Сообщения о том, что в результате взлома украинских энергосетей в канун Рождества без света остались многие десятки тысяч домов, еще раз подтвердили всем известный тезис: предприятия, обслуживающие критически важную инфраструктуру, должны своевременно реагировать на возникающие угрозы и упреждать действия злоумышленников.
Можно с уверенностью сказать, что лишь очень немногие организации оценивают сегодня кибербезопасность своей критически важной инфраструктуры АСУ ТП на отлично. А если это известно им, то известно и хакерам, для которых промышленные предприятия становятся легкодостижимой целью. В ситуации, которую мы наблюдали на Украине, хакерский код проникал через фишинговые эксплойты и искал определенные процессы, являющиеся общими для систем SCADA. После обнаружения такого процесса хакерская программа завершала его и переписывала программу, блокируя тем самым работу оборудования.
В использовавшемся способе внедрения хакерского кода нет ничего необычного, и эту ситуацию вполне можно было бы предотвратить или как минимум уменьшить вероятность ее возникновения путем дополнительного обучения пользователей. Вместе с тем предприятия, обладающие критически важной инфраструктурой промышленных систем управления, вынуждены противостоять целому ряду уникальных вызовов.
• Культурные особенности. Традиционным ИТ-службам и эксплуатационным подразделениям присуща совершенно разная культура. Если не определить четкие роли и не обеспечить совместное движение к общей цели, организации угрожает серьезная опасность. Эксплуатационные команды, как правило, не имеют достаточного опыта в области ИТ, а ИТ-службы, разбирающиеся в технологиях, не понимают эксплуатационных потребностей организации. Это приводит к усилению трений и снижению качества взаимодействия, чем злоумышленники с удовольствием и пользуются.
• Отсутствие обучения новым технологиям. По мере постепенного отказа от унаследованных систем SCADA и обновления организациями своих технологий все больше коллективов, выросших в аналоговой среде, оказываются в совершенно незнакомом для себя цифровом мире, наполненном множеством самых разных связей. Происходящая конвергенция создает риски нарушения интероперабельности, что в свою очередь открывает двери злоумышленникам. Когда сотрудники, не имеющие должной подготовки в сфере ИТ, начинают обслуживать ИТ-оборудование, им требуется время на то, чтобы осознать риски для устройств, которые ранее не были связаны с другим оборудованием предприятия. Более того, некоторые из этих устройств подключены к Интернету, и риски существенно возрастают. У атакующих появляется возможность использовать традиционные способы проникновения в среду SCADA. Основной причиной появления брешей в промышленных системах управления становится то, что вопросы, связанные с технологической конвергенцией АСУ ТП, невозможно эффективно решать старыми, привычными способами.
• Ошибочные приоритеты разработчиков. ИТ-компании из Кремниевой долины, как правило, не знают особенностей эксплуатационной среды промышленных предприятий, а потому не могут удовлетворить ее потребности. Традиционные разработчики систем АСУ ТП видят рост рынка технологий и, стремясь расширить бизнес, начинают предлагать ИТ-решения, не в полной мере осознавая существующие риски в области кибербезопасности. Эксплуатационные службы, которые также не понимают этих рисков, вступают в договорные отношения с традиционными для себя поставщиками.
Предприятия оказываются уязвимыми, потому что развертывают уязвимые системы Источник: Flickr/Adam Thomas/REMIXED |
Как же продвигаться вперед? Имея за плечами опыт работы директором по информационной безопасности, могу дать следующие рекомендации:
1. Будьте примером. Развитие культуры зависит от стиля руководства, принятого в организации. Быть проводником перемен или нет — это ваш выбор. ИТ-департаменты и эксплуатационные подразделения должны откровенно и профессионально обсудить все, что нужно сделать ради снижения рисков.
2. Используйте интеллектуальные инструменты защиты. Обладание необходимой информацией и разумный подход помогают находить правильные решения и принимать нужные меры. Вы не сможете эффективно защитить себя, не зная, в чем заключаются риски. Защита, основанная на разумных мерах, должна стать частью вашей программы оценки корпоративных рисков. Это потребует определенных усилий, но желаемых результатов вполне можно добиться в течение нескольких месяцев, а не лет. Задача заключается в том, чтобы защитить себя и свою организацию от злоумышленников, обеспечить защиту в суде, обезопасить себя от действий регулирующих органов.
3. Активно управляйте поставщиками. ИТ-служба, эксплуатационные подразделения и юристы организации должны действовать в постоянном контакте друг с другом. Поставщики адекватно реагируют на изменение рыночной ситуации и при включении в договорные обязательства требований к безопасности движутся в правильном направлении. Но будьте готовы к тому, что по мере расширения списка требований будет возрастать и стоимость заказа. Ваш поставщик должен принять необходимые меры в процессе выполнения контракта, в противном случае их придется принимать вам после его завершения.
4. Вводите ограничения. Да, это потребует серьезных усилий, но должно быть сделано. Любая брешь причинит значительно меньший урон, если вы отделите жизненно важную инфраструктуру от менее важной и перекроете пути, используемые злоумышленниками. Применительно к системам АСУ ТП могу порекомендовать технологии, которые не позволяют пользователям сети общего доступа иметь доступ в сеть с секретной информацией.
5. Анализируйте информацию при принятии решений о построении критически важной инфраструктуры АСУ ТП и придерживайтесь здравого смысла. Такой подход помог бы предотвратить атаку на украинские энергосети, избавив множество людей от чувствительных для них потерь.
Хакеры атаковали украинские электросети
Специалисты группы SANS Industrial Control Systems утверждают, что произошедшие 23 декабря 2015 года аварии на украинских электросетях, в результате которых без электроэнергии на несколько часов остались жители целых городов, были вызваны действиями хакеров.
Атаки были тщательно спланированы и скоординированы, считают специалисты. Внедренные хакерами вредоносные программы позволили им получить доступ к компьютерным сетям энергораспределяющих компаний «Прикарпатьеоблэнерго» и «Киевоблэнерго». Затем хакеры вручную вмешались в работу систем. Они не только отключили энергию, но и предприняли меры для того, чтобы диспетчеры не сразу обнаружили аварию. Одновременно они провели DDoS-атаку на телефонные центры поддержки, затруднив передачу жалоб клиентов на отключение энергии.