Рубрикатор |
Статьи |
Николай НОСОВ  | 02 мая 2024 |
Не по правилам
Нормы «этичного хакинга» зарубежных борцов за кибербезопасность АСУ ТП перестают распространяться на российские компании.
Еще недавно в мире играли по простым правилам: есть легальный бизнес, стремящийся получить прибыль и минимизировать потери, и есть криминал, атакующий бизнес с целью получения денег. Конечно, бизнес нередко был «серым» и смешивался с криминалом, но во всем мире, по крайней мере на публичном уровне, такое смешение осуждали как нарушение правил, а страны сотрудничали в поимке преступников.
Правила распространялись и на компьютерные преступления, особенно такие, когда воздействие на компьютерную систему в виртуальном мире приводит к техническому инциденту в реальном. Когда воруют конфиденциальную информацию, это неприятно. Когда хакер через интернет переводит стрелки и пускает поезд под откос – смертельно.
Выявляли уязвимости компании по обеспечению информационной безопасности, искали удачу «белые хакеры», но железным правилом оставалось сначала оповестить вендора о найденной у него проблеме, дать время на латание дыр и лишь потом публично сообщать о находке. На это правило не влияли политические конфликты и войны. Атака на физическую инфраструктуру – вещь обоюдоострая. В киберпространстве нет границ: вынесенной в публичное поле уязвимостью может воспользоваться каждый, и неизвестно, по кому будет нанесен удар.
Не корысти ради
События 2022 г. перевернули картину. В соседней, некогда дружественной стране практически легализовали компьютерный криминал – не скрываясь, работают колл-центры, обманом крадущие деньги у российских пенсионеров, публикуются инструкции по проведению кибератак, поощряется создание армии преступников-любителей – хактивистов, нагружающих защитные системы российских предприятий.
Пошатнулось и правило не сообщать публично об уязвимости до информирования о ней вендора. Во всяком случае российского вендора. Старший исследователь угроз информационной безопасности «Лаборатории Касперского» Вячеслав Копейцев на прошедшей в Губкинском университете конференции RUSCADASEC CONF 2024 рассказал об опубликованной в марте 2023 г. статье Хосе Бертина, в которой автор без предупреждения описал эксплуатацию уязвимостей в решениях одного из российских производителей средств диспетчеризации инженерного оборудования. Хорошо, что статью заметили в «Лаборатории Касперского», незамедлительно связались с Национальным координационным центром по компьютерным инцидентам и компанией. В ходе расследования подразделение Kaspersky ICS CERT выявило 141 устройство российского вендора, доступное для атак через интернет. К счастью, до ликвидации уязвимостей никто ими воспользоваться не успел.
Атаки на цепочку поставок, т.е. на зачастую имеющих более слабые системы защиты подрядчиков уже стали обыденными. Новое – на сторону криминала переходят сами подрядчики. Например, NGFW, установленный на сети одной газопоршневой станции, зафиксировал значительные объемы трафика, исходящего из АСУ ТП предприятия. Расследование выявило вредоносную программу для проведения DDoS-атак на сервере SCADA. Затем был обнаружен канал удаленного доступа в технологическую сеть, который, как оказалось, остался у украинского подрядчика с 2019 г., когда велись пусконаладочные работы. Через канал подрядчик загрузил вредоносное ПО, используемое для проведения DDoS-атак на российские сайты.
Для лечения сервера требовалась перезагрузка, но этому воспротивились технологи, не желавшие допустить простоя сервиса. Тогда компания не нашла ничего лучшего, чем обратиться к украинскому подрядчику с просьбой сообщить пароль привилегированного доступа к системе (root). Реакция последовала уже через пять минут: подрядчик, вместо того чтобы сообщить пароль, удаленно подключился и начал менять уставки с целью вывести оборудование из строя. Спасло только экстренное отключение питания сервера.
Изменились и цели атак. Раньше целью были деньги, и если затраты на атаку не окупались, ее не проводили. Теперь цель – причинить максимальный ущерб и произвести пропагандистский эффект. Во многом поэтому так выросло число атак на АСУ ТП, которые в мирных условиях редко интересовали преступников из-за сложностей проникновения и дальнейшей монетизации.
Например, проукраинская хакерская группировка в пропагандистских целях разместила в Telegram-канале скриншоты, подтверждающие взлом системы управления нефтяными скважинами одной российской компании. Расследование показало, что система, управляющая скважинами через VPN-каналы, находилась на виртуальной машине в публичном облаке. Через интернет злоумышленникам удалось сделать SQL-инъекцию, т.е. внедрить вредоносный SQL-код в запрос к базе данных. Быстрое расследование и многоуровневая защита смогли предотвратить выход из строя оборудования, чего пытались добиться хакеры путем изменения уставок и перевода устройств в аварийный режим. Понятно, что никакой финансовой выгоды от этого они бы не получили.
Дать нельзя запретить
Цифровизация повышает эффективность бизнеса, но упрощает работу преступникам. По данным отчета «Тенденции развития киберинцидентов АСУ ТП», представленного экспертно-аналитическим центром InfoWatch, основной канал (37%) атак на АСУ ТП – это устройства, подключенные к интернету (рис. 1).
Источник: InfoWatch
Рис. 1. Источники атак на АСУ ТП в 2023 г.
В итоге бизнес задумался о целесообразности внешних подключений. Если в 2021 г. к интернету были подключены более 70% устройств АСУ ТП, то в 2023 г. – меньше половины.
Ограниченность мониторинга и преодоление, как правило, лишь одного уровня защиты при взломе модема и подключенного к нему устройства делают привлекательными атаки на предприятия с распределенной инфраструктурой АСУ ТП: нефтегазового сектора, угольной и лесной промышленности, сельского хозяйства, коммунальных служб и транспорта. На средства удаленного доступа приходится 20% атак на АСУ ТП, и это необходимо учитывать при проектировании средств защиты.
Атака украинского подрядчика на газопоршневую станцию – наглядный пример необходимости контролировать внешние подключения и текущее состояние инфраструктуры. Своевременная актуализация данных и мониторинг систем АСУ ТП – отправная точка обеспечения безопасности. Это, по мнению 62% опрошенных InfoWatch специалистов по безопасности АСУ ТП, приоритетное направление защиты (рис. 2). Второе по важности направление (48%) – адекватная оценка рисков тех или иных решений.
Источник: InfoWatch
Рис. 2. Приоритеты в кибербезопасности АСУ ТП у конечных пользователей в 2023 г.
Но очевидно, что правильнее озаботиться безопасностью АСУ ТП еще при проектировании. Ведь затраты на то, чтобы не допустить появления уязвимости на порядки меньше, чем на то, чтобы ее устранить при обнаружении на этапе эксплуатации.
… Когда в начале десятых годов стали проводиться конференции по кибербезопасности АСУ ТП, многие специалисты относились к ним скептически. Зачем заниматься несуществующей проблемой? Ведь технологический контур не имеет доступа в интернет, устройства и используемые протоколы специфичны, да и единственная на то время атака на иранские центрифуги с помощью вируса Stuxnet вызывала сомнения.
Жизнь показала, что скепсис был напрасным. Проблема стала актуальной, а кибербезопасность автоматизированных систем управления технологическими процессами – одним из важнейших направлений обеспечения безопасности страны.
Бизнесу стоит тщательно изучить свою инфраструктуру, провести учет доступных через интернет устройств, ограничить удаленный доступ и, принимая во внимание текущие геополитические риски, посмотреть на решения зарубежных поставщиков. Фарш невозможно провернуть назад, оценивший преимущества цифровизации бизнес не заставишь отказаться от интернета и цифровых технологий. Но минимизировать угрозы со стороны киберпространства необходимо.