Возможно ли, чтобы Stuxnet, исключительно сложная вредоносная программа, направленная против промышленного оборудования, могла быть остановлена, по крайней мере частично, с помощью встроенных датчиков вибрации без программного обеспечения? Недавно я задал этот вопрос Энди Бохману, старшему специалисту по сетевой стратегии внутренней безопасности в Национальной лаборатории штата Айдахо (INL). На тот момент я только что прочитал Internet Insecurity (https://hbr.org/cover-story/2018/05/internet-insecurity), передовую статью в издании «Гарвард Бизнес Ревью» (https://hbr.org/). В ней рекомендуется, наряду с прочими мерами, применять аналоговые и несложные технические системы, не вместо цифровых, но в качестве баррикады для защиты важнейших систем. «Вы правы, — заверил меня Бохман в ответ на вопрос о Stuxnet. — Это центральная мысль всей статьи».
Я вздохнул с облегчением, поскольку нелегко сразу овладеть фундаментальными знаниями о кибербезопасности в целом и Stuxnet в частности. И мне никогда не приходилось встречать человека, который бы верил, что подход с использованием простых технических средств поможет отклонить центральный вектор атаки вредоносной программы.
Пример Stuxnet по-прежнему остается эталоном сложных кибератак против общедоступной сети бытовых и промышленных устройств. В сущности, Stuxnet был вредоносной программой, подготовленной, как считается, спецслужбами США и Израиля примерно в 2005 году для противодействия ядерной программе Ирана и примененной пять лет спустя. Червь был внедрен в закрытую сеть в иранском ядерном центре в Нетензе, скорее всего, с USB-накопителя. Затем вредоносный код проник в программируемые логические контроллеры, управляющие вращением центрифуг. Он заставлял центрифуги неконтролируемо вращаться в течение короткого времени, а затем возвращал их в нормальный режим на несколько недель. Так продолжалось до тех пор, пока не была выведена из строя пятая часть центрифуг.
Спустя восемь лет после атаки Stuxnet промышленные компании могут извлечь из этой истории несколько важных уроков. Так, государства продолжают предпринимать кибератаки против корпоративных, промышленных и административных целей соперничающих государств, в частности против организаций, управляющих критическими объектами инфраструктуры, с применением все более сложных методов. Пример тому — прошлогодние кибератаки WannaCry (якобы исходившие из Северной Кореи) и NotPetya (приписываемая России). Однако в некоторых случаях вы можете защититься от нападения с очень небольшими затратами, а иногда и вовсе без затрат, с помощью методов, о которых даже не подозревали в прошлом.
Недавно вредоносная программа, известная как Triton, или Trisis, атаковала нефтехимический завод в Саудовской Аравии. Ее задачей было захватить контроль над работой завода и вызвать взрыв. «The Washington Post» (https://www.washingtonpost.com/world/national-security/theyre-on-the-lookout-for-malware-that-can-kill/2018/04/27/33190738-32c1-11e8-8abc-22a366b72f2d_story.html? utm_term=.5c3b75f2aba2) назвала атаку примером вредоносной программы, способной убить. По информации «The New York Times» (https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html), атака не удалась только из-за ошибки в программе. Такие атаки, как Triton и Stuxnet, напоминают нам о том, что в XXI веке вредоносные программы могут физически испортить оборудование, а иногда и нанести ущерб безопасности. Кроме того, они могут нарушить работу организаций, сотрудники которых надеялись на прочную киберзащиту и изолированные сети, отделенные от внешнего мира.
И все же подход Бохмана отличается от принципов многих специалистов по кибербезопасности. Он не сосредоточен в первую очередь на «кибергигиене», к которой относит все, начиная с персонала и услуг по обеспечению кибербезопасности. Среди прочего — обучение сотрудников, инвентаризация подключенных продуктов, а также использование сетевых экранов, ловушек и систем обнаружения проникновения. Все эти элементы важны, но у каждого есть недостатки, из-за которых организациям приходится решать, на что потратить деньги наиболее эффективным способом. «Просто поставьте себя на место финансового директора, который обязан выяснить, действительно ли решение, запрашиваемое специалистом по безопасности, — лучший вариант», — предлагает Бохман. В похожей ситуации находятся, например, департаменты по коммунальным услугам, чья задача — наблюдать, как электросетевые компании расходуют деньги. «Это нелегкое дело, — признает Бохман. — Все это часть кибергигиены, применяемой в масштабах предприятия».
Проектирование киберзащиты с помощью испытанных средств
Большинство организаций реагирует на абстрактные с виду киберугрозы, еще более активно применяя старые меры, понемногу ежегодно увеличивая бюджет. Признавая важность кибергигиены, лаборатория INL рекомендует другой подход, именуемый проектированием на основе киберинформации с учетом последствий (CCE).
«Первый шаг CCE — идентифицировать части производственного процесса, отказа которых нельзя допустить ни при каких обстоятельствах», — поясняет Бохман. Как отмечается в статье, в эту задачу входит идентификация функций и процессов, отказ которых угрожает самому существованию компании. Примерами атак на такие исключительные процессы могут быть саботаж трансформаторов в сети электропитания, прерывающий подачу электроэнергии, или атака на нефтеперерабатывающий завод либо химическую установку, приводящая к взрыву, способному унести жизни тысяч людей. Этот шаг, а в действительности весь процесс, выполняется под руководством специалиста по CCE, который может быть представителем INL, а в дальнейшем — обученным сотрудником инженерной компании по обслуживанию.
Следующий шаг — создать карту цифрового рельефа организации, охватывая работников и процессы, причастные к критическим операциям, наряду со всем используемым ими оборудованием, программными продуктами и коммуникационными технологиями. На следующем этапе идентифицируются наиболее вероятные методы атаки против важнейших процессов, с разделением их на категории в зависимости от сложности.
Последний шаг, оценка риска и противодействие, отличается от других стратегий кибербезопасности использованием аналоговых технологий и базовых инженерных подходов. «Отличие состоит в том, что в некоторых случаях при очень малых затратах, а иногда и без затрат вы можете защититься способом, о котором, вероятно, даже не думали раньше», — рассказывает Бохман. Среди примеров — аналоговый датчик вибрации, который запускает защитный механизм, когда важный элемент оборудования получает команду для причинения ущерба самому себе или самоуничтожения (вспомним ядерные центрифуги в случае со Stuxnet). Другим подходом может быть резервная система, которая вступает в действие в случае кибератаки на критически важное оборудование. Часто такие методы могут выглядеть как откат назад в технологии, в частности, из-за ограничения или отказа от сетевых технологий и передачи важнейших функций доверенным специалистам вместо автоматизации производства.
В конечном итоге одна из уникальных особенностей системы INL — настоятельное требование, чтобы ключевым элементом обеспечения высокой кибербезопасности были инженеры, техники и другой персонал, обслуживающий промышленное оборудование. «Если сказать рабочим и инженерам, что у них в руках ключ к киберзащите критически важных систем, можно получить действительно интересную динамику, — утверждает Бохман. — Почти никто из них никогда не задумывался об этом». Методология INL также приоритизирует участие руководителей среднего и высшего звена, но ее уникальная особенность — роль операторов оборудования и инженеров. Техники становятся хакерами в изначальном смысле этого слова: они решают техническую задачу, используя иной, преимущественно более творческий подход, нежели изложен в руководстве по эксплуатации, как писал в 2014 году журнал New Yorker (https://www.newyorker.com/tech/elements/a-short-history-of-hack). «В нашем первом пилотном проекте именно люди, ближе всего соприкасающиеся с самыми важными и иногда опасными процессами, предложили решение, прежде чем специалисты из INL дошли до сути проблемы», — свидетельствует Бохман.