ошибки и «дыры» остаются в неисправленном состоянии на компьютерах предприятия и могут быть использованы хакерами для проникновения.
Дополнительной уязвимостью так же является наличие большого количества доступных USB-портов на компьютерах пользователей, рабочих местах диспетчеров и интерфейсах оборудования задействованного в АСУ ТП. Количество открытых портов, по возможности, должно мыть минимизировано.
Значительно усилить безопасность сети предприятия, поможет соответствие стандарту IEC-62443, который предусматривает разделение сети на функциональные зоны с разными уровнями безопасности и степенями аппаратной и программной защиты.
Ну и последним этапом защиты являются аппаратные средства способные фильтровать сетевой трафик и обнаруживать в нём данные, которые могут нанести вред конечному оборудованию. Такие устройства устанавливаются непосредственно перед конечным объектом защиты.
На эту роль идеально подходят промышленные сетевые брандмауэры Hirschmann EAGLE Tofino, которые содержат интеллектуальные модули для защиты сети от информационных угроз. Брандмауэр занимается постоянной инспекцией трафика между управляющей сетью и программируемыми логическим контроллерами, распознаванием управляющих пакетов, проверкой на наличие вредоносного кода и на соответствие заданным значениям и/или выход за установленные переделы. Сюда же относится контроль получателей и отправителей информации, проверка маршрутов, по которым передается информация. Инновационный режим обучения брандмауэра значительно облегчает первые шаги по установке в систему, позволяя создавать правила на основе накопленных в сети данных. Оффлайновый конфигуратор и веб-панель дополняют традиционные инструменты управления Hirschmann™ Industrial HiVision, HiView и HiDiscovery. Брандмауэр выполнен в промышленном исполнении, работает в диапазонах температур от -40 до +70 , сертифицирован для работ на подстанциях по IEC61850, для работы во взрывоопасных средах по ATEX, имеет сертификат EN50121 позволяющий эксплуатироваться на ж/д транспорте, а так же обладает многими другими допусками.
Но самой важной особенностью Hirschmann EAGLE Tofino является поддержка технологии Deep Packet Inspection. Эта технология позволяет накапливать статистические данные, а так же проверять и фильтровать сетевые пакеты по их содержимому. Это позволяет эффективно обнаруживать вирусы, блокировать их и отсеивать информацию, не удовлетворяющую заданным критериям.
В качестве вывода можно отметить, что задача по повышению уровня безопасности на предприятии не имеет решения лежащего в одной плоскости. Проблема защиты от кибернетических угроз может быть решена только комплексно, с помощью внесения изменений как на административном уровне так и на программно-аппаратном.
Подготовлено по материалам отечственной и зарубежной прессы для журнала Мир Автоматизации.