Владимир Карантаев, «Ростелеком-Солар»:
О проблемах безопасности промышленных предприятий и возможностях их защиты

Владимир Карантаев: Да, пресса любит обсуждать громкие истории кибератак. Наверное, впервые о целевых кибератаках, направленных на объекты промышленности, заговорили в связи с вирусом Stuxnet. Его до сих пор часто приводят в пример, хотя с момента инцидента прошло уже больше 10 лет, и о нем написано несколько книг. Из более недавних кейсов – червь Industroyer, который привел к массовым отключениям электроэнергии на Украине в конце 2015 года, и Triton, обнаруженный на нефтехимическом производстве в Саудовской Аравии летом 2017 года.

Я вижу за этими событиями определенный тренд. По разным оценкам, специально для атак на АСУ ТП было разработано не более 5 видов специализированного вредоносного ПО, из них только три были направлены непосредственно на нарушение технологического процесса. И вот появился Triton – атака, конечной целью которой является наступление физических последствий для функционирования опасных производственных объектов (ОПО), т.е. срабатывания, так называемых HSE-рисков (Health, Safety, Environment, то есть промышленная безопасность, охрана труда и окружающей среды - прим. ред.), оценка которых в последние годы входит в практику менеджмента ОПО. Этот кейс принципиально отличается от того, что было раньше. На мой взгляд, Triton вывел угрозы информационной безопасности АСУ ТП на следующий виток развития.

Вирус Triton был ориентирован на конкретный тип автоматизированной системы – противоаварийную защиту (ПАЗ), которая является «последним рубежом» безопасного функционирования ОПО. Сегодня ПАЗ поддерживают удаленное конфигурирование с рабочих мест по сети, на это и была направлена атака. Ее конечной целью была подмена легитимного процесса конфигурирования контроллера ПАЗ с возможностью скорректировать его настройки. Способствовало этому, в частности, и то, что архитектурно ни ПО для конфигурирования, ни сетевой протокол не предусматривали мер безопасности. Если бы атака оказалась успешной, скорее всего, это привело бы к физическим последствиям для предприятия.

Владимир Карантаев: Предприятие, эксплуатировавшее контроллер ПАЗ, могло предпринять определенные меры: использовать hardening, то есть усиление защищенности операционной системы (ОС) на АРМ-ах с инженерным ПО, организовать и имплементировать меры по идентификации и аутентификации, а также мониторингу критичных систем и процессов с помощью SOC на АРМ подобного типа. Особенность в том, что аппаратный ключ контроллера ПАЗ по непонятным причинам находился в положении, позволявшем осуществлять программирование и конфигурирование. Можно и нужно было применять организационные меры, регламентирующие использование подобного режима при эксплуатации.

При этом стоит отметить, что производитель систем может предпринять и куда более широкий спектр мер. Например, внедрить и использовать доверенную операционную систему, защищенный протокол, обеспечить механизмы идентификации и аутентификации субъектов и объектов доступа, как на уровне людей, так и на уровне процессов, обеспечить доверие при конфигурировании и т.д.

Компания Schneider Electric – на пострадавшем заводе работал контроллер этого производителя – занялась соответствующими доработками своих продуктов. Однако это дело небыстрое, и плохо, что мы наблюдаем прецедентный характер действий, ведь последствия даже одной успешной атаки могут быть катастрофическими. Нужно думать о превентивных мерах по реагированию на угрозы и риски.

Владимир Карантаев: Идут серьезные процессы по созданию промышленных технологий будущего: инициатива Industry 4.0 в Германии, которая, по задумке авторов, должна помочь миру перейти к новому технологическому укладу. Американская инициатива промышленного Интернета вещей (Industrial Internet of Things, IIoT): она базируется на схожей идее, но охватывает больше секторов экономики. Национальные программы такого рода появились в Китае, Японии.

Очевидно, что любая страна, которая считает себя серьезным игроком на мировой арене, должна реагировать на подобные вызовы и формировать свою внутринациональную повестку. У нас она обрела форму государственной программы «Цифровая экономика России».

Владимир Карантаев: Это так. По сути, последние 7 - 8 лет мы наблюдаем, как в международном пространстве активизируется глобальная стратегическая борьба за технологическое лидерство, которое определит доминирующие концепции и подходы на ближайшие 30 - 50 лет. Результат этой борьбы сводится, по сути, к трансформации бизнес-моделей, которые, в свою очередь, основываются на конкретном наборе технологий. Они в наших российских документах получили название сквозных технологий.

Собственно, основой цифровой экономики является определенный стек (набор) технологий, включая технологии, обеспечивающие повышение эффективности функционирования промышленных предприятий, в разных отраслях на основе автоматизации (или цифровизации). В настоящий момент основой этой автоматизации являются системы АСУ ТП (автоматизированные системы управления технологическими процессами), внедрение которых началось еще в Советском Союзе в 70-х годах прошлого века. Тогда появились первые программируемые логические контроллеры, что дало серьезный стимул для развития промышленности развитых стран. А сегодня мы подходим к рубежу, за которым начинается следующий этап глобального бурного роста, и его основой, вероятно, будет набор технологий под названием «Промышленный Интернет» или Industrial Internet of Things или Интернет вещей (Internet of Things, IoT).

Развитием концепции IIoT занимается Международный консорциум промышленного Интернета (Industrial Internet Consortium, IIC), участниками которого мы (как компания ПАО «Ростелеком» и как эксперты «Ростелеком-Солар») являемся. Его цель – способствовать ускорению той самой цифровой трансформации предприятий и национальных экономик, в частности, за счет продвижения лучших практик. Они создают документы доктринального уровня, появляются первые документы класса white paper, то есть технические документы, разъясняющие те или иные конкретные технологии для специалистов, например, разработчиков прикладных систем. Поскольку тема кибербезопасности является ключевой для промышленных систем, соответствующие технологии должны рассматриваться как сквозные, пронизывающие все процессы и уровни. В этом ключе разрабатываются новые подходы к безопасности систем промышленного Интернета.

Владимир Карантаев: Существуют специальные рабочие группы, куда входят, в том числе, и эксперты «Ростелеком-Солар», которые формируют повестку развития этих технологий, в частности, по кибербезопасности киберфизических систем и систем промышленного Интернета. Есть общее понимание, что объектом защиты сегодня являются процессы взаимодействия элементов как внутри предприятия, например, на уровне АСУ ТП, так и между предприятиями, например, в рамках вертикально-интегрированных холдингов или даже между холдингами. Это, в свою очередь, подразумевает трансформацию бизнес-моделей.

Здесь крайне важно, что такого рода трансформации требуют очень глубокой интеграции технологических и бизнес-процессов между предприятиями одной отрасли или даже разных отраслей. Это позволит предприятиям оперативно создавать и выпускать на рынок новые продукты, более персонифицированные с точки зрения целевой аудитории. Это означает, что технологии, которые уже сегодня достаточно широко используются на современных предприятиях, получат еще более обширное распространение. Иными словами, это будет набор разнообразных телекоммуникационных протоколов: от протоколов низкого уровня до протоколов, по которым будет происходить взаимодействие между автоматизированными или роботизированными системами, образующими те самые кибер-физические системы. И, кроме того, будут еще разнообразные информационные технологии – совокупность общесистемного и прикладного ПО. В этом есть риск.

Владимир Карантаев: Поскольку промышленный Интернет – это совокупность инфокоммуникационных технологий, пронизывающих всю систему снизу доверху: от интеллектуального датчика до системы, которая управляет технологическим процессом или выдает конкретное задание или формирует прогноз, то и тема кибербезопасности является сквозной. В этом смысле методы обеспечения безопасности должны присутствовать в разработках новых технологий изначально, еще на уровне формирования требований. Они должны применяться как к системе в целом, так и к технологиям, на которых эта система реализована.

Естественно, в разных отраслях эти системы имеют и будут иметь свою специфику. В электроэнергетике, например, даже сам термин «промышленный Интернет» не прижился, там говорят о технологиях Smart Grid или активно-адаптивной сети, хотя задача в общем случае та же самая: интеллектуальный датчик, например, трансформатор тока, напряжения – это та же система верхнего уровня. То же самое в нефтегазе: от интеллектуального датчика уровня давления и других датчиков – до системы поддержки принятия решений. Кибербезопасность – это набор сквозных технологий и методов, которые должны обеспечить устойчивое функционирование киберфизических систем.

Однако в программе «Цифровая экономика», как нам кажется, эта серьезная составляющая разработки будущих технологий практически не нашла отражения, а ведь речь идет, напомню, о безопасности промышленных систем. Это направление выделено в отдельную группу, а нужно – обязательно нужно – чтобы тема кибербезопасности присутствовала в каждой рабочей группе, в каждой вертикали, где обсуждаются сквозные технологии. Мы за это всегда ратуем и надеемся, что нас услышат.

Владимир Карантаев: Статистика говорит о том, что АСУ ТП сегодня достаточно сильно интегрируются с системами верхнего уровня (диспетчерские системы SCADA или системы управления производством (MES)), поддерживая интенсивный двусторонний обмен данными, а уровень мер защиты, как организационных, так и технических, на уровне АСУ ТП зачастую достаточно низкий. И вот что важно: если говорить в терминах пяти уровней систем предприятия, то на верхних уровнях в последние годы худо-бедно занимаются безопасностью, а вот на нижних – не занимаются практически никак. В такой ситуации интеграция уровней однозначно приводит к повышению рисков. Угрозой для непрерывности функционирования завода становятся не только таргетированные атаки, но и любые другие компьютерные инциденты, включая массовые неспецифические кибератаки типа WannaCry и Petya. Отмечены случаи заражения этими вирусами промышленных предприятий: изначально атака, вполне вероятно, не была ориентирована на АСУ ТП, но она случайно попала в инфраструктуру.

К сожалению, далеко не все предприятия этот риск осознают. Они часто успокаивают себя мыслью: «В качестве объекта таргетированной атаки я никому не интересен, значит, проблем с кибербезопасностью производства у меня нет». Но это не так.

Главная проблема сегодняшнего дня заключается, на мой взгляд, в том, что промышленный Интернет будущего, понимаемый как совокупность технологий, изначально имеет серьезную уязвимость – современные телекоммуникационные протоколы, программное и аппаратное обеспечение разных уровней, используемые для создания критических систем, изначально не защищены от воздействия на них компьютерных атак.

Владимир Карантаев: Всех. Сегодня отчетливо проявляется тенденция унификации и использования в системах АСУ ТП технологий из мира ИТ: коммутационное оборудование, стек телекоммуникационных протоколов. Возьмите, к примеру, электроэнергетику. Цифровые подстанции используют протоколы, базирующиеся на стеке TCP/IP. А то, что TCP/IP изначально уязвим перед компьютерными атаками, знает любой начинающий специалист в области ИБ. Во всех отраслях широко используются операционные системы общего применения, у которых огромное количество регулярно выявляемых уязвимостей, а специфика эксплуатации на промышленных предприятиях не позволяет быстро их закрывать. То же относится и к встраиваемым операционным системам. На верхних уровнях АСУ ТП работают SCADA-системы диспетчерского управления – фактически обычные АРМы и серверы под управлением ОС общего назначения.

Владимир Карантаев: Возьмем электроэнергетику – в отрасли уже объявлена программа цифровой трансформации. А у нас в стране на настоящий момент всего пять цифровых подстанций. Пять! Но за 10 лет должны быть созданы сотни тысяч. Это не игра слов, это реальность – настоящий новый «план ГОЭЛРО». Если эти типизированные решения будущего не будут тщательно проработаны с точки зрения кибербезопасности, они, безусловно, появятся, но в каком виде?

Поэтому я и уверен: если мы не сформируем системные требования по кибербезопасности уже на текущем этапе, это станет ограничивающим фактором для появления эффективных технологий безопасности в технологиях будущих систем и заложит системный риск того, что они изначально будут уязвимы перед компьютерными атаками. И это при том, что такие системы призваны функционировать в будущем в системообразующих отраслях экономики: энергетике, нефтегазовом секторе, металлургии, сельском хозяйстве, где сейчас даже обычный зерновой комбайн уже превращается в «станок с ЧПУ» – «вещь» промышленного Интернета.

Владимир Карантаев: Их текущее состояние, с точки зрения автоматизации производств, в разных отраслях крайне неоднородно. Сказывается наследие постсоветских времен. Хотя это было 30 лет назад, но эти десятилетия для каждой отрасли прошли, мягко скажем, по-разному. Некоторые в меру возможностей и экономической ситуации в стране развивались. Некоторые даже смогли в той или иной мере модернизировать свои основные фонды и технологические процессы. Среди, скажем так, «догоняющих» отраслей есть и такие, для кого проблематика кибербезопасности АСУ ТП совсем не актуальна. «У нас нет никаких микропроцессорных устройств, которых следует опасаться. У нас реле с пружиной. Единственная угроза – это устаревание и Петрович с отверткой, который эту пружину неправильно подкрутил», – можно услышать от них. Там, конечно, проблем кибербезопасности АСУ ТП нет. Актуальны они на предприятиях, которые находятся, как минимум, на высокой степени телемеханизации, ведь основой нынешней автоматизации стали индустриальные системы, архитектурно построенные без учета вопросов информационной безопасности. Например, телекоммуникационная сеть АСУ ТП изначально интегрирована на уровне проекта с офисной сетью предприятия. Это очень плохое решение.

Владимир Карантаев: К сожалению, не могу назвать это шуткой, потому что такое тоже встречается. Для тех, кто сомневается, могу порекомендовать ресурс Shodan (своеобразный поисковик по Интернету вещей – находит подключенные устройства и выясняет, есть ли у них открытый интерфейс). Чаще встречаются «плоские» сети: если злоумышленник (или вредоносное программное обеспечение) попал на верхний уровень, то он может провалиться до нижнего уровня со всеми соответствующими возможностями развития атаки.

Владимир Карантаев: Это миф, который давно развеян. Те, кому надо, давно научились эти протоколы изучать и использовать в своих целях. То же касается и Air Gap – так называемого воздушного зазора – идеи изолированной среды. Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, то при желании его легко преодолеть. Все истории со «случайно оброненными» флешками, зараженными вредоносным ПО, – об этом.

Тут следует похвалить вендоров. Например, в новых версиях операционных систем многие стали уделять больше внимания вопросам кибербезопасности, добавлять в свои продукты механизмы защиты. Но к этому решению они шли долго, лет десять. Но и мы за это время тоже прошли большой путь: от непонимания, даже некоторого неприятия темы кибербезопасности производственных средств АСУ ТП до нынешнего момента, когда наиболее дальновидные предприятия уже начали формировать собственные планы по развитию АСУ ТП в парадигме сквозной системной безопасности.

Владимир Карантаев: Наше государство начало формировать нормативно-правовую базу регулирования в этой сфере достаточно давно. Более 10 лет назад ФСТЭК, отраслевой регулятор в сфере ИБ, выпустил первый документ с требованиями по защите АСУ и АСУ ТП, где были описаны модели угроз. В 2016 году была принята новая доктрина информационной безопасности Российской Федерации. Там одна из ключевых тем – безопасность критической информационной инфраструктуры (КИИ) Российской Федерации. Отдельно отмечу, что в Доктрине специально подчеркнуто: риском для РФ является использование информационных технологий, изначально не защищенных против действий компьютерных атак.

Есть так же приказ №31 ФСТЭК Росси от 2014 года «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» и 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 2017 года.

Так что те организации, которые еще в 2014 году начали планомерное развитие с использованием предложенных государством наработок, сегодня находятся в завидном положении – им не нужно в срочном порядке начинать реализацию ФЗ-187 с нуля.

Владимир Карантаев: Наиболее массово оно охватывает отрасли, которые имеют достаточно развитые АСУ ТП (в терминах закона – АСУ): электроэнергетика, ТЭК, ОПК, атомная отрасль, металлургия, химическая, горнодобывающая отрасль и т.д. Однако уровень защищенности инфраструктуры промышленных предприятий остается недостаточным по причинам, которые мы подробно обсудили ранее. Вступление в силу ФЗ-187 придало процессу положительную динамику, но большинство текущих проектов по защите критической инфраструктуры находятся на ранней стадии. Этим предприятиям крайне важно сосредоточиться на повышении реальной защищенности своих систем, а не формальном соответствии букве закона.

Владимир Карантаев: Полезно проводить анализ своих промышленных систем с помощью оценки зрелости кибербезопасности АСУ ТП на конкретном предприятии. Этот эмпирический критерий подразумевает четыре стадии.

Первый этап: есть внедренные АСУ ТП, высокий уровень массовой автоматизации (для отрасли), но не реализованы базовые функции кибербезопасности. То есть того, что мы называем кибергигиеной, нет даже в минимальном объеме.

Второй этап: в системах АСУ ТП реализованы базовые функции безопасности. Например, уже упомянутый hardening – специфическую настройку операционных систем с целю снижения вероятности наступления компьютерного инцидента на верхнем уровне АСУ ТП. Или применяются неспецифичные средства защиты информации, скажем, межсетевые экраны на периметре АСУ ТП или неспециализированные IDS (Intrusion Detection System, системы обнаружения вторжений).

Третий этап: появляются средства защиты информации, специально разработанные для применения в АСУ ТП, но являющиеся по отношению к ним наложенными системами. Это могут быть специализированные антивирусы или специализированные межсетевые экраны. Такие продукты есть, но, к сожалению, среди них мало российских разработок.

Четвертый этап: эффективный симбиоз встраиваемых средств защиты информации, например, с использованием индустриальных систем IDS. Или вариант, когда функции безопасности реализованы посредством самих АСУ ТП – в контроллерах, в системах верхнего уровня. По сути, в этом случае реализуется концепция целевой сквозной кибербезопасности.

Владимир Карантаев: Таких возможностей немало. Например, на каждом из четырех этапов зрелости возможно эффективное применение наших систем мониторинга на базе аутсорсинговых услуг SOC, то есть центра оперативного управления информационной безопасностью (Security Operation Center). Иными словами, можно стартовать с базового уровня и постепенно повышать уровень защищенности. Мы готовы помогать предприятиям перевести инфраструктуру с первого уровня зрелости на четвертый.

Понятно, что параллельно с технологиями должно происходить повышение уровня зрелости и процессов управления безопасностью. И эта задача далеко не всегда решается быстро и легко.

Владимир Карантаев: Есть одно требование закона, которое вызывает у предприятий определенные трудности. Оно детализировано в Постановлении Правительства РФ №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 г. По закону субъект КИИ сам должен проводить категорирование, но зачастую даже у продвинутых предприятий недостаточно внутренних компетенций, чтобы правильно оценить все множество актуальных для него рисков.

Мы видим здесь свою возможную роль как экспертного партнера, который обладает широкими методически выверенными знаниями о рисках и возможных последствиях. Это вовсе не запугивание, как можно подумать, и не «торговля страхом». Мы вступаем в экспертный диалог с представителями отрасли: главными инженерами, технологами, метрологами. Это те люди, которыми обычно пугают безопасников: мол, вы с ними никогда ни о чем не договоритесь. Ничего подобного! Это люди, которые всю жизнь живут под грузом ответственности, и очень хорошо отличают звонкие слова от реальной экспертной поддержки. Они прекрасно понимают: если категорирование проведено качественно, то это первый шаг к формированию взвешенного подхода к безопасности.

Мы предоставляем сервис комплексного анализа защищенности АСУ ТП и промышленного Интернета. Он подразумевает анализ инфраструктуры заказчиков на наличие архитектурных проблем, связанных с кибербезопасностью АСУ ТП. Анализ текущего уровня защищенности, проверка на наличие в инфраструктуре известных уязвимостей на уровне, как операционных систем, так и микропрограммного обеспечения, встроенного в оборудование АСУ ТП на среднем уровне. Вплоть до проведения пентеста АСУ ТП.

Владимир Карантаев: Конечно. Проработкой этих рисков на постоянной основе занимается наш регулятор. В 2015 г. ФСТЭК России выпустил национальный стандарт средств безопасной разработки ПО, а недавно – так называемые «Требования к доверию» – обязательные требования для всех разработчиков средств защиты информации. Одно из них – обеспечение безопасной разработки. Это, на мой взгляд, та серьезная системная мера, которая поможет повысить защищенность производственных систем. Но я думаю, что аналогичные требования должны исходить не только от государства, но и от владельцев инфраструктуры.

Владимир Карантаев: Заказчик имеет полное право поставить условие, что поставщик решения АСУ ТП должен иметь у себя развитые процессы безопасной разработки. Например, международные вендоры, скажем, Schneider Electric или Siemens внедрением таких механизмов уже занялись в соответствии с международным стандартом МЭК 62443 «Сети промышленной коммуникации. Безопасность сетей и систем». По этому пути двинулись и российские вендоры – мы с ними начали работу по выстраиванию системы рекомендаций в части безопасной разработки с использованием нашего продукта Solar appScreener, статического анализатора кода. Кроме того, методы безопасной разработки (Security Development Lifecycle, SDL) могут использовать и сами предприятия для проверки нового ПО на безопасность. Конечно, это потребует некоторых ресурсов, но затем затраты стабилизируются и через некоторое время происходит общее повышение качества ПО и снижение количества уязвимостей.

Владимир Карантаев: Применение Linux в АСУ ТП встречается. Даже, наверное, можно говорить о некотором тренде в сторону большего применения Linux на разных уровнях АСУ ТП: в качестве операционной системы на верхнем уровне операторско-диспетчерского управления (SCADA) или встраиваемой операционной системы на уровне контроллеров. Здесь важен следующий момент. Если какая-либо ОС на базе Linux будет использоваться в АСУ ТП, то для повышения уровня доверия к ее использованию она должна пройти сертификацию, например, по двум типам требований.

Первая сертификация – по требованиям к надежности функционирования ПО. Такие требования есть, например, в стандарте МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью». Вторая сертификация – по требованиям, например, к доверию с точки зрения информационной безопасности.

И, наконец, операционная система, реализованная на базе Linux, может содержать так называемую модель безопасности. Есть специальные требования, в том числе, ФСТЭК России, к операционным системам реального времени. Таким образом, реализовав систему, отвечающую сегодняшним конкретным требованиям, мы получим ОС, удовлетворяющую требованиям надежности, и оптимальную, с точки зрения безопасности.

Владимир Карантаев: У нас в законе о техническом регулировании приводится несколько методов оценки соответствия разработанного продукта заявленным характеристикам. Сертификация – один из них. Еще одна форма оценки соответствия – приемо-сдаточные испытания. Но в этой части, надо сказать, пока нет развитых подходов и методологической поддержки. Мы в компании «Ростелеком-Солар» готовы двигаться двумя путями, в том числе, по пути формирования методологической базы приемо-сдаточных испытаний. Такой работой мы уже занимаемся в нашем подразделении «Лаборатория кибербезопасности АСУ ТП». Одна из ее целей – формирование методологической базы испытаний систем АСУ ТП по параметрам кибербезопасности.

Владимир Карантаев: Мы – наша страна в целом – находимся сегодня в активной фазе формирования собственного технологического задела в масштабе государства, и это здорово. При этом мы понимаем, что если сейчас на старте не принять сбалансированного решения о системных подходах к формированию архитектурного облика этого задела, дальнейший путь может оказаться крайне неэффективным. Поэтому при формировании дорожной карты программы мы вышли с инициативой: должны быть разработаны разного вида и типа модели угроз нарушителя – как для элементов системы, так и системы в целом, в зависимости от формируемой дорожной карты. К примеру, создается дорожная карта, скажем, развития промышленного Интернета в конкретной отрасли. Для нее у нас есть конкретные архитектурные принципы построения, типы используемых инфокоммуникационных технологий на каждом из уровней. Тогда для «Цифровой экономики» в целом будет создаваться фреймворк безопасности.

Если у нас в стране есть возможность формировать перспективные организационно-технологические заделы, это нужно делать! И наша компания, занимающаяся развитием технологий в области кибербезопасности промышленных систем, придает этой идее практическую форму.