Ключевые угрозы безопасности промышленных систем

Информационной безопасности систем, установленным на промышленных предприятиях, угрожают 4 группы «агентов». Вредоносное ПО, инсайдеры, аутсайдеры и кибертеррористы могут нарушить процессы функционирования и управления ИТ-инфраструктурой, нанеся ей значительный ущерб.

Автоматизированные системы управления (АСУ и АСУТП) используются в большинстве отраслей промышленности, в нефте- и газодобыче, на электростанциях и железных дорогах, на пивоварнях и пр. В отличие от других видов автоматизированных информационных систем, промышленные системы (особенно те, которые используются для управления критической инфраструктурой), имеют ряд особенностей, обусловленных их назначением, условиями эксплуатации, спецификой обрабатываемой информации и требованиями, предъявляемыми к функциональности. Главной же характеристикой этих систем является то, что с их помощью в автоматическом, либо полуавтоматическом режиме в реальном времени осуществляется управление физическими процессами и системами, от которых непосредственным образом зависит безопасность и жизнедеятельность общества (электричество, связь, транспорт, системы жизнеобеспечения, атомное и химическое производство и т.п.)

В этом контексте обеспечение информационной безопасности промышленных систем требует особого подхода. Прежде всего, необходимо оценить серьезность проблемы в целом. Затем, опираясь на накопленную статистику инцидентов, подвергнуть тщательному анализу специфические для промышленных систем угрозы и уязвимости. На основании этого анализа можно определить особые требования к режиму обеспечения информационной безопасности критических инфраструктур.

4 группы угроз

Промышленные системы эволюционировали от экзотических программно-аппаратных средств в 70-х до современных систем, в которых используются стандартные IBM-совместимые ПК, ОС семейства Microsoft Windows, сетевые протоколы TCP/IP, Web-браузеры и пр. Однако благодаря стандартизации расширилось и количество угроз в отношении этих систем. Еще большему их увеличению способствовало распространение практики подключения промышленных систем к ЛВС и использования технологий беспроводного доступа.

Умышленные угрозы в отношении промышленных систем, в зависимости от того, кто выступает в качестве «агента угрозы», можно разделить на несколько основных групп.

Первую группу составляет вредоносное программное обеспечение. Промышленные системы так же, как и любые другие ИТ-системы, потенциально подвержены угрозам со стороны компьютерных вирусов, сетевых червей, троянских программ и программ шпионов.

Ко второй группе относятся инсайдеры или недовольные пользователи, хорошо знающие систему изнутри. Как показывает практика, они представляют собой одну из основных угроз. Инсайдер может умышленно повредить оборудование или программное обеспечение. Правда, администраторы и инженеры, обслуживающие систему, могут и неумышленно нанести вред ее функционированию, допустив ошибку в настройках системы или нарушение определенных правил безопасности.

Так называемые аутсайдеры — третья группа — тоже могут быть заинтересованы в получении доступа и контроля над системой, мониторинге трафика и реализации атак на отказ в обслуживании.

Четвертую группу — и наиболее серьезную угрозу — представляют террористы. Именно они заинтересованы в том, чтобы вывести систему из строя, нарушить процессы мониторинга и управления, либо получить контроль над системой и нанести как можно больший вред критической инфраструктуре.

Сегодня проблема террористической угрозы отнюдь не является надуманной. Так, по сообщению газеты «Вашингтон Пост» в Афганистане был найден ноутбук, принадлежащий террористам из группировки «Аль Кайда». Было установлено, что с этого ноутбука многократно посещался французский сайт, принадлежащий некому анонимному обществу (Societe Anonyme). На этом сайте размещено «руководство по саботажу», содержащее такие разделы, как «планирование нападения», «методы ухода от наблюдения» и т.п. Имеются также свидетельства подтверждающие, что с компьютеров, принадлежащих террористам, осуществлялся поиск в интернете программных средств для взлома сетей. Следователи из США зафиксировали посещения людьми из «Аль Кайды» сайтов, предоставляющих ПО и инструкции по программированию цифровых переключателей, используемых в энергетических, водных, транспортных и коммуникационных сетях. Наличие грамотных специалистов у террористов также не вызывает сомнения. Например, арестованный Халид Шейх Мухамед обучался на инженера в Северной Каролине, а позже работал на одном промышленном предприятии на Среднем Востоке.

В связи с указанными фактами разведслужбы США изменили свое мнение относительно возможности использования киберпространства террористами. Еще совсем недавно в качестве основных источников угроз для информационной безопасности Америки рассматривались Китай и Россия. Считалось, что люди Аль Кайды «менее квалифицированы в области использования сетевых технологий», чем многие рядовые хакеры, и поэтому не представляют здесь серьезной угрозы.

К счастью, в критичных отраслях, преимущественно использующих промышленные системы, отсутствуют два основных мотивирующих фактора для киберпреступности. Экономические — к которым относятся кредитные карты и электронные счета, и коммерческие тайны, являющиеся основной целью промышленного шпионажа.

«Громкие» кибератаки

Существует большое количество зарегистрированных инцидентов безопасности, затрагивающих системы управления критической инфраструктурой. В ряде научно-исследовательских институтов, ФБР и в других организациях ведется соответствующая статистика. Согласно этой статистике в США на промышленные системы осуществляется не менее 100 кибератак в год, и существует тенденция к непрерывному увеличению их числа. Зафиксированы все категории кибератак за исключением кибертерроризма.

Анализ текущей ситуации показывает, что хотя теоретически и существует возможность электронных вторжений в критичные системы управления, создающих серьезные угрозы безопасности, получение контроля над такими системами извне является крайне маловероятным событием. Реальность сейчас такова, что, считается, было бы проще разбомбить цель, чем поразить ее путем взлома компьютерной системы.

Кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей, массовыми разрушениями и другими катастрофами. При наихудшем сценарии хорошо спланированная массированная кибератака может временно вывести из строя системы телекоммуникаций в густо населенных районах.

Можно привести несколько известных примеров подобных атак. Ядерный завод в штате Огайо функционировал в автономном режиме в течение года после того, как сетевой червь SQL Slammer привел к отключению системы отображения периметра безопасности на пять часов и заводского компьютера, используемого для мониторинга производственного процесса, на шесть часов. Для обеих систем были предусмотрены дублирующие аналоговые системы, которые не пострадали. Заводская производственная сеть была непосредственно подключена к корпоративной сети, в которую «червь» проник по удаленному каналу из партнерской сети.

Показательным примером кибератаки со стороны инсайдера может послужить дело Вайтека Бодена, приговоренного к двум годам лишения свободы за умышленный ущерб канализационной системе в австралийском графстве Маручи. Боден работал контролером в компании, которая устанавливала данную систему, включавшую 150 насосных станций. Станции обменивались данными между собой и с центральным компьютером при помощи локальных процессоров. Когда проект был завершен, Боден уволился из компании и попытался устроиться на работу к заказчику системы, но получил отказ. После этого начались проблемы на насосных станциях. Постепенно выяснилось, что причина заключалась не в системных сбоях. Система сигнализации отключалась, связь неожиданно обрывалась, насосы не включались в нужное время, — в результате происходил выброс нечистот. Боден проделывал все манипуляции из собственного автомобиля при помощи ноутбука, радиопередатчика и локального процессора, позаимствованного у бывшего работодателя.

Примером хакерской атаки на критическую инфраструктуру США может служить удаленный взлом в 2001 году компьютерной сети независимого системного оператора Калифорнии, управляющего электросетью штата. Хотя тогда хакерам не удалось получить доступа к действующей системе управления электросетью, они имели доступ к корпоративной сети в течении 17 дней. Намерения хакеров и их происхождение так и остались невыясненными.

Александр Астахов, CISA / для CNews Analytics


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS