Статті‎ > ‎

Міфи про кібербезпеку систем керування.

опубліковано 22 груд. 2019 р., 05:12 Александр Пупена   [ оновлено 22 груд. 2019 р., 05:17 ]
    На сьогоднішній день багато українських промисловців до цих пір вважають, що проблеми  кібербезпеки в АСКТП для їх підприємств не є актуальними. Нижче ми наведемо переклад одного з параграфів книги Jean-Marie Flaus Cybersecurity of Industrial Systems 2019-го року, в якому автор дає спростування на кілька міфів. 

Чи дійсно існує ризик для промислових систем керування?

Кібер-атаки не сильно актуальні для промислових чи кіберфізичних систем.
    Це правда, що більшість атак стосуються традиційних комп'ютерних систем. Ці напади нескінченні, а інструменти для створення атак стають все більш доступними. Функціональність засобів, що використовуються організованою кіберзлочинністю, значно зросла. Що стосується промислових систем, кількість атак значно менша. Але при цьому атака часто показує, що зловмисник має спеціальні знання про цільові системи та здійснив індивідуальну атаку.
    Чи означає це, що ризик, пов'язаний з кібербезпекою промислових систем, низький? Відповідь, звичайно, - ні. Рівень ризику залежить від ступеня тяжкості ушкодження та ймовірності його виникнення. Для промислових установок чи атомних станцій збитки можуть бути катастрофічними та впливати на населення. Можливість заподіяння шкоди  принаймні є на тому ж рівні, що і для систем керування ІТ. Тому рівень ризику дуже високий. Для переконання, достатньо спостерігати за розвитком регуляторних зобов'язань, таких як LPM (Military Programming Act) у Франції, директива NIS (Network and Information Security) в Європі або Закон про захист критичних інфраструктур у США.

Система ізольована від Інтернету, тому вона безпечна.
    Тривалий час вважалося, що відсутність підключення до Інтернету є достатнім обмеженням, щоб уникнути будь-якого ризику комп'ютерного піратства. Ми іноді називаємо це міфом про «повітряний зазор». Насправді ситуація є складнішою:
  • насамперед, навіть якщо система не підключена до Інтернету, вона може стати жертвою технологічних зловмисних дій, Stuxnet - показовий цьому приклад. Вектор нападу був USB-ключ;
  • часто промислова мережа підключається до корпоративної мережі ІТ: ця ІТ-система може стати жертвою атак та розміщувати шкідливі програми, які згодом намагаються пошкодити промислові мережі, або навіть можуть забезпечити проходження атак безпосередньо через них;
  • в промисловій мережі іноді існують прямі підключення до Інтернету, більш-менш офіційні, а іноді і тимчасові, для обслуговування або конфігурації, і вони представляють реальну вразливість.
    Крім того, із зростанням потреби завантажувати дані в інформаційну систему підприємства або в Хмару, із потребою оновлення систем з сайту виробника та потребою віддаленого обслуговування ізоляція промислових систем стає все більш ілюзорною.

Ставки низькі.
    Також поширеною думкою є низькі ризики, якщо виробниче обладнання не використовує небезпечні машини чи процеси.
    Для цього типу установок зрозуміло, що шкода навколишньому середовищу та людям буде обмежена. Однак для компанії вплив може бути величезним, оскільки атака може призвести до відключення виробництва на тривалий період часу, до низької якості виробленої продукції або навіть до знищення виробничого обладнання. Необхідно проаналізувати економічні наслідки та провести аналіз витрат та вигід для визначення рівня заходів з кібербезпеки, які слід вжити.

Робочі станції оснащені антивірусним програмним забезпеченням і брандмауером, тому ми захищені.
    Використання антивірусу є базовим кроком захисту. Це дозволяє захистити робочі станції комп’ютера, що працюють під Windows або macOS. Однак у промисловій системі є багато пристроїв, що працюють на операційній системі реального часу, або вбудованій системі Linux, або навіть пропрієтарній системі. Для цих систем не обов'язково існує антивірус, і вони є вразливими. Додамо також, що однією з проблем антивірусного програмного забезпечення для промислових робочих станцій є те, що воно не завжди оновлюється.
    Межі використання брандмауерів також добре відомі: перша полягає в тому, що правила фільтрації не завжди добре налаштовані; друга - навіть якщо потоки даних добре фільтруються, це не запобігає проходженню всіх атак. Як детально описано у розділі 4, система керування енергетичною станцією, яка була атакована в Україні у 2015 році, включала в себе брандмауери, які не змогли завадити атаці.

Ми використовуємо Віртуальну приватну мережу (VPN), тому у нас немає проблем.
Ще одна поширена ідея полягає в тому, що використання VPN забезпечує ефективний захист. Ця думка також помилкова з двох основних причин:
  • Перша полягає в тому, що значна кількість VPN використовує технології, які вважаються застарілими і тому є вразливими. Дослідження 2016 року (High-Tech Bridge Research Security Security 2016) показало, що 77% тестованих VPN все ще використовують протокол на основі SSLv3, створений в 1996 році, або навіть SSLv2, тоді як більшість стандартів, таких як PCI DSS або NIST SP 800-52 ( див. Розділ 6) заборонили його використання;
  • Друга причина в тому, що навіть при добре налаштованому VPN, якщо одна з робочих станцій, підключених до цих VPN, була скомпроментована (взламана), це може поставити під загрозу решту мережі, тим більше враховуючи що дані які передаються шифруються і тому їх важко фільтрувати .
Система інформаційної безпеки (ISS Information System Security) є дорогою і створює багато обмежень для ефективності функціонування.
    Поширеною є думка, що ISS є дорогими і накладають велику кількість експлуатаційних обмежень, несумісних із системами керування промисловими об’єктами. Ці обмеження виглядають все більш важливими, оскільки в АСТКП використовується дуже неоднорідне обладнання, а його користувачі цінують певну гнучкість в роботі. Наприклад, використання мобільних терміналів стає все більш поширеним, оскільки це дуже корисно для керування системами в близькості до процесу.
    Насправді ISS промислових систем повинні бути адаптовані до викликів, і важливо провести аналіз ризиків та порівняти важливість цих ризиків із вартістю заходів щодо їх зменшення та обмежень, які вони накладають. Однак безпеку часто вважають джерелом витрат, що важко виправдати рентабельністю інвестицій. Більш релевантним є її вимірювання в термінах потенційних втрат, наприклад, щодо кількості виробленої продукції при тимчасової непрацездатності системи, або витрат на реконструкцію, якщо система була пошкоджена.
    Що стосується операційних обмежень, важливо впроваджувати рішення за консультацією з користувачами та з урахуванням реальності на місцях. Ми повинні підтримувати нові режими роботи і не намагатися надмірно обмежувати можливості користувачів.

За матеріалами посбіника Jean-Marie Flaus. Cybersecurity of Industrial Systems. 2019
Переклад Олександра Пупени

Comments