Энергосети и АСУ ТП: система управления уже не отделена от киберриска

В декабре 2015 года произошёл первый задокументированный случай успешной кибератаки на энергетическую инфраструктуру, повлёкший реальное отключение электроснабжения. Атака на украинских энергетических операторов оставила без света около 230 000 потребителей на несколько часов. Это был не исследовательский сценарий и не демо на конференции по безопасности. Это произошло в реальной операционной среде.

Для специалистов по промышленной безопасности это не было полной неожиданностью - риски атак на АСУ ТП обсуждаются с момента обнаружения Stuxnet в 2010 году. Но для руководителей энергетических и промышленных компаний это должно быть сигналом пересмотра базовых предположений.

Предположение, которое больше не работает

Долгое время ОТ-инфраструктура (операционные технологии - промышленные системы управления, SCADA, АСУ ТП) считалась изолированной от ИТ-сетей и от интернета по умолчанию. Принцип "воздушного зазора" - физической изоляции - давал ощущение, что внешние угрозы к этим системам неприменимы.

Это предположение устарело. Изоляция разрушалась постепенно, по хорошим практическим причинам: удалённое обслуживание, мониторинг в реальном времени, интеграция с корпоративными системами планирования. Каждое подключение создавалось для операционной необходимости. Суммарно они создали поверхность атаки там, где её предполагалось не быть.

Что делает АСУ ТП уязвимее, чем ИТ-системы

Промышленные системы управления создавались с другими приоритетами. Надёжность и непрерывность работы - главные. Безопасность в киберсмысле исторически не была частью этого уравнения.

Это выражается в конкретных уязвимостях. Протоколы связи между компонентами часто не предусматривают аутентификации - они создавались в эпоху, когда физическая изоляция считалась достаточной защитой. Обновление программного обеспечения сложно и рискованно - простой оборудования при обновлении неприемлем в непрерывных производственных процессах. Жизненный цикл оборудования длинный - системы работают 15-25 лет, и поддержка уязвимостей производителем для старого оборудования часто невозможна.

Добавьте к этому, что специалисты по ОТ и специалисты по ИТ-безопасности исторически работали в разных мирах, говорили на разных языках и решали разные задачи.

Что изменил декабрь 2015 года

Атака на украинскую энергосистему показала несколько вещей, которые теперь нельзя игнорировать.

Во-первых, атакующие изучали инфраструктуру жертвы заранее - доступ к системам был получен за несколько месяцев до атаки через фишинг сотрудников корпоративной сети. Изоляция ОТ не спасла, потому что путь был через ИТ.

Во-вторых, атака была скоординированной и многоуровневой. Одновременно с отключением оборудования был атакован центр технической поддержки - чтобы затруднить восстановление.

В-третьих, атакующие использовали легитимные инструменты управления - те же, которыми пользовались операторы. Это затрудняло обнаружение.

Что это значит для руководителя

Прежде всего - переосмысление предположения об изоляции. Если ваша ОТ-инфраструктура подключена к корпоративной сети хотя бы в одной точке - она не изолирована. Нужна честная инвентаризация всех точек соединения.

Второе - ОТ-безопасность не может оставаться только зоной ответственности главного инженера или начальника АСУ ТП. Атака декабря 2015 года прошла через корпоративную ИТ-сеть. Это пересечение двух зон ответственности, и если между ними нет координации - в этом промежутке живёт риск.

Третье - план реагирования на инцидент для ОТ-среды. Что происходит, если система управления оказалась скомпрометирована? Есть ли ручной режим управления? Как быстро он активируется? Кто принимает решение?

Практические вопросы для ревизии

1. Есть ли полная карта точек соединения ОТ-сетей с корпоративными ИТ-сетями и с интернетом?
2. Применяются ли к этим точкам соединения те же стандарты безопасности, что и к периметру корпоративной сети?
3. Кто в компании отвечает за безопасность на пересечении ОТ и ИТ?
4. Есть ли план ручного управления критическими процессами при недоступности автоматизированных систем?

Кибербезопасность АСУ ТП больше не является темой только для специализированных конференций. Это операционный риск, который должен быть в поле зрения руководства.