На конференции «Актуальные проблемы киберзащиты промышленных систем» компания Digital Security представила некоторые результаты анализа уязвимостей современных иерархических комплексов АСУ ТП при кибератаках на их устройства полевого уровня.
Оборудование этого уровня, включая датчики и исполнительные устройства, которое входит в настоящее время в состав компонентов промышленной сети предприятия, требует настройки перед началом эксплуатации.
Такая параметризация ранее производилась локально и вручную, а в настоящее время может осуществляться, в том числе и в процессе работы, с применением передачи управляющих команд по каналам связи полевых сетей. Для стандартизации процесса параметризации в ассоциации Profibus User Organization разработаны спецификации, регламентирующие применение программного инструментария настройки полевых устройств FDT (Field Device Tool) и ПО управления конкретным типом устройств DTM (Device Type Manager).
Данная разработка предназначалась для промышленной сети Profibus (Process Field Bus). Эта сеть, прототип которой создан компанией Siemens для промышленных контроллеров Simatic, в настоящее время стандартизирована и получила широкое распространение в Европе. Сегодня спецификации FDT/DTM применяются также и в других промышленных сетях, включая, к примеру, HART, DeviceNet, Profinet.
«Излишнее доверие к информации нижних уровней может привести к серьезным проблемам в технологических процессах», — подчеркнул Илья Медведовский, генеральный директор Digital Security.
Чтобы оценить уровень защиты инфраструктур на базе спецификации FDT/DTM и определить спектр возможных уязвимостей, в Digital Security провели анализ защищенности DTM-компонентов.
Исследование более сотни компонентов для устройств различных типов, которые поддерживают протокол HART и выпущены различными производителями оборудования для АСУ ТП, в том числе, ABB, Emerson, Schneider Electric, Honeywell и рядом других, выявило почти три десятка уязвимостей.
Среди них — выполнение произвольного кода, позволяющее настраивать и отключать устройства в иерархии FDT/DTM, а также инъекция XML-кода, которая может использоваться для проникновения в системы верхних уровней, включая MES и ERP. Атаки на полевой уровень способны, таким образом, привести к остановке производства, так как в условиях иерархической организации современных АСУ компрометация одного из уровней неизбежно ведет к компрометации соседних уровней.
На конференции были проиллюстрированы возможности проникновения в АСУ ТП, на полевом уровне которых установлены датчики, использующие для передачи данных протяженную токовую петлю.
По мнению специалистов Digital Security, чтобы исключить влияние кибератак на современные автоматизированные комплексы управления технологическими процессами, необходимо не только организовать тщательную изоляцию их уровней и внедрять системы мониторинга состояния информационной безопасности, но и привлекать к защите на всех этапах их жизненного цикла экспертов соответствующего профиля.