Защита от кибер-неприятностей для подстанций от Лаборатории Касперского

Как пишет Евгений Касперский в своём официальном блоге: «Мы выпустили KICS (Kaspersky Industrial CyberSecurity) – специальную «таблетку» от кибер-неприятностей для заводов, электростанций, больниц, аэропортов, отелей, вашей любимой пекарни и тысяч других видов предприятий, использующих компьютерные системы управления. А поскольку редкое современное предприятие обходится без таких систем, то, да, мы выпустили решение для миллионов больших, средних и малых производственных и сервисных бизнесов по всему миру!»

С чего всё началось?

До начала 2000-х возможность кибератак на промышленные объекты была источником вдохновения для научных фантастов. А 14 августа 2003 г. на востоке США и Канады неожиданно произошло отключение электричества у 50 миллионов человек от нескольких часов до нескольких дней. Обсуждалось много причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и версия побочного эффекта от атаки компьютерного червя Slammer (Blaster).

Сообщается, что там случилось совмещение всех этих факторов. Произошла нештатная ситуация (ёлки-белки) и одновременно червяк порушил систему оповещения. ЧП местного масштаба, которое не смогло быть отработано на центральном уровне, из-за чего ситуация веерно накрыла весь регион.

Наверняка подобные инциденты случались и до этого, ведь компьютеры вошли в практику управления производствами уже давно, да и компьютерные сети родились не вчера. Но инциденты эти либо умалчивались, либо навешивались на некие другие причины. Впрочем, важно другое – с тех пор новости про кибер-атаки на промышленные объекты посыпались одна за другой и чем дальше, тем больше. А атака Stuxnet против иранской ядерной программы в 2010 г. показала, что у проблемы есть ещё и военный аспект.

kics-launch-2
Рис. 1. Основные причины неполадок в промышленных сетях

Вывод напрашивается сам за себя: промышленные объекты также уязвимы перед кибератаками, причём последствия игнорирования этого факта могут быть какими неприятными, иногда даже катастрофическими.

Как нужно защищать?

Обычные endpoint-решения могут прикрыть только часть инфраструктуры предприятия – то, что принято называть корпоративной сетью. Защита производственных процессов (индустриальная сеть) требует совершенно другого подхода. Здесь вообще всё другое – объекты защиты (PLC, SCADA, HMI…), окружение, а главное – задачи и их реализация.

В отличие от обычной офисной IT-инфраструктуры здесь важно обеспечить непрерывность производственного процесса. То есть классический принцип «доступность, целостность, конфиденциальность». Поэтому был сделалан KICS.

kics-launch-3
Рис. 2. Структура уровней безопасности Лаборатории Касперского

Автор особенно отмечает, что это не продукт, а проектное решение.

Простой установкой софта не защитить индустриальную сеть – нужно проанализировать внутренние процессы, технологии и оборудование, разработать модель угроз и стратегию защиты, адаптировать софт под специфические требования сети, обучить специалистов и много всего другого, чтобы обеспечить ту самую непрерывность. Все эти требования были внимательно изучены, проводилось множество консультаций с заказчиками, был просмотрен мировой опыт, и у Лаборатории Касперского уже есть два успешных внедрения в нефтяной и логистической компаниях.

Результаты внедрений

Самыми любопытными оказались первые результаты внедрений. К сожалению, по понятным причинам обо всех находках Лаборатория Касперского не расскажет, а только так, в общих чертах, чтобы представить масштабы и градус открытий. В течение нескольких дней после начала работы KICS один заказчик выявил сразу несколько серьёзных нарушений, в том числе несанкционированное подключение ноутбука одним из сотрудников. Можно себе представить сколько «открытий чудных» приносит KICS каждую неделю и какие неприятности он помогает предотвратить.

В некоторой степени индустриальные сети даже менее защищены, чем обычные корпоративные IT-инфраструктуры.

Бытует мнение, что на промышленных объектах главное правило — «работает – не трогай». Конечно, не повсеместно, но такое правило действительно есть и оно, увы, превалирует. Т.е. если есть налаженный производственный цикл, то пусть он крутится хоть на ни разу не обновлённом софте 20-летней давности. Пусть объект «торчит» в Интернет. Пусть всё что угодно, главное не трогать. Потому что слишком радивый сотрудник, решивший озаботиться безопасностью будет немедленно уволен с волчьим билетом, если установленный патч хоть на минуту остановит процесс. И это вполне логично!

Касперский рассказывает: «В конце прошлого года мы провели открытое кибер-соревнование для изучения векторов атак против критической инфраструктуры на примере стенда реальной электрической подстанции, построенной по современным технологиям и в соответствии со стандартом IEC61850.»

касперский
Рис. 3. Стенд электрической подстанции

На подстанции устроили короткое замыкание взломом уже через 3 часа, причём сразу двумя способами! Всего за 2 дня стенд «ломанули» 26 раз (несколько раз был даже остановлен технологический процесс), «ломанули» абсолютно все устройства и даже нашли зеродей уязвимость. Но самое важное в этом испытании, что все атаки были отловлены KICS – т.е. в реальной сети наше решение сможет предотвратить нападение, причём сделать это без остановки производства! [Nota Bene: Заметки, комментарии и размышления Евгения Касперского – официальный блог]

Цифровая подстанция

(close)

 

Цифровая подстанция

(close)

Имя пользователя должно состоять по меньшей мере из 4 символов

Внимательно проверьте адрес электронной почты

Пароль должен состоять по меньшей мере из 6 символов

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: