Вирус, которому профессиональное сообщество присвоило имя Rootkit.Win32.Stuxnet.a, оказывает вредоносное воздействие на используемые в АСУТП контроллеры Siemens и распространяется через флеш-накопители. Подключать их в машины, на которых развернуты системы АСУТП, регламенты предприятий запрещают. Но насколько строго эти регламенты соблюдаются и насколько строго контролируется соблюдение регламентов?
Серьезная угроза
После проникновения вирус Rootkit.Win32.Stuxnet.a видит контроллеры в сети, но поначалу только анализирует их работу, в частности, параметры, при достижении которых что-то происходит (останавливается турбина, включается насос охлаждения и т. п.). Затем, когда становится нужно, вирус меняет эти параметры. Последствия могут быть ужасающими. Казалось бы, какое нам дело до далекой АЭС? Предлагаю вспомнить этот вопрос тем, кто садится в поезд «Сапсан», система управления которого реализована на контроллерах Siemens.
Юрий Зеленков, директор по информационным технологиям НПО «Сатурн», убежден, что в защите АСУТП должны быть заинтересованы все компании: «Неважно, являются ли их системы потенциальными источниками катастроф или нет. Если злоумышленник получит доступ, например, к станку, который обрабатывает дорогостоящие детали (а в авиации других почти нет), то как минимум сможет нанести финансовый ущерб, а то и вовсе сломает станок».
«В первую очередь заинтересованными в безопасности АСУТП должны быть государство и компании, имеющие потенциально опасные техпроцессы. Задача эта весьма разнопланова, есть в ее решении место и для служб ИБ: обеспечение безопасности и защита технологической информации (оперативно-диспетчерской, телеметрической, команд телеуправления и телемеханики), а также статистической, аналитической и иной оперативной информации, на основе которой принимаются управленческие решения, — считает Евгений Модин, руководитель отдела консалтинга компании «Аладдин Р.Д.». — В настоящее время предприятия пытаются обеспечивать безопасность АСУТП, полагаясь исключительно на свой опыт и свое понимание проблем. Государственное регулирование в этой области отсутствует».
Еще в 2006 году в Госдуме на рассмотрении находился законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры». В данном законопроекте намечались возможные решения стоящей проблемы, и в случае его принятия, возможно, было бы утверждено и финансирование. Без решения этих вопросов интерес у вендоров и интеграторов вряд ли появится, и проблема так и будет решаться по усмотрению самих предприятий, имеющих потенциально опасные техпроцессы.
Заинтересованность в обеспечении ИБ должна присутствовать у любой компании, использующей АСУТП. Причем речь идет не столько о конфиденциальности данных, сколько о целостности АСУТП. Однако, несмотря на актуальность темы, доступных общественности примеров внедрений не видно. В чем причина?
Каковы реалии
В современном мире безопасность АСУТП связана прежде всего с подходами к обеспечению информационной безопасности, начиная от шифрования, обеспечения скрытости каналов и контроля над каналами передачи данных до ограничения физического доступа к датчикам систем. Например, в НПО «Сатурн», по словам Зеленкова, существует внутренний стандарт, который описывает, как технологические сети интегрируются с корпоративной сетью, как закрываются все порты ввода и вывода (USB и пр.) на станках и прочих устройствах, как назначаются администраторы, по каким правилам им выдаются или отбираются соответствующие права. Технологическое оборудование находится в изолированных виртуальных локальных сетях. Управляющие программы для оборудования с ЧПУ хранятся в специальной системе, и загружать их можно только оттуда. «Основной проблемой сейчас является обеспечение удаленного доступа производителей к их оборудованию для выполнения диагностики и сервисных операций, — отмечает Зеленков. — Как правило, это делается через Интернет, для защиты предлагается каждый раз организовывать VPN между нами и сервисной организацией, но не все еще к этому готовы».
«В большинстве компаний офисные сети и сети АСУТП разделены физически, поэтому все успехи на ниве защиты офисов на АСУТП не распространяются, а специализированных продуктов нет. Максимум, что делается, — управление доступом к элементам управления», — сетует Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch.
«На предприятиях зачастую никак не обеспечивается безопасность АСУТП. Своими глазами видел АСУТП в цехах, где практически любой рабочий может подойти и «ударить по клавишам», — говорит Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры». — Корпоративной сетью может управлять CIO, вопросы безопасности — решать CISO или специально выделенный специалист. Парадокс в том, что к АСУТП промышленного или энергетического предприятия очень часто они вообще не допускаются».
По мнению Емельянникова, управление АСУТП по своей сути часто больше похоже на управление станками с ЧПУ, а не информационной системой. Датчики снимают параметры, программы обрабатывают данные, полученные с датчиков, заранее написанные сценарии отслеживают отклонения от нормы, в случае их выявления срабатывает система сигнализации реального времени. В большинстве АСУТП, эксплуатируемых, в частности, в России, ничего этого нет.
По мнению Хайретдинова, мониторинг и моделирование аварийных ситуаций — это встроенные функции систем управления технологическими процессами, поэтому вряд ли их можно отнести к средствам защиты: «Это классическая обратная связь, направленная на случайные ненаправленные угрозы. Ничего подобного в отношении противодействия умышленным или направленным угрозам сейчас в промышленном масштабе не существует».
Бумажная защита
«Бумажная» безопасность в виде нормотворчества, направленного не на решение конкретных задач, а лишь на выполнение формальных требований, — простая и легко достигаемая задача. ««Бумажная» безопасность всегда существовала и будет существовать во всех видах бизнеса, однако зачастую она не коррелирует с фактической, особенно на высокотехнологичных производствах. Это проблема компаний, которые недооценивают важность угроз, и проверяющих органов, если речь идет о промышленных комплексах, — убежден Кирилл Керценбаум, представитель по продажам решений по безопасности IBM в России и СНГ. — «Бумажная» составляющая в безопасности — не минус, а плюс, и она обязательно должна присутствовать. В отношении систем управления технологическими процессами она не должна превалировать, тем не менее ей следует отвести большое место, уделив должное внимание подходам к обеспечению безопасности (изоляция, физическая изоляция, шифрование и т. д.). Подготовка инструкций, регламентирующих уровни доступа, порядок подключения и пр., имеет критически важное значение».
В одном из блогов я встретил рассказ о том, что специалисты одного из крупных российских предприятий получили циркуляр с требованием проверить АСУТП на зараженность вирусом StuxNet. Специалисты нашли этот вирус, но на местах никто его лечить не стал, поскольку для этого пришлось бы остановить технологический процесс, что было признано неприемлемым.
Перевод АСУТП на новые программные решения (а именно это требуется для встраивания средств ИБ) в большинстве случаев связан с остановкой производства, наладкой с возможными сопутствующими ошибками и потерями времени и денег в результате простоя. К тому же в АСУТП почти никогда нельзя создать полноценную тестовую среду, такую, как, например, для ERP-систем. Кто же даст промышленному предприятию, вполне спокойно работающему, остановиться для решения неочевидных проблем?
«Технологи считают, что любое вмешательство в процесс, даже с целью улучшения процесса, увеличивает риски, поскольку добавляет менее надежное звено в и так длинную цепочку, а производители средств ИБ не готовы взять на себя ответственность за возможные сбои и ложные срабатывания, — считает Хайретдинов. — Здесь опять ключевое слово — ответственность. Никто не хочет брать ее на себя. Допустим, остановят цех, вычистят вирус. Но кто даст гарантии, что после этого оборудование запустится?».
«CIO и CSO, например в энергетике, могут консультировать, помогать, но не несут ответственности за управление процессами добычи и доставки сырья. Какое отношение ИТ-служба имеет к безопасности датчиков? Ответственность лежит на тех, кто занимается эксплуатацией», — считает Керценбаум.
«Владельцы бизнеса нередко склонны рубить головы гонцам, приносящим плохие вести, вот и выбирается подчиненными тактика молчания, пока все идет тихо и спокойно. Именно поэтому многие CIO, осознавая масштаб бедствия, не торопятся взять АСУТП под свое крыло. С корпоративной сетью как-то проще и спокойнее», — отмечает Емельянников.
Чтобы убедить руководство всерьез заняться защитой АСУТП, нужны очень квалифицированные специалисты, понимающие архитектуру именно этих систем и особенности их функционирования, умеющие анализировать специфическое ПО, строить сценарии развития событий в случае нарушений и информировать владельцев техпроцессов об ИБ в понятных им терминах. Нужны тщательный анализ лучших практик по западным стандартам безопасности для АСУТП, грамотный перевод и адаптация уже существующих в них стандартов обеспечения безопасности. Все это потребует серьезных вложений, отдача от которых неочевидна.
Как показала история со StuxNet, защититься от целевой атаки с использованием вредоносного кода, написанного специально под жертву, практически невозможно. Более того, для организации атаки и сокрытия своих действий червь использовал наиболее распространенные антивирусные программы. Появляются и принципиально новые виды атак, получившие название Advanced Persistent Threat, защиты от которых пока нет. В этих условиях неизбежно приходится думать о возврате к изоляции программной среды и ее замкнутости, отключению АСУТП от каналов Интернета, что не всегда возможно по технологическим причинам. Все это еще более усложняет и без того непростую ситуацию.