23 декабря 2015 года в Украине произошло погашение 7 подстанций 110 кВ и 23 подстанций 35 кВ, что привело к нарушению электроснабжения более чем 80000 потребителей различной категории надежности электроснабжения. Согласно текущей версии, отключения произошли в результате хакерской атаки.

Чтобы прояснить ситуацию в отечественном энергетическом секторе, мы предложили специалистам ведущих российских компаний ответить на пару вопросов касательно кибербезопасности энергообъектов и вероятности кибератак на них:

1. Cчитаете ли вы достоверной версию о том, что эти отключения произошли в результате воздействия злоумышленников, учитывая то, что по версии ряда компаний, занимающихся информационной безопасностью, отключения производились хакерами в ручном режиме после получения доступа к АРМ диспетчера?
2. Если кибератака на подстанции в Украине состоялась, какой должен был быть уровень подготовленности у злоумышленников и насколько они должны были знать структуру сети и обладать иными прикладными знаниями в электроэнергетике?
3. Учитывая схожую идеологию и оборудование, применяемое для диспетчеризации, считаете ли вы вероятным такие атаки на объекты российской энергетической инфраструктуры?

Максим Никандров

iGRIDS

Вообще к любой информации с Украины сегодня надо относится осторожно, уж слишком велик поток лжи и провокаций. Что касается отключений в Прикарпатьи – то вероятность того, что это результат работы киберзлоумышленников достаточно велика.

У Прикарпатьеоблэнерго на балансе 130 ПС 35-110 кВ – что сопоставимо, например, с нашим ОрелЭнерго (144 шт.). У них внедрены SAPERP, Система управления бизнес процессами ARIS фирмы IDS Scheer, автоматизированный комплекс расчетов с населением M&IEnergySuite, Автоматизированная система техобслуживания и ремонтов (АСТОР) и, что самое главное, развитая система телемеханики с возможностью удаленного управления коммутационными аппаратами. ТМ построенная на широко распространенном решении с хорошей типизацией и унификацией. Технологические, «офисные» и «On-line» системы (которых, как я уже писал выше, много) наверняка имеют множество соединений, так что злоумышленникам было где «порезвится».

Если принять что это все таки была кибератака – то уровень злоумышленника должен быть высоким и он должен был знать систему очень хорошо. Наиболее вероятно что к инциденту причастен бывший (или действующий) работник энергокомпании.

Теоретически такие атаки в РФ возможны и вероятны, основной вопрос – кому это нужно?  Очевидных профитов не видно, остается только хулиганство и терроризм. К сожалению, и того и другого достаточно в наше время.

Алексей Александров

ООО «НПП «Селект»

Я считаю, что к подобным данным следует относиться скептически и правда где-то по середине. Веерные отключения чудесным образом совпали с вводом в Харьковской области графика отключений, в связи с нехваткой топлива на ТЭЦ, а следовательно и дефицитом мощности. Вполне вероятно, что в результате дисбаланса генерации и потребления в ряде районов Украины снизилась частота в сети, что и привело к срабатыванию АЧР, так как указано, что в основном отключились подстанции 110 и 35 кВ, которые, как правило, редко оснащены современными SCADA системами. Если кибератака имела место быть, почему не были отключены подстанции более высокого напряжения, которые обычно более информатизированы и автоматизированы и их отключение повлекло бы более глобальные последствия? То, что расследованием сразу занялись американские компании, явно носит политический характер. Маловероятно, что диспетчеры получая письма без оглядки выполняют действия которые там написаны, с учетом того, что приложения Office по умолчанию отключают макросы и выводят сообщения об их небезопасности. С другой стороны, западные и центральные области Украины имели большой парк современных микропроцессорных устройств и процесс интеграции оборудования в систему АСУ ТП производился более интенсивно, чем в других областях. Более того, управление многими подстанциями можно было осуществлять непосредственно с центрального диспетчерского пункта. Возможно имело место отключение одной узловой подстанции, которое повлекло за собой дальнейшие отключения, как следствие работы аварийной автоматики.

Если атака была реально проведена хакерами, то уровень их подготовки должен быть очень высок, маловероятно, что обошлось без сотрудников этих самых предприятий электроэнергетического комплекса.

Возможность, кибератак в России, конечно, же не исключена, и поэтому эта область должна быть строго регламентирована соответствующими нормативными документами. Внутренние сети управления не должны быть связаны с внешним миром, все передаваемые по сети файлы и письма должны быть просканированы и проанализированы, ну и, конечно, персонал должен быть ознакомлен с азами кибербезопасности.

Андрей Шеметов

ПАО «ФСК ЕЭС»

Однозначно работали злоумышленники – ведь отключили реальных потребителей. Всё остальное это гадание на чём угодно и фантазия журналистов. Пока не будет проведено расследование и выложены достоверные результаты говорить не о чем.

Если это была кибератака, то всего вероятнее, что слив информации был изнутри. Без определённых данных о структуре сети это сделать невозможно. Это лишний раз доказывает необходимость внедрения правила «информационной гигиены».

Кибератаки в России возможны. В том случае, если найдутся предатели или пособники, владеющие необходимой информацией об устройстве локальных сетей и управлении в энергосетях России.

Антон Шипулин

CROC

Я слежу за информацией о данном инциденте с самого начала, и в настоящий момент версию о том, что отключения произошли в результате воздействия злоумышленников, достоверной пока не считаю, ввиду отсутствия непосредственных публичных доказательств. Да, на объектах было найдено вредоносное ПО BlackEnergy, способное предоставить удаленный доступ злоумышленнику в промышленную сеть. Но связи между BlackEnergy и непосредственно отказами пока доказано не было. Как неоднократно демонстрировали исследователи, получение удаленного доступа к промышленным системам еще не гарантия того, что удастся получить желаемый физический результат. Другое дело, что как отмечают многие, если бы на объектах использовались базовые меры информационной безопасности, заражение BlackEnergy можно было бы предотвратить. Как мне известно правительственная комиссия планирует опубликовать результаты расследования после 18 января. Поэтому пока следим за процессом расследования и не делаем поспешных выводов, как бы многим не хотелось использовать их в различных своих целях.

Если атака все-таки состоялась, то злоумышленник кроме навыков хакера, безусловно, должен был знать те технологии, которые использовались для управления объектами электроэнергетики. Как, например, показал конкурс Digital Substation Takeover на конференции Positive Hack Days V в 2015 году, на котором атакующим нужно было вывести энергообъект из строя, навыков хакера было недостаточно чтобы за отведённое время создать аварийную ситуацию на объекте. А вот уже на соревновании Kaspersky Industrial CTF, добиться аварийного результата на аналогичном стенде удалось, так как атакующие обладали компетенциями в электроэнергетике.

Атаки на объекты российской энергетической инфраструктуры могут быть вне зависимости от того, была ли в данном случае атака причиной отказа или нет. В обновленной Доктрине информационной безопасности РФ обращается внимание к таким угрозам: «наращивание зарубежными странами возможностей по использованию информационно-технических воздействий, в том числе путем воздействия на критическую информационную инфраструктуру России для достижения своих военных и политических целей». Известно, что российские энергетические компании это хорошо понимают и уже планируют и выполняют мероприятия для борьбы с подобными угрозами. Кроме того, как известно по опыту в США, много информации об атаках остается не опубликованной по соображениям безопасности, хотя заявляется о продолжающемся росте их общего количества. Поэтому какой бы результат не показало расследование, оно не должно изменить вывода, что заниматься безопасностью автоматизированных систем промышленного технологического управления нужно без истерии, последовательно и комплексно.

Алексей Лукацкий

CISCO

К сожалению, как это часто бывает такого рода инциденты очень редко сопровождаются детальным описанием происходящего с публичным выкладыванием всех доказательств; особенно позволяющих провести атрибуцию нападающих. Поэтому уверенно утверждать, что за отключением электричества стоит именно кибер-преступники (или даже кибер-террористы) я не могу. А учитывая текущую геополитическую ситуацию и конфликт между Украиной и Россией, включая и энергетическую сферу, я вполне допускаю, что это могла быть и спланированной акцией, призванной продемонстрировать «оскал» российских спецслужб. С другой стороны, команда американского института SANS, известного в области кибербезопасности, считает, что речь идет именно о спланированной и многоходовой кибератаке. Но я проходил обучение в SANS (как раз по теме безопасности промышленных систем) и помню, как инструктор постоянно ссылался на Россию, как на «ось зла» и источник всех крупных кибератак (правда, бездоказательно).

Если предположить, что кибератака имела место и за ней стояли именно российские злоумышленники (а это не было спланированной акцией украинских и американских спецслужб), то учитывая историческую связь и единение российской и украинской энергосистем, особых познаний для реализации нападения не требовалось. Тут даже не нужно было строить каких-то особых полигонов – цепочку атаки можно было смоделировать на многих российских электростанциях, схожих с украинскими. Однако по имеющимся доказательствам пока сложно судить о сложности используемого вредоносного программного обеспечения. Это явно не уровень Stuxnet, атаковавшего иранские ядерные объекты в 2009-2010-м годах. И это даже не HAVEX, который только производил разведку на промышленных сетях. Публично доступен для анализа только один фрагмент вредоносной программы и не самый сложный. И еще предстоит провести более глубокий анализ всей цепочки совершения несанкционированных действий (если, конечно, он будет предан гласности).

И вновь мы ступаем на зыбкую почву догадок и предположений. Если брать за основу версию, которая звучит в иностранных СМИ, что за атакой стоят российские спецслужбы, то зачем им атаковывать отечественные электростанции? Украинским спецслужбам, как мне кажется, сейчас явно не до этого. Американцы?.. Вполне возможно, но не думаю, что они будут проводить такое воздействие. Все-таки пока ведение спецопераций в киберпространстве – это из области фантастики. Мало кто из государств всерьез ведет такую деятельность (я не беру в расчет эпизодические случаи или изучение таких возможностей, которое происходит во многих странах). Как правило, все ограничивается либо взломом сайтов и публикацией каких-либо политических лозунгов, либо организацией DDoS-атак. Целенаправленное нападение на другое государство, пусть и в киберпространстве, достаточно серьезная вещь, чтобы его затевать при текущем уровне напряженности в мире. Особенно против государства, обладающего ядерным потенциалом и «бряцающего» оружием с вполне очевидными намерениями.

Алексей Зайцев

ПАО «Россети»

Для того, чтобы сделать выводы о достоверности предоставленной информации, необходимо больше данных для анализа. Возможна как обычная фальсификация, так и сокрытие обычных технологических аварий.

Думаю, что о квалификации специалистов, способных получить доступ к автоматизированным системам, обеспечивающим управление технологическими объектами, неоднократно говорили в 2015 году на форумах и конференциях (PHD, конференция «Лаборатории Касперского» («Кибербезопасность АСУ ТП: Время действовать»)).

Вероятность проведения атак на российскую энергетическую инфраструктуру исключать никогда нельзя. Если принять, что их не будет, то тогда о каких вопросах обеспечения безопасности мы должны говорить?!