Люди ежедневно полагаются на сложные системы, от которых требуется высочайшая надежность: на самолеты, искусственные клапаны сердца, автоматизированные дозаторы лекарств, высокоскоростные железные дороги, газовые турбины и т. п. Узлы всех таких устройств, безусловно, спроектированы так, чтобы обеспечить прочность, легкость и безопасность, однако кибератаки на производственные процессы могут, например, привести к изменениию параметров конструкции деталей, следствием чего станет серьезное ухудшение надежности конечного изделия. Судя по недавним резонансным заявлениям правительства США и компаний вроде Apple, существует высокая заинтересованность в возвращении производства из стран с дешевой рабочей силой обратно в США [1, 2]. Это прежде всего вызвано отсутствием гарантий безопасности производства, что обусловлено поставками комплектующих из ненадежных источников [3] и незащищенностью цифровой инфраструктуры производства.
Насколько уязвима производственная инфраструктура для труднораспознаваемых кибератак, преднамеренно изменяющих конструкцию и технологический процесс таким образом, что готовое изделие окажется дефектным? Например, могут ли атакующие незаметно внести изменения, которые заставят лопасть реактивной турбины сломаться при работе в определенном режиме?
Ошибки производства
Точность, необходимая при производстве критичных узлов, практически целиком зависит сегодня от систем автоматизированного проектирования и управления. Конечно, характеристики каждой детали тщательно моделируются и контролируются в процессе производства, но как бы ни был строг контроль качества, ошибки случаются. В частности, у выпущенного недавно самолета Boeing 787 Dreamliner первое время неоднократно происходил тепловой разгон аккумулятора, и хотя решение проблемы нашли, ее первопричина до сих пор не установлена. У автомобиля Toyota Prius наблюдались случаи неконтролируемого ускорения — причина этого так и остается загадкой, хотя расследование, проведенное американским управлением безопасности дорожного движения и НАСА, выяснило, что она связана не с электротехникой, а, вероятно, обусловлена ошибкой пользователя либо отказом механического оборудования. Организация сложного производства трудна сама по себе — даже когда злоумышленники в него не вмешиваются.
На сегодняшний день проведено множество исследований, посвященных киберуязвимости промышленных систем управления — в частности, контроллеров АСУТП, манипуляции с которыми могут вызвать нарушения в работе управляемых систем. Но что, если вместо этого устроить тайную атаку, которая внесет изменения в производство критичных для безопасности деталей, для того чтобы их характеристики перестали соответствовать расчетным? При этом такие модификации будут незаметны при стандартных условиях тестирования и процедурах контроля качества. Многие исследователи изучали возможность внесения дефектов в компьютерное оборудование и ПО, но практически никто еще не рассматривал возможность порчи физических деталей, не имеющих электроники, вроде болта тормозной системы.
Чтобы получить более четкое представление о кибербезопасности производства, была проведена серия исследований, позволивших выявить потенциальные источники угроз и определить меры для повышения защищенности производственных систем. Серьезная угроза для процессов производства таится в простом непонимании работниками того факта, что риск кибератак существует.
Современные производственные процессы
В проведенных исследованиях ставилась цель получить ответы на следующие вопросы:
- Насколько велика поверхность атаки при аддитивном и субтрактивном производстве?
- Насколько велика вероятность обнаружить при физическом контроле качества конструктивные дефекты, внесенные с помощью кибератак?
- Насколько защищены компьютеризированные участки цепочки проектирования?
- Каким исследовательским задачам необходимо в первую очередь уделить внимание для устранения уязвимостей производства?
Субтрактивное производство
При субтрактивных производственных процессах, например при металлообработке, берется цельная заготовка, которая приводится в нужную форму путем последовательного удаления части материала. Традиционное оборудование субтрактивного производства — это токарные, фрезерные, сверлильные и многоцелевые станки, обычно оснащенные системами числового программного управления. На рис. 1 показана общая схема такого производственного процесса.
Рис. 1. Общая схема производственных процессов |
Объектом исследования были изделия, проектируемые с помощью САПР: 3D-модели деталей, создаваемые в таких системах, конвертируются в программу для станка с ЧПУ, например, на G-коде, по шагам описывающем процесс изготовления. В частности, с его помощью отдаются команды на передвижение с заданной скоростью режущих инструментов из одной точки пространственной координатной системы станка в другую. Обычно при таком перемещении инструмент, пересекая заготовку, удаляет часть ее материала. Очевидно, что при субтрактивном производстве под угрозой может быть целостность G-кода программы, а поскольку одну и ту же деталь можно изготовить с помощью множества различных последовательностей операций, распознать вредоносные модификации G-кода может быть непросто, особенно если их спрятать в серии безвредных изменений. Помимо изменения формы изделия, модификации G-кода могут влиять на инструменты, меняя их скорость и другие параметры, чтобы вызвать перегревание, столкновения и другие неполадки.
Аддитивное производство
При аддитивном производстве, или 3D-печати, изделие формируется путем послойного добавления материала. По сути, аддитивное изготовление можно представить как распечатку изображений поперечных сечений детали на плоских листах и их последующую укладку друг на друга (рис. 2). Материалом для аддитивного производства служат пластмасса, металлы, керамика и биосовместимые материалы.
Рис. 2. При 3D-печати последовательно формируются «поперечные сечения» детали |
В большинстве процессов 3D-печати используется один и тот же формат файлов — Standard Tesselation Language (STL), упрощенный стандарт представления геометрии изделия. Если оригинальный файл САПР может содержать историю изменений, информацию о материалах и параметризованный набор измерений и ограничений, то STL-файл содержит лишь перечень треугольных граней, образующих поверхность изделия. Это открытый формат, благодаря чему любая САПР может экспортировать данные для передачи на оборудование аддитивного производства.
После ввода в аппарат 3D-печати файл на STL преобразуется в код 3D-принтера для управления маршрутом инструмента, производящего нанесение материала (это могут быть сопло, лазер или головка струйной печати). Этот код обычно свой у каждого производителя 3D-принтера. Как и в случае субтрактивного производства, интерпретация языка числового управления достаточно сложна — здесь недостаточно выяснить окончательную форму изделия, поскольку технологии аддитивного производства зависят от законов динамики, теплопередачи и гидроаэродинамики. В частности, циклы нагревания и охлаждения при лазерном спекании и экструзии полимеров в значительной степени влияют на форму и прочность детали.
Важное преимущество послойного изготовления с помощью аддитивных технологий — это возможность доступа ко всему объему изделия в процессе его формирования. Благодаря этому можно создавать внутренние структуры изделия — например, распечатанный куб может иметь внутри полость определенной формы.
Поскольку деталь распечатывается слоями, каждый из них можно наблюдать по мере нанесения, чтобы распознавать дефекты, однако ни одна коммерчески доступная технология не дает гарантии, что распечатанные слои будут внешне точно соответствовать замыслу проектировщика. Исследования, посвященные применению систем машинного зрения для контроля формирования слоев, уже проводились, но в них рассматривалось только соответствие распечатываемого изделия STL-файлу. Если атакующие изменят такой файл или код управляющей программы, то принтер будет отчитываться о корректности слоя, даже если он отличается от спроектированного, поскольку проверка будет выполняться по уже модифицированному файлу. Многие существующие методы контроля ориентированы на выявление аппаратных сбоев производственного оборудования, но не могут обнаружить изменений данных.
Контроль качества
Контроль качества — важнейший этап производства. Раскалибровка или поломка оборудования может привести к браку. Для контроля целостности процессов применяются различные датчики и методы мониторинга. Стандартные операции контроля качества основаны на непосредственном измерении выпускаемых изделий с помощью штангенциркулей или лазерных сканеров, а также производятся путем деструктивных испытаний на прочность. Изделия для такой проверки обычно выбираются статистическим методом, однако производители не могут ломать все выпускаемые ими изделия или измерять все поверхности каждой детали. Важной задачей является выбор подходящего подмножества свойств изделия для проверки. Правда, если процедура такого выбора станет известна хакерам, это поможет им организовывать скрытые атаки.
Поверхность атаки производственных процессов
В рамках описываемого исследования была проанализирована инструментальная цепочка в лабораториях аддитивного и субтрактивного производства Политехнического университета Вирджинии. Стоимость оборудования составляла от 12 тыс. до 250 тыс. долл., хотя производственное оборудование промышленного уровня легко может стоить и миллионы. Следует отметить, что все смоделированные атаки были направлены против типового оборудования, которое эксплуатировалось и защищалось согласно штатным инструкциям производителя.
Задачами исследования являлись структурированная количественная оценка рисков, классификация атак, а также оценка затрат на обеспечение кибербезопасности. На практике, вероятно, будут полезны официально утвержденные материалы, например, рекомендации NIST по распознаванию и предотвращению вторжений, в которых рассматриваются основные категории угроз (вирусы, программы записи нажатий на клавиши, руткиты) и описаны соответствующие стандарты защиты и ответные меры. Кроме того, следует знать, как внедрить анализ киберрисков в существующие бизнес-практики.
Атаки на инструментарий
Инженеры с помощью САПР готовят проектную документацию, которая вводится в ПО формирования траектории движения инструментов. Обычно этими документами обмениваются с помощью стандартных механизмов передачи файлов, и если это незащищенная электронная почта или USB-накопители, то файлы могут быть скомпрометированы. Можно, например, автоматически распознать факт установки флеш-накопителя в порт USB и внести изменения в проектные файлы.
Атаки на управляющие системы
У оборудования аддитивного производства обычно открыты порты, применяемые для удаленной печати, отладки и управления. Нередко для доступа к ним не требуется аутентификация, а в некоторых случаях принимаются команды из любых источников. Даже неискушенный хакер может путем перебора портов обнаружить доступные принтеры и организовать атаку на отказ в обслуживании либо произвести инъекцию команд. Как выяснилось, операторы станков с ЧПУ не имеют специальных знаний о сетевых технологиях и не имеют представления о возможных рисках.
Кроме того, данные и управляющие команды не шифруются. В частности, команды управления принтером и данные удавалось перехватывать с помощью ПО мониторинга сетевых пакетов WireShark. Ручной анализ перехваченных данных позволил выяснить настройки принтера, в том числе скорость вращения вентилятора и команды установки температуры. Была идентифицирована отправляемая на принтер информация о слоях. Атакующие могли бы легко устроить атаку, например, путем подделки ARP-запросов (Address Resolution Protocol), перехватывая отправляемые на принтер данные и меняя их, что привело бы к формированию видоизмененной детали. Анализируя физические характеристики детали, атакующие могли бы вносить изменения так, чтобы свести к минимуму возможность их обнаружения и добиться максимального ущерба, например, путем создания источника распространения трещины.
Большую опасность представляет и то, что на компьютерах, управляющих оборудованием, применяются старые версии операционных систем и сервисов. В некоторых случаях обновить систему было нельзя, поскольку производственное ПО требовало строго определенной версии операционной системы. В частности, в лабораториях были обнаружены версии Windows от NT до 7, причем чаще всего встречалась уже давно неподдерживаемая Windows XP.
Атаки на основное оборудование
Вызывает беспокойство обнаруженное отсутствие физических средств защиты обрабатывающих инструментов и соединенных с ними компьютерных терминалов. В рамках исследования изучались в том числе потенциально уязвимые компоненты производственного цикла. Обычно для управления заданиями и мониторинга работоспособности оборудования используются напрямую соединенные терминалы. Файлы САПР переносились на компьютеры, соединенные с оборудованием через порты USB. Но проведенная через такой порт атака на командный терминал может заставить его искажать передаваемую оборудованию информацию и вывести из строя механизмы мониторинга.
Атаки на сети
Когда обрабатывающее оборудование доступно по сети, на его работу можно повлиять с помощью традиционных сетевых атак, и хотя в большинстве станков используются проприетарные протоколы, это не гарантирует безопасности. С помощью атак можно, например, внедрять собственные производственные задания в обход управляющего компьютера. Таким образом, атакующие могут не только видоизменять изделия, но и обходить средства безопасности, установленные на управляющий компьютер.
Атаки при контроле качества
На этапе контроля качества проверяются отклонения выпущенного изделия от проектных спецификаций, и распознавание кибератак в задачи контроля не входит, однако потенциально их можно выявить, когда атаки вызывают изменение изделия. При контроле качества приходится идти на компромиссы между тщательностью и затратами — точно измерять размеры каждой грани всех деталей при высокоскоростном производстве нецелесообразно. Более того, неясно, как отличать проблемы с качеством производства от атак и сбоев самого процесса контроля качества? В отличие от традиционных ИТ-систем, в процессах контроля качества атакующие, к примеру, могут изменить настройки координатно-измерительной машины, создав у пользователей иллюзию того, что все детали изготавливаются без отклонений.
Социальная инженерия
Обследование выявило, что люди, занятые непосредственно производством, обычно не задумываются о существовании рисков кибербезопасности в своей области. В частности, специалисты по аддитивному производству нередко отправляют друг другу для 3D-распечатки файлы из САПР, — выдав себя за эксперта, атакующий может отправить вредоносную конструкцию кому-то из профессионалов. Если многие пользователи компьютеров скептически относятся к непрошеным письмам с прикрепленными файлами, то в среде производственников обычно не видят риска в том, чтобы открывать файлы в специальных, знакомых им форматах, — считается, что инженерные инструменты слишком сложны для непосвященных, чтобы ими могли воспользоваться для целенаправленных атак.
Кибератаки с привлечением человека
Задачами проведенного исследования были идентификация и документация потенциальных уязвимостей производственных систем — в процесс производства вносились изменения, ухудшавшие качество конечного продукта, и проверялось, распознали ли участники вмешательство.
Схема кибератаки
Эксперимент проводился с участием студентов под предлогом возможности получения дополнительных зачетных единиц. Участников попросили под руководством практиканта изготовить на 3D-принтере жевательную кость для собак. Студентам сообщили требования к проекту и дали задание спроектировать 3D-модель, а затем изготовить и проверить изделие. Начальные проектные требования были корректными. По условиям эксперимента студенты должны были передать свою конструкцию со своего компьютера на другой, соединенный с производственным оборудованием. При этом второй терминал был заражен вирусом, который распознавал USB-накопители и перезаписывал G-код для изменения геометрии конечного изделия.
В эксперименте были заняты второкурсники, обучающиеся по направлению промышленного и системного проектирования. По окончании этой учебной программы выпускники обычно работают на производственных предприятиях и в здравоохранении. К моменту проведения эксперимента все они прошли серию инженерных курсов, а также курсы математики, английского, химии, физики и факультативные. Был пройден курс по САПР и еще один, касающийся цифровых аспектов инженерного дела. В период эксперимента проходились курсы по производственным процессам, эксплуатационным ограничениям и автоматизации.
Методология
Участников произвольным образом распределили по семи группам. Создав модели в САПР, группы должны были изготовить изделие, измерить его и подготовить отчет. Была выбрана несложная, привычная для студентов задача, чтобы они гарантированно смогли отличить брак. Более сложные изделия было бы проще атаковать, но простую геометрию жевательной кости можно легко проверить, чтобы выявить искажения, вызванные кибератакой (уровень отклонения от проекта должен был составить порядка 19%). Результаты учитывались по следующему перечню контрольных вопросов:
- Сумели ли участники визуально распознать брак?
- Доверяли ли участники компонентам производственного процесса?
- Если участникам выдавали штангенциркуль, измеряли ли они с его помощью изделие?
- Каким образом участники пытались выяснить первопричину обнаруженного дефекта?
- Какой окончательный вердикт выносился по поводу причины дефекта?
Программная система мониторинга постоянно отображала текущие показатели, и участники, сравнивавшие с ними первоначальный проект, всегда могли обнаружить различия. Группе А помощь не оказывалась, группам Б и В предоставляли штангенциркули и доступ к ПО мониторинга, а группы Г, Д, Е и Ж наряду с измерительным инструментом и ПО получали еще и устную рекомендацию измерить деталь.
Все группы выполнили стресс-тест, показавший, что деталь бракованная. Из семи групп в четырех самостоятельно заметили аномалию — всем этим четырем группам выдавались устные рекомендации измерить изделие. В трех группах установили, что источником аномалии стали компьютерная система или ПО для контроля оборудования, причем к этому выводу разные группы пришли разными путями. Ни в одной не заподозрили, что компьютерная система подвергалась атаке. В группах А, Б и В заявили, что изделие «выглядело нормальным», причем в последних двух не стали проводить измерения с помощью предоставленного инструмента. Похоже, участники предположили, что, если бы изделие обрабатывалось неверно, дефекты можно было бы легко заметить. Участников групп Г, Д, Е и Ж специально попросили измерить изделие, и во всех случаях аномалию заметили. В группах Г и Д провели больше всего диагностических испытаний и обнаружили «непонятную проблему с компьютером», из-за которой файл на флешке отличается от файла в программной системе. В качестве возможных причин называли ошибку в производственном ПО и ошибку копирования файла. В группе Е не прибегали к системному диагностическому подходу и не проверяли отдельные сегменты процесса. В конечном счете ее участники решили, что аномалия вызвана ошибкой в производственном ПО, но проверять этот вывод не стали. В той же группе сравнили файл САПР с файлами в «мусорной корзине» терминала и выяснили, что аномалии были и у других групп. В результате было решено, что так и было задумано, но гипотез по поводу аномалии выдвигать не стали. В группе Ж заподозрили ошибку человека и тщательно проверили входные данные, но вариант с дефектами компьютерных процессов не рассматривался — в отчете указали, что причина ошибки не установлена.
Таким образом, ни одна из семи групп не определила, что файл портился специально. Группы, обнаружившие ошибку, сделали это только после устного напоминания о необходимости проверки изделия, а не потому что сами заметили несоответствие нормам. Из трех групп, указавших на проблему с компьютером в качестве причины аномалии, только в двух поняли, что ошибка происходит при передаче файла через флешку. Участники проверяли только входные данные — самому процессу безоговорочно доверяли, а вину возложили на производственное ПО, а не на проблемы с компьютером.
Итого
Обстоятельное исследование, посвященное кибербезопасности реальных производственных предприятий, провести сложно из-за организационных трудностей — неизбежно пришлось бы идти на какие-то ухищрения, работники вынуждены были бы заниматься перекалибровкой дорогостоящего оборудования, тратя немало времени. Но даже проведенное исследование позволило обозначить основные области, требующие более углубленного изучения.
В частности, дальнейших исследований требует то, к чему приводит безоговорочное доверие производственников к применяемым ими компьютерным системам. Необходимо изучать действующие на конкретных предприятиях правила: входит ли в число процедур изоляции ошибок верификация компьютерных систем и предусмотрены ли меры реагирования на их сбои.
Можно расширить эксперимент в нескольких направлениях, варьируя распознаваемость атак (легко распознаваемая, умеренно распознаваемая, нераспознаваемая), уровень сложности изделия, объем технической помощи и производственную среду. Сложности могут возникнуть в основном в связи с корреляцией переменных. К примеру, критически важное изделие, скорее всего, проходит обстоятельный контроль качества, поэтому трудно классифицировать распознаваемость атаки в зависимости от уровня сложности изделия.
Рекомендации
Обобщение опыта в деле обеспечения кибербезопасности на производстве позволило определиться с направлениями работы по улучшению защищенности производственных процессов.
Повышение осведомленности. Участники эксперимента предполагали, что компьютерная инфраструктура их производственных систем в принципе не может быть источником искажений проекта, а ошибка, предположительно, содержалась в файлах САПР или АСУТП. Если бы студентам инженерных факультетов в рамках учебного курса разъясняли риски производственных кибератак, они бы лучше справились с идентификацией уязвимостей.
Киберфизический контроль качества. Уникальный аспект кибербезопасности на производстве состоит в том, что конечный результат — это всегда физическое изделие, которое можно измерить, чтобы определить, соответствует ли оно спецификациям. Коррелируя события кибернетического и физического контроля качества, можно повысить вероятность распознавания атак. Например, увеличение числа сообщений электронной почты с вредоносными вложениями можно соотнести с ростом числа отклонений, обнаруживаемых при физическом мониторинге, и заподозрить кибератаку.
Оценка рисков. Атаки разрабатываются так, чтобы исключить их обнаружение при стандартных физических процессах контроля качества, поэтому важно определить конкретный риск, связанный с производством различных изделий. Свойства некоторых изделий можно проверить только путем деструктивных испытаний, и нет возможности протестировать все экземпляры — киберфизические модели, определяющие риск для конкретных изделий, укажут на потребность в дополнительных мерах безопасности и контроля качества.
Диагностика и устранение последствий атак. Большинство существующих диагностических процедур направлены на обнаружение физических проблем, например неверной настройки оборудования. Для диагностики цифровых элементов производственных процессов необходимы новые процедуры. На тот случай, когда из-за кибератаки возникает дефект, персонал должен иметь предписание с указанием того, что следует делать, чтобы предотвратить ее распространение и провести дезинфекцию.
***
Процессы производства узлов для систем с особыми требованиями к обеспечению безопасности сопряжены с высокими рисками, которые обусловлены отсутствием киберфизических моделей идентификации атак, а также игнорированием традиционных практик информационной безопасности. Для защиты производственных процессов нужны исследования по ряду тематик, касающихся киберфизической безопасности производства. В частности, корреляция событий кибербезопасности и аномалий, обнаруженных при контроле качества, позволит распознать происходящую атаку. Кроме того, требуются исследования, направленные на построение моделей риска для различных производственных процессов и изделий. При этом нужно учитывать, что различные изделия и процессы имеют разные профили риска, в том числе вследствие того, что измерить изготовленную деталь можно не всегда.
Получив более полное понимание рисков кибербезопасности, связанных с разными физическими изделиями, можно усовершенствовать процедуры обеспечения защищенности и контроля качества тех изделий, для которых угроза атак наиболее высока. Кроме того, необходимо применять лучшие практики и сертификации, дающие гарантию того, что производственные процессы защищены с помощью самых современных методов контроля качества и ситуационной осведомленности.
Литература
- Obama Administration Launches Competition for Three New Manufacturing Innovation Institutes. Office of the Press Secretary, White House, 9 May 2013. URL: http://www.whitehouse.gov/the-press-office/2013/05/09/obama-administration-launches-competition-three-new-manufacturing-innova (дата обращения: 01.09.2015).
- B. Williams. Apple CEO Announces Entire Line of Macs to Be Made in America. NBC News, 6 Dec. 2012. URL: http://www.nbcnews.com/video/rock-center/50095631 (дата обращения: 01.09.2015).
- J. Rizzo. Industry Experts: Less ‘Made in USA’ Puts Security at Risk. CNN, 21 Sept. 2010. URL: http://edition.cnn.com/2010/US/09/21/manufacturing.security/index.html (дата обращения: 01.09.2015).
Хэмилтон Тернер (hamiltont@gmail.com) — директор по исследованиям вредоносных программ, Optio Labs; Жюль Вайт (jules@dre.vanderbilt.edu) — доцент, Университет Вандербильта; Хайме Камелио (jcamelio@vt.edu) — доцент, Кристофер Вильямс (cbwill@vt.edu) — доцент, Политехнический университет Вирджинии; Брэндон Эймос (bamos@cs.cmu.edu) — аспирант, Университет Карнеги — Меллона; Роберт Паркер (rparker@vt-arc.org) — старший менеджер по программам, компания VirginiaTech Applied Research.