Сообщения о том, что в результате взлома украинских энергосетей в канун Рождества без света остались многие десятки тысяч домов, еще раз подтвердили всем известный тезис: предприятия, обслуживающие критически важную инфраструктуру, должны своевременно реагировать на возникающие угрозы и упреждать действия злоумышленников.
Можно с уверенностью сказать, что лишь очень немногие организации оценивают сегодня кибербезопасность своей критически важной инфраструктуры АСУ ТП на отлично. А если это известно им, то известно и хакерам, для которых промышленные предприятия становятся легкодостижимой целью. В ситуации, которую мы наблюдали на Украине, хакерский код проникал через фишинговые эксплойты и искал определенные процессы, являющиеся общими для систем SCADA. После обнаружения такого процесса хакерская программа завершала его и переписывала программу, блокируя тем самым работу оборудования.
Хакеры атаковали украинские электросети
Специалисты группы SANS Industrial Control Systems утверждают, что произошедшие 23 декабря 2015 года аварии на украинских электросетях, в результате которых без электроэнергии на несколько часов остались жители целых городов, были вызваны действиями хакеров.
Атаки были тщательно спланированы и скоординированы, считают специалисты. Внедренные хакерами вредоносные программы позволили им получить доступ к компьютерным сетям энергораспределяющих компаний «Прикарпатьеоблэнерго» и «Киевоблэнерго». Затем хакеры вручную вмешались в работу систем. Они не только отключили энергию, но и предприняли меры для того, чтобы диспетчеры не сразу обнаружили аварию. Одновременно они провели DDoS-атаку на телефонные центры поддержки, затруднив передачу жалоб клиентов на отключение энергии.
В использовавшемся способе внедрения хакерского кода нет ничего необычного, и эту ситуацию вполне можно было бы предотвратить или как минимум уменьшить вероятность ее возникновения путем дополнительного обучения пользователей. Вместе с тем предприятия, обладающие критически важной инфраструктурой промышленных систем управления, вынуждены противостоять целому ряду уникальных вызовов.
- Культурные особенности. Традиционным ИТ-службам и эксплуатационным подразделениям присуща совершенно разная культура. Если не определить четкие роли и не обеспечить совместное движение к общей цели, организации угрожает серьезная опасность. Эксплуатационные команды, как правило, не имеют достаточного опыта в области ИТ, а ИТ-службы, разбирающиеся в технологиях, не понимают эксплуатационных потребностей организации. Это приводит к усилению трений и снижению качества взаимодействия, чем злоумышленники с удовольствием и пользуются.
- Отсутствие обучения новым технологиям. По мере постепенного отказа от унаследованных систем SCADA и обновления организациями своих технологий все больше коллективов, выросших в аналоговой среде, оказываются в совершенно незнакомом для себя цифровом мире, наполненном множеством самых разных связей. Происходящая конвергенция создает риски нарушения интероперабельности, что в свою очередь открывает двери злоумышленникам. Когда сотрудники, не имеющие должной подготовки в сфере ИТ, начинают обслуживать ИТ-оборудование, им требуется время на то, чтобы осознать риски для устройств, которые ранее не были связаны с другим оборудованием предприятия. Более того, некоторые из этих устройств подключены к Интернету, риски существенно возрастают. У атакующих появляется возможность использовать традиционные способы проникновения в среду SCADA. Основной причиной появления брешей в промышленных системах управления становится то, что вопросы, связанные с технологической конвергенцией АСУ ТП, невозможно эффективно решать старыми, привычными способами.
- Ошибочные приоритеты разработчиков. ИТ-компании из Кремниевой долины, как правило, не знают особенностей эксплуатационной среды промышленных предприятий, а потому не могут удовлетворить ее потребности. Традиционные разработчики систем АСУ ТП видят рост рынка технологий и, стремясь расширить бизнес, начинают предлагать ИТ-решения, не в полной мере осознавая существующие риски в области кибербезопасности. Эксплуатационные службы, которые также не понимают этих рисков, вступают в договорные отношения с традиционными для себя поставщиками. В конечном итоге мы оказываемся уязвимыми, поскольку развертываем уязвимые системы.
Как же продвигаться вперед? Имея за плечами опыт работы директором по информационной безопасности, могу дать следующие рекомендации:
1. Будьте примером. Развитие культуры зависит от стиля руководства, принятого в организации. Быть проводником перемен или нет – это ваш выбор. ИТ-департаменты и эксплуатационные подразделения должны откровенно и профессионально обсудить все, что нужно сделать ради снижения рисков.
2. Используйте интеллектуальные инструменты защиты. Обладание необходимой информацией и разумный подход помогают находить правильные решения и принимать нужные меры. Вы не сможете эффективно защитить себя, не зная, в чем заключаются риски. Защита, основанная на разумных мерах, должна стать частью вашей программы оценки корпоративных рисков. Это потребует определенных усилий, но желаемых результатов вполне можно добиться в течение нескольких месяцев, а не лет. Задача заключается в том, чтобы защитить себя и свою организацию от злоумышленников, обеспечить защиту в суде, обезопасить себя от действий регулирующих органов и защитить бренд, как свой личный, так и своей организации.
3. Активно управляйте поставщиками. ИТ-служба, эксплуатационные подразделения и юристы организации должны действовать в постоянном контакте друг с другом. Поставщики адекватно реагируют на изменение рыночной ситуации и при включении в договорные обязательства требований к безопасности движутся в правильном направлении. Но будьте готовы к тому, что по мере расширения списка требований будет возрастать и стоимость заказа. Ваш поставщик должен принять необходимые меры в процессе выполнения контракта, в противном случае их придется принимать вам после его завершения. Еще раз повторю: мы оказываемся уязвимыми, потому что развертываем уязвимые системы. И это нужно менять.
4. Вводите ограничения. Да, это потребует серьезных усилий, но должно быть сделано. Любая брешь причинит значительно меньший урон, если вы отделите жизненно важную инфраструктуру от менее важной и перекроете пути, используемые злоумышленниками. Применительно к системам АСУ ТП могу порекомендовать технологии, которые не позволяют пользователям сети общего доступа иметь доступ в сеть с секретной информацией.
Анализируйте информацию при принятии решений о построении критически важной инфраструктуры АСУ ТП и придерживайтесь здравого смысла. Такой подход помог бы предотвратить атаку на украинские энергосети, избавив множество людей от чувствительных для них потерь.
Адам Мейер — главный стратег компании SurfWatch Labs в области безопасности