Одно из свидетельств этого – очередная конференция, проведенная в первых числах декабря «Лабораторией Касперского» для представителей различных отраслей промышленности, где обсуждались актуальные проблемы киберзащиты промышленных систем (см. также «‘ Реальное’ кибероружие », Computerworld Россия, № 31, 2013).
Причинами инцидентов в области информационной безопасности комплексов АСУ ТП могут быть атаки, которые осуществляются и «сверху», и «снизу».
К первым, пояснил Сергей Минеев, эксперт «Лаборатории Касперского», относятся известные по корпоративным системам, но становящиеся все более изощренными методы инфицирования компьютерных комплексов промавтоматизации из внешних источников. К примеру, по данным «Лаборатории», с 2010 года ведутся активные целевые атаки, направленные на предприятия энергетики, машиностроения, фармацевтического сектора, строительной индустрии, а также учреждения образования и ИТ.
Для таких атак применяются вредоносные программы, способные похищать стратегически важную информацию. Инфицированные ими компьютеры соединяются со взломанными сайтами, которые используются для хранения вредоносных модулей и похищенных данных. Взломанные легитимные сайты могут также выполнять функции командных центров для управлении зараженными системами.
В настоящее время «Лаборатории Касперского» известно около полутора сотен вредоносных модулей, среди которых более трех десятков версий троянца Havex, в том числе содержащих средства сбора данных, используемых в промышленных ИТ-системах. Так, они имеют возможность получать подробные сведения о серверах OPC (Object Linking and Embedding for Process Control), применяемых в интегрированных автоматизированных комплексах промышленного управления.
Наряду с этим используется сканирование промышленных сетей для поиска открытых портов компьютеров, поддерживающих АСУ ТП, чтобы попытаться определить тип используемой системы диспетчерского управления и сбора данных (Supervisory Control and Data Acquisition, SCADA).
Злоумышленники применяют также скомпрометированные инсталляторы, размещенные на сайтах производителей SCADA, и прибегают к таким методам, как одновременное использование целой комбинации вредоносных программ.
Возможны и проникновения с использованием уязвимостей, расположенных на нижнем уровне иерархической структуры системы автоматизации датчиков и другого полевого оборудования.
Илья Медведовский, генеральный директор компании Digital Security, подчеркнул, что любая линия связи, которая выходит за границы защищенного периметра, представляет потенциальную угрозу для АСУ ТП.
Такой линией, в частности, может быть протяженная токовая петля, используемая для подключения интеллектуальных датчиков. Незащищенная токовая петля может «открыть дверь» для проникновения в систему управления производственными процессами (Manufacturing Execution System, MES), а при некорректном сегментировании сетей предприятия – и в ERP-систему.
«Атака возможна на любом участке, где можно как-то повлиять на передаваемые пакеты, независимо от используемых протоколов и сред передачи данных», — подчеркнул Медведовский.
Атака на уровень полевых устройств через MES в свою очередь способна привести к нарушению технологических процессов и даже к остановке производства.
Таким образом, в условиях иерархической организации современных АСУ ТП компрометация одного из уровней неизбежно ведет к компрометации соседних уровней, а атаки возможны во всех направлениях.
«Главное отличие защиты информационных систем в промышленности – нацеленность на предотвращение потенциальных угроз жизни людей. А это можно сделать лишь совместными усилиями промышленных предприятий, интеграторов, производителей оборудования и разработчиков программных систем информационной безопасности», — подчеркнул Евгений Касперский, генеральный директор «Лаборатории».