В конце августа компания IBM сообщила об увеличении числа кибератак на промышленные предприятия в два раза. А в начале лета издание New York Times проинформировало о попытках внедрения вредоносного ПО в энергосистемы России. Подобные сообщения – повод поговорить о безопасности производственных и энергетических объектов. О некоторых заблуждениях по поводу защищенности современных российских предприятий рассказал Роман Краснов, эксперт в области ИБ производственных и энергетических объектов компании Positive Technologies.

Преступников интересует не только кража денег. Даже промышленный шпионаж отошел на второй план. В ходу вымогательство. В этом году правительство города Ривьера Бич во Флориде приняло решение заплатить выкуп в 65 биткойнов (свыше $ 600 000). Городские власти остались без электронной почты, трудности испытывала также служба 911. У IT-специалистов не оказалось резервных копий, необходимых для восстановления пораженных систем. Аналогичные случаи произошли в Берлингтоне, Лейк Сити, в больнице Hancock Regional.

Весной неизвестные хакеры спровоцировали веерные отключения электричества в Венесуэле. Как минимум 15 штатов из 23 остались без света. Были сообщения о жертвах: в частности, по некоторым данным пятнадцать венесуэльцев с тяжелыми болезнями почек умерли из-за невозможности проведения им процедуры гемодиализа.

Инцидент на производстве — это еще и очень дорого. Так, ущерб от атаки на Norsk Hydro с использованием вымогательского ПО LockerGoga оценивается более чем в $ 50 млн. Наибольшие потери связывают с подразделением Hydro Extruded Solutions, поставщиком алюминия для SpaceX. На восстановление операционной деятельности потребовался квартал. Интересно, что киберриски Hydro были застрахованы, что позволит снизить фактический ущерб. В России пока не сформировалась практика страхования своих киберрисков, зачастую из-за полного игнорирования возможных угроз. Но подобные страховые продукты на нашем рынке уже есть.

За последние два года от вирусов шифровальщиков страдали заводы компаний Honda, Renault, Nissan, американские химические компании Hexion и Momentive, тайское предприятие японского производителя оптики HOYA. В этих случаях была заблокирована только оперативная деятельность производств. Очевидно, что подготовленная группа киберпреступников может воплотить и более аварийные сценарии, например, для манипуляцией акциями компании-жертвы, при «заказе» со стороны конкурента или в кибервоенных целях.

Разрушительных сценариев много — выход из строя газовых турбин в результате умышленного нарушения нормального режима работы или застывание алюминия в ваннах для электролиза после блэкаута на алюминиевом заводе.

На практике, для проникновения в технологический сегмент не требуется глубоких познаний ни в ИТ, ни в АСУ ТП. Устоявшийся шаблон о чрезвычайной сложности технологической сети каждый год рвется и на форуме Positive Hack Days, где в ходе конкурсных исследований участники добиваются провоцирования разлива нефти, взламывают элементы электрической подстанции (включая РЗА) или получают неавторизованный доступ к управлению элементами ж/д инфраструктуры, автоматизированной с помощью серийных SCADA-систем.

Нашим специалистам в ходе тестирования на проникновение удается попасть извне во внутреннюю сеть 73 % предприятий. Это означает, например, привилегированный доступ к компьютеру одного из офисных сотрудников. Дальнейшее развитие атаки, как правило, еще легче. Примерно 4 из 5 промышленных организаций не готовы остановить внутреннего нарушителя, который стремится проникнуть в технологическую сеть из корпоративной.

Обычные средства мониторинга киберугроз не позволяют получить полную картину происходящего в сетях АСУ ТП, так как в них используются специфические протоколы и процессы. Они их «не понимают». В то же время, внедрению эффективных средств мешает стереотип «защита техпроцесса от кибератак — это сложно».

В ходе работ по аудиту технологической сети специалисты Positive Technologies нередко в течение нескольких часов выявляют целый набор проблем на любом обследуемом заводе. Это и скрытый майнинг криптовалюты, и вредоносное ПО, ожидающее боевую нагрузку от командного центра из другой страны и т.д. Все это результат того, что происходящее внутри промышленной сети остается невидимым для инженерного, оперативного состава.

В этом году мы решили провести эксперимент, выпустив в дополнение к коммерческой версии нашего продукта PT ISIM netView Sensor первую в мире бесплатную систему мониторинга безопасности АСУ ТП — PT ISIM freeView. Она позволяет решать базовые задачи по мониторингу атак и подозрительных событий. За несколько месяцев систему скачали более тысячи компаний — на предприятиях заждались простых и эффективных решений для обнаружения киберугроз и мошенничества.

Необходимо понимать, что киберинцидент на производстве может привести к аварии и человеческим жертвам. Поэтому столь важно повышать осведомленность сотрудников в вопросах ИБ, находить и устранять уязвимости в оборудовании, а также использовать современные инструменты выявления компьютерных атак.