ICS-CERT: Отчет об атаках на критически важные системы

Американский центр реагирования на инциденты ICS-CERT, который специализируется на угрозах для промышленных систем, недавно опубликовал статистику по инцидентам в США. В отчёте проанализирована информация по 108 инцидентам в области ИБ, произошедшим за первое полугодие 2015 г. в индустриальных системах.

Отмечено, что только 3,3% инцидентов получили огласку, а основными источниками информации стали государственные партнёры (49,5%), исследователи (18,2%) и владельцы промышленных систем (29,3%). Наибольшее число инцидентов зафиксировано в областях энергетики (30,6%), управления водными ресурсами (20,1%) и на критически важных производствах (20,1%). При этом в финансовом секторе, сферах ядерной промышленности и ИТ зафиксировано лишь по одному инциденту. Статистика по векторам атак приводится, но она не очень точна: к неизвестному типу отнесены 30,3% инцидентов, и это может обусловливать слишком сильные искажения общей картины.

Основная рекомендация отчёта – отключить все критически важные системы от Интернета. Как утверждают авторы документа, «если вы подключены, то вы, скорее всего, заражены». Алексей Филатенков, руководитель направления ИБ компании «Открытые Технологии», говорит: «Сейчас отделение критически важной автоматизированной системы от Интернета, да и от корпоративной сети является чуть ли не главным способом её защиты. Долгие годы при построении такой системы требовалась её изоляция от корпоративной сети. Сейчас наблюдается скорее обратный процесс: возникает потребность в информационном обмене между этой системой (как правило, АСУ ТП) и другими, действующими на предприятии. Зачастую корпоративные информационные системы нужно обогащать данными из АСУ ТП. Например, ERP-системы могут получать показатели фактически произведенной электроэнергии и сравнивать их с плановыми. А подсистемам, образующим АСУ ТП, требуются установка обновлений ПО и анализ их защищённости».

Именно поэтому возникает основной вопрос ИБ: можно ли полностью оградить АСУ ТП от влияния Интернета? Екатерина Головатова, менеджер по PR компании «Новые облачные технологии», заверяет: «Прямой ответ на этот вопрос – да, можно. На жаргоне безопасников лучшая защита – это «воздушный зазор», то есть физическая несвязность сетей передачи данных. Состояние защиты критически важных объектов инфраструктуры в российской ИТ-области исторически сложилось ещё до эпохи Интернета, и системы АСУ ТП, как правило, не подключались к Сети и после её появления. Это естественно: никому из инженеров не придёт в голову подключать к Интернету cистему управления атомной станцией, плотиной или ТЭЦ».

С ней солидарен коммерческий директор компании «Аванпост» Александр Санин: «Не можно, а нужно отделять сеть АСУ ТП от Интернета! Если это выполнимо без существенного нарушения процессов, необходимо физически изолировать критически важные сегменты. Ну а в тех случаях, когда это невозможно, требуется устанавливать очень серьёзные системы защиты, межсетевые экраны и тому подобное».

Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia, предупреждает: «Критически важные системы можно и нужно изолировать как от Интернета, так и от локальных сетей компаний. Это значительно повышает уровень их безопасности, исключая сразу несколько серьёзных факторов нарушения защиты. Конечно, на администрирование таких систем требуется больше ресурсов, поскольку нужно иметь к ним физический доступ и переносить значительные объёмы информации на внешних носителях. Кроме того, необходимо и больше финансовых вложений, из-за чего многие компании от таких систем отказываются. Так или иначе, вопрос целесообразности применения изолированных систем решается за счет поиска баланса между требуемым уровнем защиты и выделяемыми средствами. При этом ни в коем случае нельзя снижать уровень защиты, считая, что изолированная система не подвержена стандартным угрозам. Необходимо использовать антивирусные средства, поддерживая их в актуальном состоянии (обновляя), контролировать физический доступ к системам и применять двухфакторную аутентификацию на программном уровне систем. В зависимости от важности информации дополнительно следует задействовать средства шифрования и резервного копирования».

Однако на практике дело обстоит несколько иначе. Например, компания Digital Security, исследовав мобильные приложения для управления критически важными системами, обнаружила достаточно много проблем. Не все администраторы понимают, что, подключая к системе АСУ ТП 3G-модем для обеспечения дистанционного управления с телефона или планшета, они подсоединяют эту систему к общедоступной сети. Как показывает исследование УЦСБ, 17% администраторов пользуются инструментами удалённого управления при обслуживании АСУ ТП. Однако ни один из владельцев АСУ ТП не ввел процедуру проверки требований ИБ, поэтому сложно установить, насколько много администраторов применяют технологию удалённого управления в обход средств защиты.

Денис Батранков, консультант по ИБ компании Palo Alto Networks, отмечает: «В теории все красиво: нет физического соединения – нет проблем (на английских форумах это называют air-gap – «воздушным зазором»). Еще 15–20 лет назад критически важные сети действительно были отделены от Интернета, и проблем с безопасностью никто не испытывал. Но в последние 10 лет бизнес принимал решения о внедрении новых продуктов по принципу «быстрее реализовать, удобнее управлять и меньше заплатить», а о безопасности думал в последнюю очередь. В критически важных системах начал использоваться не очень безопасный стек протоколов TCP/IP. Затем выяснилось, что для работы некоторых закупленных систем SCADA требуется подключение к Интернету. Потом оказалось, что сотрудники подключают свои ноутбуки к свободным Ethernet-портам внутренних сетей, и начинается заражение c этих ноутбуков, где установлены инфицированные приложения Microsoft Office, Flash, SMB, DNS, а защиты нет вообще. Некоторые люди приносят 3G-модемы и организуют себе выход в Интернет, подключая их к USB-портам систем управления и мониторинга SCADA. Наконец, принесённая кем-нибудь flash-память, подключённая в порт USB, таит в себе много опасностей, полученных из того же Интернета. Ну не получается air-gap!».

А примерно год назад стало понятно, что и «воздушный зазор» уже не спасает, поскольку информация может передаваться с помощью ультразвука – об этом мы уже писали. А значит, полностью отключить систему АСУ ТП от внешнего мира не получится.

Анатолий Виклов, консультант по безопасности Check Point, отмечает: «Как показывают результаты исследований, подключение к Глобальной сети является серьёзной угрозой для безопасности индустриальных систем. Увы,  буквально в каждой сети имеется такое подключение. Цели – разные: организация удаленного доступа для сотрудников производителей индустриальных систем, получение обновлений от вендора, выгрузка данных в другие системы и т.п. И хотя имеется исчерпывающее количество рекомендаций по защите индустриальных систем, в том числе фигурирующих в отчете ICS-CERT, проблема прямого доступа к системе из Интернета сохраняется, и, как мы считаем, в ближайшем будущем останется актуальной».

BISA