Защита АСУ ТП

В 2010 году состоялась одна из самых интересных и неоднозначных хакерских атак. Она связана с иранской ядерной программой.

Вирус Stuxnet заразил 1368 центрифуг для обогащения урана (из 5000 тысяч), а также помешал запуску АЭС в Бушере. Расследование показало, что вирус попал в систему через флешку одного из сотрудников, поскольку сама рабочая станция была отключена от интернета по соображениям безопасности.

Не будем рассматривать политический аспект этой истории. Важно, что компьютерный вирус смог нанести физический вред. И часть — это атаки стали автоматизированные системы управления технологическим процессом (АСУ ТП).

По данным Kaspersky ICS CERT атакам подвергается около 40% АСУ ТП нефтегазовой отрасли. Основными языками, на которых пишут вирусы стали Python и PowerShell. Positive Tecnologies приводит другие интересные данные: более 60% уязвимостей АСУ ТП можно назвать критически высокими. При этом 82% предприятий не защищены от действий собственных сотрудников.

Под угрозой находится любое производство, в котором задействованы различные датчики, контроллеры и люди.

industry-5588157_1920.jpg

 

Зачем атаковать?

Предприятие выиграло конкурс на поставку 5000 керамических деталей. Каждый процесс контролируется датчиками и технологами, вся информация от оборудования автоматически журналируется.

И вот на финальном этапе, после обработки в печи, выясняется, что партия бракованная. Допустим её передержали в печи или наоборот не догрели. Значит надо заново начинать процесс с подготовки керамического теста до формовки и так далее. Но и новая партия выходит с браком.

Что произошло? Злоумышленники просто подключились к печи и установили неправильную температуру. А на пульт технологам отдавали поддельные, якобы правильные, показания.

Пример с керамикой щадящий. Но если будет нарушен технологический процесс, то остановится не только производство. Огромное количество сырья будет испорчено, а оборудование может быть сломано. Последнее особенно губительно для металлургического производства. Подобный инцидент произошел в Германии, когда остановилась и была уничтожена домна.

Подобные атаки чаще всего диверсии конкурентов. И цель их проста — нанести существенные убытки или сорвать производство. Иногда же это халатность работников.

Атаки на промышленные сети и устройства фиксируют уже много лет и к, счастью, пока они не принесли серьёзных потерь и человеческих жертв.

company-186980_1920.jpg

 

Какие бывают атаки?

Их не так много, но каждый виде губителен.

  • Отправка команд оборудованию. Они могут быть любыми, даже приводящими к разрушению устройства.
  • Подмена данных на экране, вплоть до захвата управления.
  • Порча баз данных, из которых оборудование берет информацию.

Почему АСУ ТП не защищают?

На это есть как минимум три причины.

  1. Основной упор специалисты по ИБ делают на знакомые угрозы: вирусные атаки, фишинговые письма, защита конфиденциальных данных, борьба с утечками. Основной упор делается на защиту офисов.
  2. Заблуждения сотрудников по информационной безопасности. Считается, что раз АСУ ТП не имеют выхода в интернет, то и атаковать их нельзя. Тем более, что АСУ ТП используют свои протоколы. Однако они всё равно работают в сети, но уже внутренней. И к ней тоже можно получить доступ.
  3. АСУ ТП нельзя защищать как простой офисный компьютер, нужны свои подходы, о которых мало кто знает. Главное в защите промышленного оборудования - обеспечить непрерывный обмен данными и антивирус здесь не всегда поможет.

Есть ещё один фактор, который учитывают очень редко — человек. Работник может подключить управляющий компьютер к интернету, вставить флешку с фильмом или сериалом, поставить игры. Сотрудники лаборатории Касперского рассказали, как на одном предприятии сотрудники разных цехов устраивали сетевые кибербаталии.

Разумеется, в этом случае вся сеть предприятия оказывается под угрозой.

electrician-1080554_1920.jpg
Защита — это обязанность

О том, что атаки на АСУ ТП могут иметь серьёзные последствия, говорит хотя бы тот факт, что в России несколько законов и постановлений, посвящённых защите промышленных сетей и датчиков.

Один из главных — Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Согласно этому закону есть три категории значимости объектов критической информационной инфраструктуры (КИИ) - первая, вторая и третья. Все КИИ предприятия должны быть внесены в реестр, обо всех инцидентах необходимо уведомлять органы исполнительно власти.

Таким образом, защита АСУ ТП - обязанность предприятия. А несоблюдение подпадает под статью 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Соблюдение 187-ФЗ обязательно для следующих сфер:

  • Связь и телеком
  • Предприятия оборонной промышленности
  • Здравоохранение
  • Транспорт
  • Энергетика (в том числе атомная)
  • Топливно-энергетический комплекс
  • Банковская и финансовая сфера
  • Предприятия химической отрасли
  • Ракетно-космические предприятия
  • Горнодобывающие и металлургические предприятия
  • Научные учреждения

Все перечисленные компании должны быть подключены к ГосСОПКА - Государственной системе обнаружения, предупреждения и ликвидации компьютерных атак. Это единый центр, который собирает информацию о кибератаках от компаний, имеющих КИИ. ГоССОПКА нужна для полной и превентивной защиты промышленности страны от кибератак.

Прочие государственные акты, которые регулируют защиту информационных систем, в том числе АСУ ТП

  • Федеральный закон от 21.07.11 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»

  • Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

  • Руководящий документ «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)

  • Руководящий документ «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)

  • Руководящий документ «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)

  • Руководящий документ «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007)

  • Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации (утв. ФСТЭК России 18.11.2008 246-дсп)

  • Положение о Реестре ключевых систем информационной инфраструктуры (утв. приказом ФСТЭК России 04.03.2009 года № 74)

Как защитить АСУ ТП?

Практически любая АСУ ТП имеет свою защиту. Однако недостаточно просто включить её. На рынке АСУ ТП не так много устройств и, если в каком-либо контроллере хакеры найдут уязвимость, они смогут использовать её на предприятиях, где установлено такое же оборудование. Так же нужно учитывать, что злоумышленники могут обойти и эту защиту. Именно поэтому нужна дополнительная «броня».

Продукты для защиты АСУ ТП поставляет несколько компаний. Все они имеют сертификацию ФСТЭК и многолетний опыт работы с промышленными предприятиями.

Kaspersky Industrial CyberSecurity

Линейка продуктов довольно большая:

KICS FOR NETWORKS Модуль для контроля промышленной сети. Пассивно подключается к сети АСУ ТП. Возможности:
  • Идентификация и инвентаризация устройств
  • Телеметрический анализ пакетов в сети
  • Обнаружение несанкционированных подключений к сети и команд
  • Обнаружение вторжений
  • Проверка передаваемых команд
  • Выявлений аномалий
KICS FOR NODES Решение для зашиты АРМ (на базе Windows и Linux) в рабочей сети. Преимущества
  • Минимальное влияние на защищаемое устройство и потребление ресурсов
  • Проверка целостностипрограммируемых контроллеров и SCADA
  • Защита от шифрования и эксплойтов, прочего вердоносного ПО
  • Управление и защита сети
  • Контроль устройств и приложений
KASPERSKY SECURITY CENTER ПО для управления безопасностью из одного приложения Преимущества
  • Сбор данных и развертывание программ
  • Мониторинг уязвимостей
  • Управление политиками безопасности и доступа
  • Ведение журнала событий
  • Создание отчетов
  • Уведомления по SMS и электронной почте
  • Работа с SIEM-системами


Линейка оборудования касперского для АСУ ТП.png


Дополнительно можно провести анализ защищённости сетей и провести обучение сотрудников.

Продукты «Лаборатории Касперского» обеспечивают комплексную защиту промышленного оборудования и сетей.

Но прежде, чем воспользоваться их ПО, стоит проверить список совместимого оборудования.

PT Industrial Security Incident Manager

Программно-аппаратный комплекс для анализа технологического трафика. Он не только предотвращает атаки, но и позволяет расследовать инциденты, обнаруживать нетипичные, в том числе опасные действия персонала.

Один из элементов системы — PT ISIM netView Sensor. Это устройство высотой 1 или 2U, которое подключается к промышленной сети и не требует специальных настроек. После подключения она за несколько часов проведет сбор данных о ресурсах сети, построит её карту и выявит недостатки, над которыми надо будет работать в дальнейшем. Система знает более 4000 правил обнаружения угроз и в дальнейшем её можно дополнительно обучить с учетом специфики предприятия.


ISIM_deployment-options_8_00.png


Возможности:

  • Система работает в пассивном режиме и не вторгается в технологические процессы.
  • Постоянный контроль целостности сети.
  • Удобные средства графического отображения топологии сети и процессов
  • Выявление многоэтапных атак
  • Быстрое реагирование на инциденты
  • Учет специфики компании, её технологических процессов
  • Работа устройств в агрессивной промышленной среде
Есть несколько вариантов установки PT ISIM:

Программно-аппаратный комплекс Установка стоечного оборудования PT ISIM на стороне клиента.
Работа через диод данных PT ISIM анализирует копию трафика, который получает от зеркалированного порта сетевого коммутатора или диод данных.
Сценарий с минимальными затратами Решение под будущее масштабрование или небольших предприятий. На каждой площадке специалисты ставят минимальный набор оборудования, а мониторингом занимаются сотрудники заказчика. Не требует глубокого анализа сети.
Максимальная эффективность На первом этапе проводится глубокий анализ сети, затем устройства защиты проходят дополнительную настройку. Затем создается ситуационный центр для обработки инцидентов.
Распределенная инфраструктура со слабнагржуенными сегментами Используется несколько видов устройств. Для слабангруженных или удаленных систем - PT ISIM Sensor. В более сложных инфраструктурах - серверы PT ISIM View Point. Для обработки событий используется SIEM-система.

Как получить защиту для АСУ ТП?

В первую очередь нужно провести инвентаризацию оборудования, сети и решить какой именно продукт или подход больше подойдет вашей компании.

Затем поставка, установка и обучение сотрудников. Параллельно мы проведем тестирование всех систем и при необходимости внесем изменения.

Сроки внедрения зависят от выбранного продукта и размера предприятия.

Напишите одному из наших менеджеров, и мы создадим комплексную систему безопасности для ваших АСУ ТП и другого оборудования.


Ответим на ваши вопросы в течение одного дня!
sales@gst-samara.ru
Время работы: с 9 до 18
С понедельника по пятницу
Оставить заявку
Клиенты