Эксперт: безопасность критических IT-систем в РФ устарела на 10 лет

Эксперт: безопасность критических IT-систем в РФ устарела на 10 лет

— Если давать оценку по десятибалльной шкале, как бы вы оценили безопасность современных промышленных компьютерных систем?

— Уровень защищенности современных АСУ ТП (автоматизированных систем управления технологическими процессами) — это уровень защищенности корпоративных сетей десять лет тому назад. Иными словами, в 2002 году в корпоративных сетях все было так же плохо, как в сфере АСУ ТП сейчас.

Основная причина банальна: топ-менеджеры предприятий, на которых развернуты подобные системы, очень долго жили с успокоительным пониманием того, что их инфраструктура не подключена к интернету, что само по себе снимает вопрос об инфобезопасности. Решение вопроса защиты заключалось в создании "воздушной прослойки" между системой и внешними сетями. Соответственно, вся инфраструктура, которая там развернута — сетевая, прикладная, — все это сделано без учетов вопросов безопасности: межсетевых экранов нет, патчи не ставятся, пароли стандартные, "вшитые" и годами не меняются.

Однако опыт червя Stuxnet, когда в 2010 году хакерам предположительно удалось получить доступ к системе управления ядерным объектом, не подключенной к интернету, доказал, что "воздушной прослойки" недостаточно. Это заставило индустрию серьезно пересмотреть свое отношение к защите промышленных IT-систем.

Кроме того, многие современные АСУ ТП системы интегрированы с корпоративными сетями и бизнес-приложениями. То есть возможность доступа извне в такие системы становится все больше, а адекватного ответа этой тенденции нет.

Мы недавно запустили веб-сервис, который проверяет ваш компьютер и показывает, какие важные обновления не установлены на нем. Кроме распространенных программ, таких как Java, Adobe, Safari, добавили проверку клиентских компонентов некоторых SCADA-систем (подсистема АСУ ТП, отвечающая за управление и сбор информации о функционировании промышленных объектов) — просто чтобы собрать статистику. Всего через неделю после запуска у нас уже появилось понимание, что люди используют один и тот же компьютер как для управления SCADA, так и для походов на "Одноклассники".

— То есть в появлении угроз безопасности промышленных систем виноваты клиенты, которые неправильно их используют?

— Лишь отчасти. По итогам нашего исследования, выяснилось, что большая часть уязвимых систем находится не у промышленников и не у военных, а у разработчиков систем АСУ ТП. То есть у хакеров есть выбор: можно, конечно, ломать завод, а можно вот таким вот ребятам-разработчикам незаметно закладку встроить и потом уже "быть богом" на всех заводах, куда система поставляется. Причем эта тенденция присутствует не только в РФ, но и в других странах.

В целом сами компоненты систем АСУ ТП — от SCADA-систем, собирающих данные о работе промышленных механизмов, до логических контроллеров, которые непосредственно управляют физическими механизмами на производстве — это отдельная проблема. Уровень понимания производителей, что им нужны какие-то средства защиты, встроенные в их продукты, что им надо проводит анализ кода, тесты на проникновение и прочее, очень низок. Пока лишь единицы понимают, что нужно оперативно латать "дыры", а лучше — сразу закладывать требования безопасности при разработке. В большинстве случаев у производителей, в ответ на замечание об уязвимости, возникает примерно следующий ответ: зачем мне устранять уязвимость в моем продукте, если ее никогда никто не будет использовать для атаки, ведь я делаю столь специфическое программное обеспечение. И мы говорим: ребята, вы понимаете, что с этого компьютера люди могут работать с интернетом. Одна вкладка — хожу в "ВКонтакте", другая — управляю ядерным реактором, в третьей iPhone музыку синхронизирует с iTunes… В этом случае злоумышленнику достаточно просто получить контроль над этим компьютером, никакие АСУ ТП взламывать не надо.

Пока опасность такой ситуации понимают далеко не все. Точнее, понимают многие, но немногие хотят признавать связанные риски.

Сейчас ситуация обостряется, специалисты начали активно искать проблемы безопасности SCADA и за неполный 2012 год было обнаружено больше уязвимостей, чем за все предыдущие годы. Думаю, это серьезный стимул для производителей для пересмотра своей политики безопасности.

— Где используются подобные системы?

— Сейчас трудно найти область, в которых не использовалась бы система класса АСУ ТП. Это транспорт: железные дороги, метрополитен и так далее. Естественно, нефтедобыча, нефтепереработка — сейчас эти сферы модернизируются, и новые системы автоматизации внедряются очень широко. Причем в "нефтянке" такие системы интегрированы по всему производственному циклу — от вышек и вплоть до заправок. Сколько наливать, как наливать, скидки, бонусные карты, как это связано с пластиковыми картами — все это система АСУ ТП.

Еще одна сфера, где АСУ ТП плотно задействованы, — энергетика, причем на всех этапах: от генерации до продажи.

Понятно, что есть и слабо автоматизированные сферы, где принцип "воздушного зазора" еще работает. К примеру, металлургические производства, которые строились еще в советские времена. Там до сих пор можно встретить "артефакты" на Windows 95 или MS DOS, которые неизвестно как работают. "Вот оно тут стоит, работает, мы туда не дышим, у нас три таких компьютера одинаковых, японских, мы их не трогаем — и вы не трогайте", — говорят нам IT-специалисты таких предприятий.

— Известно ли вам об атаках на российские системы класса АСУ ТП?

— Общедоступной информации о таких атаках нет, но скажу, что инциденты в последнее время случались во всех отраслях: от тривиального попадания какого-нибудь всем известного вируса в незащищенную систему, который "повалил" всю сеть, просто активно размножаясь, до вылова специально созданных для похищения данных из конкретных сетей АСУ ТП зловредов. В основном это были модификации чего-то давно известного, но было видно, что это целевые атаки. Большинство из этих программ направлено на шпионаж. Прежде всего, от них страдает индустрия энергетики. В "нефтянке" объектами атак чаще становятся ERP-системы (программное обеспечение для управления операционной деятельностью компании). Хакеров интересует информация о результатах геологической разведки, бизнес-планах и прочая важная коммерческая информация.

Основные случаи мошенничества в АСУ ТП связаны с компаниями, осуществляющими транзит или продажу конечным потребителям. Хрестоматийным примером здесь является АЗС.

Конечно, с помощью терминала на АЗС невозможно проникнуть в систему управления нефтеперерабатывающим заводом и, как в голливудском фильме, взорвать его, но для компании безопасность этой АСУ ТП во многом важнее, чем система управления нефтеперерабатывающим заводом. Потому что рисков для НПЗ они еще не осознали, а вот то, что у них на этой конкретной заправке воруют постоянно, — это деньги, которые они теряют каждый день. И этот риск они видят, понимают и хотят снизить. Проблема мошенничества в этой сфере очень остра: на продажах, на транспортировке нефти.

Для владельцев АЗС мошенничество со стороны персонала заправок является серьезной проблемой, расплачиваться за которую приходится, как это ни печально, автомобилистам. Низкая степень безопасности систем автоматизации, рабочих мест кассиров, топливораздаточных колонок, контроллеров сопряжения, платежных терминалов приводит к тому, что мошенники начинают использовать в своих целях не тривиальные трюки с "недоливом", а вполне высокотехнологичные приемы. В ход идут манипуляции с пластиковыми карточками бонусных программ, изменение прошивок контроллеров и изменения данных в таблицах баз данных, хранящих информацию о соответствии между купленным и фактически отпущенным топливом.

— А как можно защитить такие системы?

— АСУ ТП слишком сложны, чтобы просто заставить штатного системного администратора поменять что-то в системе, чтобы устранить угрозу. Неверные действия могут привести к остановке производства, и такую ответственность мало кто хочет на себя брать.

Поэтому инициатива должна во многом исходить от производителя или проектировщика системы. И таким образом мотивировать тех, кто эксплуатирует систему. Закрывать "дыры" никто кроме производителей не сможет. Но и ставить патчи, закрывающие эти дыры в конкретных системах, которые работают на предприятиях, никто кроме самых предприятий не сможет. В этом вся соль, эдакий тяни-толкай. Но чтобы производители занялись безопасностью своих систем, нужен внешний фактор.

— Летом Совбез РФ определил направления государственной политики по безопасности автоматизированных систем управления критически важными объектами инфраструктуры. Как вы считаете, обозначенные в плане задачи соответствуют реальным проблемам в этой области?

— Это достаточно высокоуровневый документ, его даже планами не назовешь, это обозначение направлений развития, но направления правильные. Я думаю, что дальнейшие шаги тоже будут правильными — определение ответственных, разработка подзаконных актов и т.д. Надеюсь, ближе к новому году конкретные шаги в этом направлении будут сделаны.

В целом, задачи по реализации поставленных целей понятны. Если смотреть на смежные отрасли, например, на банковскую индустрию, то Visa, Master Card однажды "сказали": так, у нас слишком большой процент мошенничества по банковским картам. Введем-ка мы стандарт по безопасности пластиковых карт, и если вы, участники рынка, хотите их обслуживать, будьте добры ему соответствовать. Для контроля соответствия появилась инфраструктура в виде PCI Security Standards Council (международная организация-регулятор в сфере платежных систем), в виде стандартов, в виде проверочных процедур, отчетности, и все это заработало.

В целом такая концепция подходит и для критически важных систем, но с ее внедрением в РФ будут проблемы. Во-первых, надо будет серьезно обновлять всю инфраструктуру, связанную с регулированием и контролем исполнения требований по безопасности. То есть сейчас мы в этом плане живем на советском наследии, которое "немного" устарело. Я имею в виду требования по защите, законодательство.

Простейшая вещь: у нас до сих пор нет на уровне законодательства такого понятия, как уязвимость, хотя тысячи уязвимостей обнаруживается каждый год. Кроме того, сейчас вопросы безопасности решаются на основе документов Гостехкомиссии. Самой комиссии нет, но документы остались. Почти смешно. Помимо терминологии и новых стандартов, нужны конкретные требования и рекомендации — как строить безопасную АСУ ТП, какие процедуры должны выполняться, кто контролирует, как часто. Должны появиться специальные люди, которые этот контроль будут осуществлять. Контролировать со всей пролетарской ненавистью.

— Должно ли государство субсидировать безопасность таких систем?

— Это вторая проблема — стимуляция бизнеса на меры по защите АСУ ТП и прочих критических систем. Например, в США для контроля за критически важными инфраструктурами создается отдельное подразделение. Диалог этого подразделения с бизнесом строится следующим образом: вы должны предоставить нам план своих действий по усилению безопасности. Мы его проанализируем и профинансируем тем или иным способом — либо напрямую, либо через налоговые льготы. То есть финансирование со стороны государства предусмотрено.

В Европе — например, в случае со строительством единой системы электроснабжения — вопрос безопасности стоит очень остро и часть процедур по ее обеспечению решается на уровне Еврокомиссии. Финансовое участие государства в сочетании с контролем внедрения мер по безопасности АСУ ТП могло бы стать моделью и для РФ. Но нужно понимать, что если государство на что-то тратит деньги, оно должно получать отдачу. То есть опять возвращаемся к вопросу наличия адекватных норм, наличия ресурсов и наличия контроля. Стандарты и адекватный контроль — вот что должно сделать государство. Результатом деятельности, развернуть которую запланировал СБ РФ, должна стать защищенная, регулярно проверяемая и хотя бы частично финансируемая государством инфраструктура.

На деле это должно выглядеть следующим образом: поднимаешь бизнес, дошел до уровня государственной важности, попадаешь под программу, получаешь финансирование, исполняешь условия — у тебя защищенная инфраструктура в результате. Плюс контролирующая организация раз в год к тебе ходит и проверяет тебя.

В случае инцидента специальная аккредитованная команда реагирования приезжает к тебе и выясняет — насколько и почему ты виноват. Или не виноват. Разбирают, что случилось, и делают выводы. Тут ничего нового, это нормальная практика и неплохо было бы ее довести до того уровня, который соответствует реалиям.

Источник:
РИА Новости