Кибербезопасность объектов электроэнергетики: о том, что было, есть и будет

Ярушевский Дмитрий, CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП
АО «ДиалогНаука»

Актуальность вопросов кибербезопасности автоматизированных систем критически важных объектов вообще и объектов электроэнергетики в частности, с каждым годом растет. По данным ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team)^[1] за 2015 г. было зарегистрировано 295 инцидентов кибербезопасности на объектах критической инфраструктуры США. Причем, второе место – 46 инцидентов, занимает сектор энергетики. Подобная агрегированная информация по инцидентам на объектах критической инфраструктуры России пока, к сожалению, отсутствует. По крайней мере, в открытом доступе.

О том, что уже было

Тем не менее, самые «громкие» события не остаются незамеченными. Менее чем за год в энергетической отрасли произошло несколько действительно значимых и заметных инцидентов, связанных с кибератаками. Во-первых, нельзя не упомянуть об атаках на Украинскую энергосеть с использованием вредоносного ПО BlackEnergy. Напоминаю: в декабре 2015 осуществился ряд успешных атак, в ходе которых предположительно были изменены конфигурации RTU (программно-аппаратные устройства среднего уровня АСУ ТП, являющиеся, по сути, связующим звеном между нижним и верхним уровнями АСУ ТП), уничтожена информация на АРМ (автоматизированных рабочих местах) диспетчерского персонала, DDoS-атакам (атакам, направленным на отказ в обслуживании) подверглись call-центры электросетевых компаний.^[2] Как это зачастую бывает, результаты расследования кибератак, за которыми последовало отключение напряжения на семи 110 кВ и двадцати трех 35 кВ подстанциях и отключение энергоснабжения в 5 регионах страны на 6 часов, подвергались сомнению и вызвали множество догадок и предположений. Однако, оставив в стороне геополитические рассуждения и версии о злоумышленниках, обратим внимание на следующее: атаки BlackEnergy на энергосеть Украины были зарегистрированы еще в 2014 г. и в сентябре того же года, о возможных атаках на энергосеть предупреждали, как минимум, эксперты компании Eset^[3] . Год спустя инцидент произошел с участием того же BlackEnergy.

Рисунок 1. Информационное сообщение «Киевоблэнерго» о хакерских атаках
(Источник: https://blogs.sans.org/industrial-control-systems/files/2016/01/Screen-Shot-2016-01-06-at-10.12.55-PM.png)

нажмите, чтобы увеличить рисунок

Вообще, если говорить о кибербезопасности в контексте защиты АСУ ТП, «предупреждён» еще совершенно не значит, что «вооружен». Могут пройти месяцы (и даже годы) между тем, как офицер кибербезопасности (назовем так ответственного за ИБ АСУ ТП сотрудника) узнает о новых уязвимостях, возможных методах атаки и «защитных» патчах для программного обеспечения АСУ ТП и тем, как эти патчи действительно будут установлены. Ведь установка обновлений на технические средства, работающие в режиме 24/7, связана с простоями и рисками сбоев после обновлений, недопустимыми на большинстве технологических объектов.

Впрочем, и в «корпоративной части» таких объектов не все гладко с обновлениями. Например, в апреле 2016 в «офисной» сети немецкой атомной электростанции Gundremmingen было обнаружено многочисленное вредоносное программное обеспечение, включая W32.Ramnit и Conficker^[4,5]. Оба эти вредоносных червя известны с 2008 г. и блокируются практически любым антивирусным программном обеспечением… При его наличии и хотя бы «ежегодном» обновлении, конечно.

Эти, и другие инциденты, произошедшие в недалеком прошлом, хорошо демонстрируют уязвимость объектов ТЭК не только перед целенаправленными атаками (как в случаях с энергосистемой Украины или ядерной программой Ирана^[6]), но и перед нарушениями в работе, вызванными «случайным» заражением «обычным» вредоносным программным обеспечением.

О том, что есть

Еще 4-5 лет назад обеспечение кибербезопасности промышленных объектов и объектов ТЭК было темой, интересной узкому кругу специалистов. Сейчас ситуация меняется. За эти годы многие владельцы объектов провели аудиты безопасности, продемонстрировавшие уязвимости в инфраструктуре объектов, архитектуре систем и выстроенных (или вообще отсутствующих) процессах кибербезопасности.

Рисков и проблем кибербезопасности на объектах электроэнергетики очень много. В том числе и системного характера, таких, что подойдут к большинству современных промышленных объектов и объектов ТЭК. Основываясь на результатах многочисленных аудитов, могу выделить такие основные и наиболее распространенные проблемы:

1. Недостаточность (или отсутствие) политик, процедур и процессов кибербезопасности
Зачастую политики ИБ де факто (а иногда и де юре – я встречал приписку «кроме технологических систем» в организационно-распорядительной документации по вопросам ИБ) не распространяются на технологические системы. Это приводит к тому, что в технологических средах не соблюдаются даже элементарные принципы безопасности.

2. Уязвимости сетевой архитектуры
На большинстве технологических объектов сетевая архитектура строилась, модернизировалась и развивалась в течение десятилетий. Причем процесс этот далеко не всегда учитывал требования информационной безопасности и чаще всего проходил по принципам «быстрее, доступнее, проще и надежнее». Добавьте к этому тот факт, что идеологи и руководители процессов развития сетей связи менялись, привнося свои понимания этих принципов, а контроля со стороны регуляторов и нормативной базы, как такового не было. И, конечно же, многие изменения в сетевой архитектуре документированы очень скудно, или не документированы вообще. Учитывая вышесказанное, тщательный аудит часто приводит к неожиданным находкам, вроде незащищенного удаленного доступа к SCADA-серверам из дома ответственных сотрудников, или наличия неконтролируемых каналов связи между сетями среднего уровня АСУ ТП со смежными организациями (например, между двумя высоковольтными подстанциями, принадлежащими разным организациям).

3. Уязвимости процессов аутентификации, авторизации и регистрации событий
Процессы управления и разграничения доступа в технологических сегментах зачастую управляются подразделениями, ответственными за эксплуатацию расположенных в этих сегментах систем. Поэтому привычными для специалистов по ИБ принципами и требованиями (ограничение и разграничений полномочий, процедуры смены паролей, ролевая модель доступа, регистрация и учет действий пользователей и т.п.) зачастую пренебрегают. Причем, это же пренебрежение правилами управления доступом иногда распространяется и на временно предоставляемый подрядчикам из внешних организаций доступ к технологическим системам.

4. Отсутствие средств защиты от вредоносного программного обеспечения
Причин для «нелюбви» эксплуатирующих АСУ ТП подразделений к антивирусному ПО более чем достаточно. Среди них и опасение за возможные программные конфликты и сбои, которые может вызвать несовместимость с программным обеспечением АСУ ТП, и риск ложноположительных срабатываний и опасение за нехватку вычислительных ресурсов аппаратного обеспечения. Действительно, многие системы объектов ТЭК не могут похвастаться мощным и современным аппаратным обеспечением, а большинство антивирусного ПО, разработанного для корпоративных сред, достаточно требовательно к ресурсам. Также действительно существуют риски несовместимости ПО и ошибок первого рода (ложноположительных срабатываний антивирусного ПО на вполне легальные процессы и файлы). Однако следует учитывать, что существует антивирусное программное обеспечение, разработанное специально для применения в технологических средах и протестированное разработчиками систем АСУ ТП, а аккуратное и тщательное конфигурирование квалифицированными экспертами, позволяет свести риски к минимуму. В то же время, распространение по технологической сети «древних» вирусов может привести к куда более неприятным последствиям.

5. Уязвимости или недостаточность контроля и защиты физического и логического периметра
Если говорить об объектах ТЭК и, в частности, электроэнергетике, то «размазанность» логического периметра – часто встречаемое явление. Каналы связи с системным оператором (ОДУ, РДУ), со смежными объектами других организаций, с подрядчиками и другими внешними системами зачастую никак не защищены. Для распределительных сетей характерно расположение объектов в «слабо контролируемой» зоне, например, системы телемеханики в помещениях РТП (распорядительные трансформаторные подстанции) или коммуникационное оборудование, устанавливаемое в жилых домах. Элементы системы управления внешним городским освещением часто располагаются в общедоступных местах в шкафах, которые даже не всегда запираются (см. рис. 2). И хотя в шкафу на приведенной фотографии нет средств автоматизации, короткое замыкание может устроить любой желающий. Практически каждая крупная распределенная технологическая система имеет характерные уязвимости, связанные с недостаточным обеспечением безопасности периметра.

Рисунок 2. Открытый шкаф системы городского освещения
(фото автора)

Разумеется, это далеко не все проблемы и уязвимости. И главную из них я приберег напоследок. Самая основная проблема кибербезопасности – отсутствие ответственных за нее.

Как правило, на объектах встречаются два варианта:

1. Ответственного за ИБ (или кибербезопасность) в технологических сегментах просто нет. «Связисты» отвечают за то, чтобы «связь была», «асутпшники» - за то, чтобы «АСУ ТП работало», а вот кто отвечает за то, чтобы «АСУ ТП не работала на злоумышленника» - из внутренних организационно-распорядительных документов, политик и организационной структуры и действующих де факто процессов, совершенно не ясно.

2. Ответственный за ИБ «как бы» есть. Но не обладает ни необходимыми компетенцией и квалификацией, ни возможностями влияния на архитектуру, конфигурацию или порядок работы систем связи и АСУ ТП. В этом случае, на объекте могут присутствовать организационные меры кибербезопасности, соблюдаемые в технологических сегментах весьма формально. При этом требования ИБ могут не учитываться ни при модернизации или создании новых систем, ни при их эксплуатации.

Оба эти варианта ведут к тому, что на объекте невозможно выстроить процедуры и процессы безопасности, разработать, внедрить и контролировать организационные меры защиты и даже самые совершенные технические средства защиты, внедренные самыми квалифицированными подрядчиками, будут бесполезны – некому будет управлять ими, и некому будет осуществлять расследование и реагирование на инциденты. Пока эта проблема не будет решена, пока не будет создано ответственное за обеспечение кибербезопасности подразделение, обладающее соответствующей компетенцией и правами, эффективность остальных мер защиты всегда будет под большим вопросом.

О том, что, может быть, будет

В октябре 2016, в рамках четвертой международной конференции по защите АСУ ТП «Время действовать вместе», состоялся турнир по «Industrial CTF» - соревнования по кибербезопасности, организованные «Лабораторией Касперского». В прошлом году участникам предстояло попробовать свои силы во взломе цифровой подстанции (которая, кстати, была успешно взломана). В этом году «на растерзание» был представлен «целый город» - были смоделированы и генерация электроэнергии, и распределение, и потребители. Электроснабжение «города» тоже было нарушено, и не раз и разными методами, но речь не об этом.

Средний возраст участников соревнований («хакеров»), навскидку, не больше 25 лет. Опыта работы в электроэнергетики и глубоких познаний в АСУ ТП и РЗА у большинства команд (успешно взломавших стенды) также нет^[7]. Это демонстрирует, что опыта тестирований на проникновения в корпоративных системах, знания «классических» (не промышленных) информационных и сетевых технологий и информации из открытых источников, хватает молодым специалистам для совершения успешных атак на объекты АСУ ТП. Что, в свою очередь, развенчивает древний миф о том, что «для взлома АСУ ТП нужны особые знания, навыки и помощь спецслужб».

Рисунок 3. Фотография с Industrial CTF.
Источник: https://ics.kaspersky.ru/ru/conference-ru/

Популярность тематики кибербезопасности АСУ ТП и атак на промышленные системы растет и будет расти с каждым годом (а на подходе еще Internet of Things и «новая индустриальная революция», которую нам пророчат СМИ и вендоры АСУ ТП). Это означает, что, помимо роста компетенции экспертов, развития систем защиты и усложнения атак, нас ожидает рост числа так называемых "script-kiddies" в сфере атак на АСУ ТП – молодых, не очень умелых, но достаточно активных злоумышленников, пытающихся взламывать «все, что попадется под руку» по готовым алгоритмам и схемам, зачастую просто ради развлечения и не задумываясь о последствиях. Да, в большинстве случаев, они будут использовать хорошо известные уязвимости и детектируемое вредоносное программное обеспечение. Но, если вспомнить инциденты, описанные выше, такие атаки все равно могут стать проблемой для объектов электроэнергетики.

С другой стороны – автоматизация объектов ТЭК и открываемые ей новые горизонты для кибервойны являются чересчур лакомым кусочком для террористических организаций и спецслужб недружественных стран, чтобы их игнорировать. И так как степень автоматизации объектов ТЭК в дальнейшем будет только расти, риски, связанные с кибератаками на эти объекты, также будут расти.

Заключение

За последние несколько лет ситуация в сфере кибербезопасности технологических объектов и объектов ТЭК немного поменялась. Владельцы многих объектов перешли от стадии отрицания («наша АСУ ТП полностью изолированы от внешнего мира», «Для взлома АСУ ТП требуются особые, очень глубокие и специализированные знания и навыки» и даже «Наш объект никому не интересен, нас некому атаковать») к стадии торга. На многих объектах уже проведен аудит безопасности и выявлены проблемы, но владельцы и заинтересованные стороны еще решают, как эти проблемы можно устранить с минимальными потерями для бюджета и рисков прерывания технологических процессов. Сложно оценить некий «общий уровень защищенности объектов ТЭК России» и его изменения за несколько лет, но очевидно, что процессы кибербезопасности запущены, и их не остановить, также, как и не остановить процессы развития угроз.

Источники:
^[1] NCCIC/ICS-CERT Year in Review FY 2015, US Department of Homeland Security. (https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C.pdf)
^[2] SANS-ICS, E-ISAC. TLP: White. Analysis of the Cyber Attack on the Ukrainian Power Grid. Defense Use Case (https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf)
^[3] Last-minute paper: Back in BlackEnergy: 2014 targeted attacks in the Ukraine and Poland (https://www.virusbulletin.com/conference/vb2014/abstracts/back-blackenergy-2014-targeted-attacks-ukraine-and-poland)
^[4] Detektion von Büro-Schadsoftware an mehreren Rechnern 25.04.2016 (http://www.kkw-gundremmingen.de/presse.php?id=571)
^[5] REUTERS: German nuclear plant infected with computer viruses, operator says (http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS)
^[6] Kim Zetter. Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon. Published November 11th 2014 by Crown.
^[7] Команда Хакердом: Мы взломали цифровую подстанцию, ничего не зная об электроэнергетике и оборудовании (http://digitalsubstation.com/blog/2016/01/22/komanda-hakerdom-my-vzlomali-tsifrovuyu-podstantsiyu-nichego-ne-znaya-ob-elektroenergetike-i-oborudovanii/)

PDF-версия статьи "Кибербезопасность объектов электроэнергетики: о том, что было, есть и будет"