Владимир Дащенко, руководитель группы исследований уязвимостей систем промышленной автоматизации и IoT из Kaspersky Lab ICS CERT рассказал о проблемах с защитой устройств, систем промышленной автоматизации и «Промышленного Интернета вещей» (IIoT).

24 мая в Санкт-Петербурге в отеле Four Seasons состоялась международная пресс-конференция, на которой эксперты «Лаборатории Касперского» рассказали о текущем ландшафте киберугроз, о том как спамеры и фишеры атакуют пользователей; с какими угрозами дети сталкиваются в Интернете и как они влияют на их физическую безопасность; как и почему финансовые киберугрозы стали одной из главных проблем бизнеса; что не так с защитой критической инфраструктуры и «Интернета вещей». Наше особое внимание привлекло выступление Владимира Дащенко, руководителя группы исследований уязвимостей систем промышленной автоматизации и IoT – Kaspersky Lab ICS CERT. Он рассказал о проблемах с защитой устройств и систем промышленной автоматизации.

Автоматизированная система управления технологическим процессом (АСУ ТП) представляет собой группу решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. АСУ ТП может иметь связь с более общей системой автоматизированной системой управления предприятием (АСУП). Под АСУ ТП обычно понимается целостное решение, обеспечивающее автоматизацию основных операций технологического процесса на производстве в целом или каком-то его участке, выпускающем относительно завершённое изделие.

Понятие «автоматизированный», в отличие от понятия «автоматический», подчёркивает необходимость участия человека в отдельных операциях, как в целях сохранения контроля над процессом, так и в связи со сложностью или нецелесообразностью автоматизации отдельных операций.

Рассмотрим вопрос информационной безопасности, т.е. защищенности АСУ ТП перед лицом всевозможных злоумышленников.

По результатам исследований процент компьютеров, задействованных в промышленной автоматизации, на которых была предотвращена вредоносная активность: если в первом квартале 2018 года в мире он оставлял 35,12%, то в первом квартале 2019 года в мире – 33,21%, а в России этот процент за тот же период упал более значительно с 40,34% до 36%. В свою очередь в Беларуси этот процент составлял 57,37% - в 2018 году и 42,31% - в 2019 году, в Казахстане - 50,28% в 2018 году и 41,95% - в 2019 году. Интересно, что общее количество атак падает, чьл обусловлено тем, что промышленные компании зреют, усиливают свою ИБ-защищенность, они начинают применять различные средства информационной защиты как на периметре корпоративно сети, так и в самой промышленной сети. Эта статистика подтверждает, сколько компьютеров было атаковано уже именно в промышленном сегменте сети компаний и предприятий.

Однако существует следующее заблуждение: нет необходимости защищать компьютеры промышленной автоматизации, поскольку они совсем не подключены к Интернету. Действительно на многих предприятиях множество технологических процессов запущены и практически десятки лет не останавливаются. Однако, по словам Владимира Дащенко, руководителя группы исследований уязвимостей систем промышленной автоматизации и IoT, который работает в Kaspersky Lab ICS CERT, он с группой специалистов участвовал во множестве аудитах безопасности на многих предприятиях и видел очень интересные картины. Например, на одном крупном заводе компьютеры, расположенные в цехах, по технологическому процессу не было необходимости подключать к Интернету. «Но тут мы обнаружили на двух компьютерах в разных зданиях игру Cartoon Strike. В цехе нам пояснили так: у нас технологический процесс поставлен на поток, с ним все нормально, но операторам скучно и один цех играет против другого цеха в эту компьютерную игру», - рассказал Владимира Дащенко. Одновременно на этих компьютерах рабочие этих цехов проверяли свою почту, заходили в Интернет и иногда неосознанно нажимали на различные ссылки, в это время и происходило заражение.

Как показывает статистика, основными источниками угроз, которые были заблокированы на компьютерах АСУ (Q1 2019), были следующие: в России – Интернет (23,4%), съемные носители (3,6%), почтовые клиенты (2,6%); в Казахстане – Интернет (26,7%), съемные носители (8,2%), почтовые клиенты (3,2%) и в Беларуси – Интернет (27,5%), съемные носители (4,7%), почтовые клиенты (2,7%). С почтовых клиентов естественно кроме почты приходит спам, фишинг и другие вредоносные программы.

Кибернегодяи не сидят, сложив руки, они совершенствуют свои противные технологии и если в 2017 году количество семейств вредоносного программного обеспечения было 1313, то в 2018 году этих семейств уже было 1567, тем не менее общее количество атак на промышленные компьютер падает, однако эти атаки становятся все более изощренными.

Приведем другой пример. На одном среднестатистическом алюминиевом заводе расположен цех с алюминиевыми ваннами, который потребляет астрономическое число мегаватт электроэнергии и за счет технологии электролиза выплавляет алюминий. Одна такая ванна стоит около 9 млн евро, таких ванн на заводе около 5 тысяч. Все они работают под управлением промышленных контроллеров, все имеют одинаковое программное обеспечение и одинаковые управляющие протоколы. Если найти даже маленькую уязвимость в одной алюминиевой ванне, то эта уязвимость может быть проэксплуатирована на все пять тысяч ванн. Технологический процесс в ванне идет при температуре около 950-960 градусов, если температура за счет действий злоумышленников упадет на 100 градусов, то в ванне образуется гигантский алюминиевый кирпич.

Опять же что говорит статистика: если сравнить данные по количеству уязвимостей в разных компонентах АСУ ТП в 2018 году с данными 2019 года, то можно констатировать, что оно увеличилось с 322 до 415. Это не значит, что ПО и контроллеры становятся более уязвимыми, просто все больше исследователей начинают заниматься это проблемой.

По словам Владимира Дащенко, команда лаборатории Kaspersky Lab ICS CERT находится в топе компаний, которые больше всех находит уязвимостей в АСУ ТП. В прошлом году ею была обнаружена 61 уязвимость, а уже в этом году на данный момент – около 40.

«Мы связываемся с разработчиками ПО и говорим об обнаруженной нами проблеме, очень ответственные вендоры предлагают нам вместе исправить найденную уязвимость и выпускают патч-заплатку и информируют об этом пользователей их ПО. Однако есть вендоры, которые не реагируют на предложения нашей лаборатории, а пытаются скрыть наличие уязвимости», - сказал Владимир Дащенко.

Есть большие проблемы с «Промышленным Интернетом вещей» (IIoT), касаемые АСУ ТП. Стартапы достаточно быстро разрабатывают новые отдельные элементы IIoT и стараются поскорее их продать, а о уязвимости таких элементов думают в последнюю очередь, что приводит к существенному всплеску проникновения злоумышленников в промышленные сети.

«Лаборатория Касперского» уже более 5 лет плотно занимается защитой АСУ ТП, в этом направлении работает команда, насчитывающая порядка 30 человек, которая разрабатывает специальные продукты для безопасности промышленной автоматизации. Эти продукты в свою очередь ориентированы на защиту операторских станций и защиту сетевого трафика, причем последние мониторят сетевой трафик на предмет наличия в нем аномалий. Тем не менее этот продукт не инвазивный, он не вмешивается в происходящие технологические процессы. Если он обнаруживает в трафике отклонение от нормы, то информирует администраторов информационной безопасности об аномальной активности. Любая атака начинается с точки входа, чем раньше эта точка будет детектирована, тем быстрее могут быть предприняты ответные меры по защите.

Команда, которая занимается в «Лаборатории Касперского» анализом и поиском уязвимостей в промышленной автоматизации, состоит из шести сотрудников, она занимается и компьютерной криминалистикой, которая в АСУ ТП обладает достаточно сложной спецификой. Скажем, если произошел инцидент на контроллере, важно правильно провести криминалистическую экспертизу именно контроллера. Пять человек в лаборатории занимаются поиском новых угроз с точки зрения вредоносного кода для систем промышленной автоматизации, они анализируют, например, использует ли вредоносное ПО индустриальный протокол общения, если такая ситуация обнаружена, начинается изучение: откуда пришел вредоносный код и какие потенциальные жертвы при этом могут быть.

Специалисты Kaspersky Lab ICS CERT выпустили вводный обучающий курс по кибербезопасности промышленных систем на обучающей платформе Stepik. Курс нацелен на получение знаний о проблемах обеспечения кибербезопасности в критически важных системах и формирование навыков, которые можно применить в начале работы в качестве специалиста по обеспечению безопасности в промышленности. Этот курс бесплатен и предназначен как для специалистов АСУ ТП, так и для ИБ-экспертов, желающих получить знания в специфической области защиты промышленных систем.

Кроме того, «Лаборатория Касперского» предлагает сервис по анализу соответствия конфигурации сетевой инфраструктуры АСУ ТП, средств безопасности, организации доступа к информационным системам технологической сети, уровня осведомленности сотрудников предприятия и внешних подрядчиков о ИБ-политиках, а также их практических навыков в области защиты от киберугроз требованиям государственных и отраслевых регуляторов.

Составными частями АСУ ТП могут быть отдельные системы автоматического управления (САУ) и автоматизированные устройства, связанные в единый комплекс. Такие как системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS), системы противоаварийной защиты (ESD) и другие менее крупные системы управления (например, системы на программируемых логических контроллерах (PLC)). Как правило, АСУ ТП имеет единую систему операторского управления технологическим процессом в виде одного или нескольких пультов управления, средства обработки и архивирования информации о ходе процесса, типовые элементы автоматики: датчики, устройства управления, исполнительные устройства.