Поиск по публикациям и новостям

Владимир Дащенко, руководитель группы исследований уязвимостей систем промышленной автоматизации и IoT из Kaspersky Lab ICS CERT рассказал о проблемах с защитой устройств, систем промышленной автоматизации и «Промышленного Интернета вещей» (IIoT).

24 мая в Санкт-Петербурге в отеле Four Seasons состоялась международная пресс-конференция, на которой эксперты «Лаборатории Касперского» рассказали о текущем ландшафте киберугроз, о том как спамеры и фишеры атакуют пользователей; с какими угрозами дети сталкиваются в Интернете и как они влияют на их физическую безопасность; как и почему финансовые киберугрозы стали одной из главных проблем бизнеса; что не так с защитой критической инфраструктуры и «Интернета вещей». Наше особое внимание привлекло выступление Владимира Дащенко, руководителя группы исследований уязвимостей систем промышленной автоматизации и IoT – Kaspersky Lab ICS CERT. Он рассказал о проблемах с защитой устройств и систем промышленной автоматизации.

Автоматизированная система управления технологическим процессом (АСУ ТП) представляет собой группу решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. АСУ ТП может иметь связь с более общей системой автоматизированной системой управления предприятием (АСУП). Под АСУ ТП обычно понимается целостное решение, обеспечивающее автоматизацию основных операций технологического процесса на производстве в целом или каком-то его участке, выпускающем относительно завершённое изделие.

Понятие «автоматизированный», в отличие от понятия «автоматический», подчёркивает необходимость участия человека в отдельных операциях, как в целях сохранения контроля над процессом, так и в связи со сложностью или нецелесообразностью автоматизации отдельных операций.

Рассмотрим вопрос информационной безопасности, т.е. защищенности АСУ ТП перед лицом всевозможных злоумышленников.

По результатам исследований процент компьютеров, задействованных в промышленной автоматизации, на которых была предотвращена вредоносная активность: если в первом квартале 2018 года в мире он оставлял 35,12%, то в первом квартале 2019 года в мире – 33,21%, а в России этот процент за тот же период упал более значительно с 40,34% до 36%. В свою очередь в Беларуси этот процент составлял 57,37% - в 2018 году и 42,31% - в 2019 году, в Казахстане - 50,28% в 2018 году и 41,95% - в 2019 году. Интересно, что общее количество атак падает, чьл обусловлено тем, что промышленные компании зреют, усиливают свою ИБ-защищенность, они начинают применять различные средства информационной защиты как на периметре корпоративно сети, так и в самой промышленной сети. Эта статистика подтверждает, сколько компьютеров было атаковано уже именно в промышленном сегменте сети компаний и предприятий.

Однако существует следующее заблуждение: нет необходимости защищать компьютеры промышленной автоматизации, поскольку они совсем не подключены к Интернету. Действительно на многих предприятиях множество технологических процессов запущены и практически десятки лет не останавливаются. Однако, по словам Владимира Дащенко, руководителя группы исследований уязвимостей систем промышленной автоматизации и IoT, который работает в Kaspersky Lab ICS CERT, он с группой специалистов участвовал во множестве аудитах безопасности на многих предприятиях и видел очень интересные картины. Например, на одном крупном заводе компьютеры, расположенные в цехах, по технологическому процессу не было необходимости подключать к Интернету. «Но тут мы обнаружили на двух компьютерах в разных зданиях игру Cartoon Strike. В цехе нам пояснили так: у нас технологический процесс поставлен на поток, с ним все нормально, но операторам скучно и один цех играет против другого цеха в эту компьютерную игру», - рассказал Владимира Дащенко. Одновременно на этих компьютерах рабочие этих цехов проверяли свою почту, заходили в Интернет и иногда неосознанно нажимали на различные ссылки, в это время и происходило заражение.

Как показывает статистика, основными источниками угроз, которые были заблокированы на компьютерах АСУ (Q1 2019), были следующие: в России – Интернет (23,4%), съемные носители (3,6%), почтовые клиенты (2,6%); в Казахстане – Интернет (26,7%), съемные носители (8,2%), почтовые клиенты (3,2%) и в Беларуси – Интернет (27,5%), съемные носители (4,7%), почтовые клиенты (2,7%). С почтовых клиентов естественно кроме почты приходит спам, фишинг и другие вредоносные программы.

Кибернегодяи не сидят, сложив руки, они совершенствуют свои противные технологии и если в 2017 году количество семейств вредоносного программного обеспечения было 1313, то в 2018 году этих семейств уже было 1567, тем не менее общее количество атак на промышленные компьютер падает, однако эти атаки становятся все более изощренными.

Приведем другой пример. На одном среднестатистическом алюминиевом заводе расположен цех с алюминиевыми ваннами, который потребляет астрономическое число мегаватт электроэнергии и за счет технологии электролиза выплавляет алюминий. Одна такая ванна стоит около 9 млн евро, таких ванн на заводе около 5 тысяч. Все они работают под управлением промышленных контроллеров, все имеют одинаковое программное обеспечение и одинаковые управляющие протоколы. Если найти даже маленькую уязвимость в одной алюминиевой ванне, то эта уязвимость может быть проэксплуатирована на все пять тысяч ванн. Технологический процесс в ванне идет при температуре около 950-960 градусов, если температура за счет действий злоумышленников упадет на 100 градусов, то в ванне образуется гигантский алюминиевый кирпич.

Опять же что говорит статистика: если сравнить данные по количеству уязвимостей в разных компонентах АСУ ТП в 2018 году с данными 2019 года, то можно констатировать, что оно увеличилось с 322 до 415. Это не значит, что ПО и контроллеры становятся более уязвимыми, просто все больше исследователей начинают заниматься это проблемой.

По словам Владимира Дащенко, команда лаборатории Kaspersky Lab ICS CERT находится в топе компаний, которые больше всех находит уязвимостей в АСУ ТП. В прошлом году ею была обнаружена 61 уязвимость, а уже в этом году на данный момент – около 40.

«Мы связываемся с разработчиками ПО и говорим об обнаруженной нами проблеме, очень ответственные вендоры предлагают нам вместе исправить найденную уязвимость и выпускают патч-заплатку и информируют об этом пользователей их ПО. Однако есть вендоры, которые не реагируют на предложения нашей лаборатории, а пытаются скрыть наличие уязвимости», - сказал Владимир Дащенко.

Есть большие проблемы с «Промышленным Интернетом вещей» (IIoT), касаемые АСУ ТП. Стартапы достаточно быстро разрабатывают новые отдельные элементы IIoT и стараются поскорее их продать, а о уязвимости таких элементов думают в последнюю очередь, что приводит к существенному всплеску проникновения злоумышленников в промышленные сети.

«Лаборатория Касперского» уже более 5 лет плотно занимается защитой АСУ ТП, в этом направлении работает команда, насчитывающая порядка 30 человек, которая разрабатывает специальные продукты для безопасности промышленной автоматизации. Эти продукты в свою очередь ориентированы на защиту операторских станций и защиту сетевого трафика, причем последние мониторят сетевой трафик на предмет наличия в нем аномалий. Тем не менее этот продукт не инвазивный, он не вмешивается в происходящие технологические процессы. Если он обнаруживает в трафике отклонение от нормы, то информирует администраторов информационной безопасности об аномальной активности. Любая атака начинается с точки входа, чем раньше эта точка будет детектирована, тем быстрее могут быть предприняты ответные меры по защите.

Команда, которая занимается в «Лаборатории Касперского» анализом и поиском уязвимостей в промышленной автоматизации, состоит из шести сотрудников, она занимается и компьютерной криминалистикой, которая в АСУ ТП обладает достаточно сложной спецификой. Скажем, если произошел инцидент на контроллере, важно правильно провести криминалистическую экспертизу именно контроллера. Пять человек в лаборатории занимаются поиском новых угроз с точки зрения вредоносного кода для систем промышленной автоматизации, они анализируют, например, использует ли вредоносное ПО индустриальный протокол общения, если такая ситуация обнаружена, начинается изучение: откуда пришел вредоносный код и какие потенциальные жертвы при этом могут быть.

Специалисты Kaspersky Lab ICS CERT выпустили вводный обучающий курс по кибербезопасности промышленных систем на обучающей платформе Stepik. Курс нацелен на получение знаний о проблемах обеспечения кибербезопасности в критически важных системах и формирование навыков, которые можно применить в начале работы в качестве специалиста по обеспечению безопасности в промышленности. Этот курс бесплатен и предназначен как для специалистов АСУ ТП, так и для ИБ-экспертов, желающих получить знания в специфической области защиты промышленных систем.

Кроме того, «Лаборатория Касперского» предлагает сервис по анализу соответствия конфигурации сетевой инфраструктуры АСУ ТП, средств безопасности, организации доступа к информационным системам технологической сети, уровня осведомленности сотрудников предприятия и внешних подрядчиков о ИБ-политиках, а также их практических навыков в области защиты от киберугроз требованиям государственных и отраслевых регуляторов.

Составными частями АСУ ТП могут быть отдельные системы автоматического управления (САУ) и автоматизированные устройства, связанные в единый комплекс. Такие как системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS), системы противоаварийной защиты (ESD) и другие менее крупные системы управления (например, системы на программируемых логических контроллерах (PLC)). Как правило, АСУ ТП имеет единую систему операторского управления технологическим процессом в виде одного или нескольких пультов управления, средства обработки и архивирования информации о ходе процесса, типовые элементы автоматики: датчики, устройства управления, исполнительные устройства.

Сейчас на главной

22 апр. 2025 г., 12:02:24
NLP (обработка естественного языка) – недалекое будущее в том числе и российской медицины

Представьте себе врача, который никогда не забывает детали вашей медицинской истории, мгновенно анализирует миллионы записей и предсказывает потенциальные риски для здоровья. Звучит как фантастика? Нет, это реальность, которая становится возможной благодаря NLP — обработке естественного языка.

21 апр. 2025 г., 15:35:29
Ирина НИКУЛИНА: «EKF Impulse – это комплексный подход к проектированию, развертыванию и эксплуатации зарядной инфраструктуры»

Ирина Никулина, руководитель направления Электрозаправочные станции компании «Электрорешения».

21 апр. 2025 г., 13:50:24
ПК и комплект периферии «Инферит»: создаём рабочее место в офисе

Тестируем комплексное решение для организации рабочего места офисного сотрудника, предлагаемое российским вендором оборудования и ПО для ИТ-инфраструктуры и информационной безопасности — компанией «Инферит», входящей в группу Softline.

21 апр. 2025 г., 10:20:59
Что делать, если мотивация теряется по пути к достижению результата?

Единомышленники, продолжаем наш сериал о технологии достижения результата. Ранее вышли три статьи - о правильной постановке цели, готовности идти к результату и диагностике мотивации в момент постановки цели.

14 апр. 2025 г., 13:17:52
DDoS-атаки: как защитить свой бизнес от разрушительных последствий

Кибератаки становятся все более изощренными и опасными, представляя серьезные вызовы для компаний любых размеров. Компании могут терять деньги, информацию и репутацию, если злоумышленникам в сети удается достичь своей цели.

1 апр. 2025 г., 09:47:22
Линейно-интерактивный ИБП Ippon Pacific 1000: стабильная энергия для малого бизнеса

ИБП Ippon Pacific 1000 — устройство, которое отлично вписывается в сценарии использования, характерные для совсем небольшого офиса или рабочих мест предпринимателей-фрилансеров. Устройство эффективно защищает подключенное оборудование от перепадов напряжения и кратковременных отключений электропитания. Диапазон доступных настроек достаточен для разных сфер применения, ИБП будет одинаково уместно смотреться и на рабочем месте фрилансера, и в составе серверной стойки.

29 мар. 2025 г., 22:14:16
«Полигон»: оборудование для ИТ-инфраструктуры

Мероприятие научно-производственного предприятия «Полигон», ведущего российского производителя сетевого оборудования. В рамках встречи Иван Лялин, коммерческий директор ООО «ТВК Инзер» (ГК АО НПП «Полигон»), рассказал о структуре компании, разработках, особенностях производства, а также работе с партнёрами.

10 мар. 2025 г., 20:36:49
Проверьте вашу мотивацию движения к цели

Продолжаем разговор о технологии достижения результата.

6 мар. 2025 г., 11:46:57
IT-эксперт о потерянных $1,46 млрд Bybit: как технически стало возможным крупнейшее в истории крипто-ограбление

Криптовалютный рынок продолжает привлекать внимание как инвесторов, так и злоумышленников. Недавно произошел громкий инцидент в сфере безопасности, который поставил под угрозу репутацию одной из крупнейших криптобирж в мире — Bybit. По оценкам экспертов, хакеры смогли украсть рекордные $1,46 млрд. Это событие стало самой масштабной цифровой кражей в истории.

27 февр. 2025 г., 15:08:11
Российский рынок корпоративного ПО: перспективы роста и ключевые тренды

Российский рынок корпоративного программного обеспечения демонстрирует уверенный рост, который, согласно исследованию консалтинговой компании Strategy Partners, в среднем составит 24% ежегодно до 2030 года. В результате его объем превысит 700 млрд рублей, а общая емкость ИТ-рынка может достигнуть 7 трлн рублей. Ключевыми факторами роста остаются цифровая трансформация бизнеса, импортозамещение и активная государственная поддержка отрасли

20 февр. 2025 г., 21:40:23
Новости линейки IP-телефонов Flat-Phone

Мероприятие «Флат-ПРО», российского разработчика программно-аппаратных решений в области связи. Встреча посвящена итогам первого года продаж IP-телефонов компании, продуктовой линейке устройств «Флат-ПРО», а также планам и перспективам её развития в 2025 году.

17 февр. 2025 г., 17:44:19
PT NAD и PT Sandbox - защита от целевых атак

Мероприятие серии «ПРОдемо:Лаборатория программных решений» — специального проекта команды OCS Soft. В рамках встречи Дмитрий Щербатюк, пресейл-эксперт по информационной безопасности OCS, рассказал о системе поведенческого анализа сетевого трафика для обнаружения скрытых кибератак PT NAD и экспертной песочнице для защиты от сложного вредоносного ПО и угроз нулевого дня PT Sandbox.