Сандро Болонья о киберустойчивости промышленных систем управления

Кибербезопасность и устойчивость промышленных систем управления

Промышленные системы управления и последствия для безопасности

Средства автоматизации являются важной частью ядра любой технологической инфраструктуры (электрических сетей, нефте- и газопроводов, телекоммуникационных сетей, финансовых систем, и т.д.), и таким образом, для стабильной работы без последствий в случае нападений и инцидентов должна постоянно обеспечиваться их безопасность. Промышленные системы управления и их компоненты применяются для управления в различных инфраструктурах, от энергетики до производства и систем очистки воды, и конечно они необходимы для функционирования инфраструктур, системы которых, как правило, тесно взаимосвязаны и взаимозависимы. Можно прямо сказать, что будучи в состоянии контролировать какую-либо часть промышленных систем управления, можно управлять механизмами всей инфраструктуры. Нет никаких сомнений, что кибератаки на промышленные системы являются наиболее распространенным и наиболее разорительным видом атак [см. Дополнительные Материалы, #1].

Составление исчерпывающих списков кибератак является трудной задачей, потому что государственные учреждения, национальные критические инфраструктуры, крупные лаборатории и другие подобные структуры, как правило, не стремятся раскрывать факты совершения и обстоятельства кибератак. Среди самых известных и произошедших недавно атак выделяются Stuxnet, Flame и Duqu. Из них только Stuxnet была направлена на причинение ущерба целевой инфраструктуре, а остальные использовались для шпионажа. Действительно, Stuxnet, как полагают, является первой вредоносной программой, целью которой были конкретно системы критически важной инфраструктуры. Считается, что она была разработана для выключения центрифуг на заводе по обогащению урана в иранской Натанзе, где, как сообщается, в тот период времени наблюдались остановки и другие проблемы. Этот технически сложный червь распространяется через USB-накопители и четыре ранее неизвестные уязвимости в операционной системе Windows, известные как «уязвимости нулевого дня» [1].

Первоочередные мероприятия противодействия киберугрозам сосредоточены на технической стороне проблемы и представляют собой вложения в такие меры безопасности как брандмауэры, антивирусы и другие программно-аппаратные решения для обнаружения вторжений. Однако есть понимание, что эта проблема не может быть решена только на техническом и операционном уровне, так как сейчас стало ясно, что многие из вышеупомянутых технических решений неэффективны или их недостаточно в тех случаях, когда они не интегрированы с решениями резервирования. Масштаб проблемы обеспечения безопасности может ввести в ступор, но этого можно избежать. В действительности ответы есть, и в их основе — технологии. Но технологии являются только инструментом. Управление в конечном итоге находится в руках людей. Это означает, что для эффективной защиты от кибератак, культура безопасности должна быть на одном уровне со средствами обеспечения безопасности.

Устойчивость, обычно понимаемая как способность инфраструктур или услуг быстро “прийти в норму” после атаки или нейтрализовать её потенциал, в настоящее время считается экономически обоснованной политикой, в дополнение к существующим мерам предупреждения и защиты, которые являются основой существующих программ защиты критических инфраструктур. Этот новый подход становится все более важным, особенно на фоне участившихся за последние годы кибератак, и усиления опасений глобального выхода из строя, нарушения функционирования и общего недоверия ко многим услугам, необходимым современному обществу. Устойчивость является спроектированной способностью, заложенной в защиту и жизненный цикл управления инфраструктурой, что позволяет сложным системам противостоять различного рода атакам или ослаблять их воздействие, и, соответственно, уменьшать последствия, которые существуют, несмотря на созданные в этих системах защитные барьеры [см. Доп. Материалы, #2].

По этой причине необходимо распространение информации и повышение осведомленности о том, что представляет собой кибербезопасность промышленных систем управления, в том числе понимание важности потенциальных последствий внедрения слабых методов кибербезопасности. Конечно, термин «кибербезопасность» охватывает как преднамеренные нападения извне и изнутри, так и непреднамеренную неправильную эксплуатацию систем.

Здесь очень важно подчеркнуть различие между промышленными системами управления и корпоративными информационными системами. И те, и другие могут быть объектами кибератак, но эти системы различны по своей природе, и поэтому атаки и их последствия также отличаются. Одно из главных отличий заключается в том, что такие операционные системы, как Microsoft Windows или Apple MacOS X общедоступны, и их относительно легко изучить и проанализировать в связи с более широкой аудиторией потребителей и пользователей. Промышленные системы управления совсем другие. Их труднее приобрести, так как они обслуживают ограниченный круг потребителей, в основном промышленные компании, и для того, чтобы выполнить на них атаку, необходимы глубокие практические знания аппаратного и программного обеспечения. Также стоит отметить, что для разных систем существует множество разных производителей и поставщиков. В отличие от кибератак на доступные в свободной продаже операционные системы, например, Windows или Mac OSX, которые (как и их дефекты) широко распространены (так как многие системы и сети зависят от них), нападение на конкретную промышленную систему управления основано на глубоком знании этой системы и её особенностей.

Анализ секторов, подвергшихся кибератакам (2009 – 2013)

Для выявления динамики кибератак на сектора экономики группой реагирования на компьютерные происшествия промышленных систем управления США (ICS-CERT) было проведено соответствующее исследование, охватившее период 2009–2013 гг.

В 2009 году было зарегистрировано девять инцидентов. Наиболее подвержены атакам были сектор водоснабжения (33,4%) и сектор энергетики (33,3%) [3]

В 2010 г. число зарегистрированных инцидентов увеличилось до сорока одного. Наиболее подверженным атакам был сектор энергетики с 18 атаками, что составило 44% от общего числа. В 2010 г., в связи с обнаружением Stuxnet, ядерная промышленность вошла в число секторов, подвергшихся нападениям (5,12% от общего числа) [4]

В конце 2011 г. количество сообщений о случаях атак резко возросло до 198, из них 81,41% пришлось на сектор водоснабжения, остальные — на сектор энергетики, ядерную промышленность, государственные учреждения и сектор химической промышленности [5]

Удивительно, но согласно Операционному докладу ICS-CERT за 2012 финансовый год (октябрь 2011г. — сентябрь 2012г.), число зарегистрированных нападений почти такое же, как и в 2011 году, но с другим лидирующим по количеству нападений сектором — это энергетика с 41% от общего числа зарегистрированных случаев [6]

Согласно Операционному докладу ICS-CERT за первую половину 2013 года (октябрь 2012 — май 2013), число зарегистрированных нападений по-прежнему увеличивается. Наиболее атакуемым сектором по-прежнему является энергетика, на которую приходится 53% от общего числа атак.

Энергетика — наиболее часто атакуемый сектор

Принимая во внимание, что вышеприведенный анализ охватывает только отчеты о кибератаках на критическую инфраструктуру США, это не позволяет сделать какие-либо общие выводы. Однако важно отметить то, как значительно с 2010 года возросло количество инцидентов, связанных с кибератаками, а также число секторов, подвергшихся кибератакам.

Общие уязвимости и методы атак

Уязвимости

Быстро обосновать причины, по которым операторам киберинфраструктур (или инфраструктур, зависящих от ИКТ- систем) следует уделить больше внимания проблеме устойчивости, можно, если принять во внимание все «известные» уязвимости и методы нападения, которые могут негативно повлиять на жизненный цикл киберсистем (и работу зависящих от этих систем услуг).

Наиболее часто возникающие уязвимости и атаки кратко обобщены в последующих списках [см. Доп.Материалы, #3]:

• Присущие программному/аппаратному обеспечению уязвимости (недостатки конструкции).
• Отсутствие (физических и логических) мер защиты.
• «Уязвимости нулевого дня».
• Неправильная конфигурация / несовместимость компонентов системы.
• Отсутствие обновлений или ненадлежащее тестирование обновлений перед установкой/внедрением.
• Недостаточная подготовка системных администраторов.
• Недостаточное обучение пользователей.
• Устаревание инфраструктуры или частей систем.
• Недостатки корпоративной политики в области информационных технологий (удостоверения личности продолжают быть действительными даже после ухода на пенсию/перевода/увольнения работников).
• Недооценка рисков, являющихся следствием физической уязвимости объектов, в которых размещены киберсистемы (например, подверженность затоплению, злоумышленным действиям, и т.д.).

Атаки

• Распределенный отказ в обслуживании (DDoS);
• Сетевые вторжения;
• Вредоносное программное обеспечение, троянские кони, бэкдоры;
• Атаки на определенных пользователей (администраторов — операторов на ключевых позициях);
• Атаки на определенное оборудование/устройства (например, программируемые логические контроллеры — PLC);
• Полное или частичное разрушение систем (по причине, например, пожара, взрыва и т.п.);
• Социальная инженерия;
• Инсайдеры.

Важность (и способность нанести вред киберсистемам) обеих вышеупомянутых категорий возросла в связи с массовым внедрением технологий во всех корпоративных и государственных секторах, а также по причине быстрого развития рыночной конкуренции — обстоятельство, которое в некоторых случаях заставляет поставщиков технологий продавать не полностью протестированное оборудование.

Можно утверждать, что развитие устойчивости, так же как и внедрение защиты, обосновано давно известными переменными и осознанием того, что без защиты нет устойчивости, и наоборот.

В то же время важно подчеркнуть, что принятие мер устойчивости ни в коем случае не должно отвлекать или снижать внимание к защите, так как эти подходы дополняют друг друга, и должны в равной степени присутствовать в жизненном цикле управления и безопасности современных инфраструктур.

Подход, ориентированный на устойчивость

Опыт прошедших лет и недавних событий выявил вероятность, когда меры защиты в конце концов могут дать сбой. По этой причине, и учитывая, что меры защиты критически важных инфраструктур можно легко обойти, всем заинтересованным сторонам, участвующим в обеспечении безопасности таких деликатных и жизненно важных объектов инфраструктуры, крайне необходимо уделять больше внимания устойчивости критической инфраструктуры.

Критическая инфраструктура — это не только технологии, но и в большой степени люди, процессы и организации. Для того чтобы процессы анализа рисков и управления рисками были всеобъемлющими и успешными, необходимо принимать во внимание все эти компоненты, а также культурный фон.

Политика устойчивости киберсистем, создаваемая с нуля, должна основываться на четырех линиях обороны.

Первая линия обороны находится на техническом и физическом уровне. Физическая и техническая устойчивость представляют собой способность критической инфраструктуры, с учетом реализованных защитных механизмов, сдерживать или замедлять противника (заборы, замки и т.д.), регистрировать атаки (охранники, датчики, электронные системы контроля доступа и т.д.), и/или снижать уязвимость (недостатки или слабые места в системе безопасности). Такие традиционные элементы управления сетевой безопасностью, как межсетевые экраны, системы предотвращения вторжений и антивирусная защита широко распространены и достаточны для противодействия известным угрозам, но недостаточны для снижения риска от неизвестных (например, «уязвимостей нулевого дня»), незаметных (например, отсутствие подготовки или наличие инсайдеров), или угроз, которые не могут быть адекватно учтены (например, ограничения программного/аппаратного обеспечения или устаревание инфраструктуры). Эти традиционные элементы управления сетевой безопасностью зачастую являются основой противодействия продвинутым угрозам, многие из которых имеют доступ к современным научным разработкам. В то время как противник применяет новые идеи, в основе защиты большинства инфраструктур безопасности продолжают использоваться устаревшие технологии [см. Доп. Материалы, #4].

Вторая линия обороны находится на персональном уровне. Персональная устойчивость является одним из важнейших компонентов устойчивости систем. Главным упущением в этом вопросе является не распределение ролей и обязанностей (специфических для каждого работодателя) служащих в случае чрезвычайной ситуации, а персональная устойчивость, которая заключается в личной подготовленности сотрудников. Таким образом, в чрезвычайных ситуациях сотрудники быстрее ориентируются и лучше подготовлены к исполнению специфических функций и обязанностей в конкретной организации. Создание культуры устойчивости уже является насущной необходимостью, которая потребует от организаций изменения восприятия бедствий или чрезвычайных ситуаций. В условиях, когда мир становится все более изменчивым и нестабильным, для организаций одним из наиболее ценных качеств может стать способность быстро приспосабливаться для выживания в непредвиденных чрезвычайных ситуациях [см. Доп. Материалы, #5].

Третья линия обороны находится на организационном уровне. Предполагается, что организационная устойчивость лучше всего достигается путем систематического разделения ее элементов на основе четких критериев. Это позволяет изолировать каждый из компонентов и облегчает выявление их ключевых атрибутов или характеристик. Организационная устойчивость опирается на техническую устойчивость и персональную устойчивость, о которых говорилось выше, а функциональная устойчивость должна представлять собой четкое распределение ответственности и определение, кто и что должен делать [см. Доп. Материалы, #6].

Четвертой линией обороны является развитие сотрудничества и партнерства между различными заинтересованными сторонами. В Европе для развития политической инициативы по защите критически важной информационной инфраструктуры, принятой Европейской комиссией 30 марта 2009 г., было создано Европейское государственно-частное партнерство для повышения устойчивости (EP3R). Целями EP3R являются: поддержание процесса обмена информацией, накопление передового опыта в области политики и промышленности, развитие общего понимания, обсуждение приоритетов, целей и мероприятий государственной политики, повышение согласованности и координация политики в области безопасности и устойчивости в Европе, выявление хороших базовых практик и содействие их принятию для обеспечения безопасности и устойчивости [7].

Международные подходы к обеспечению устойчивости

7 февраля 2013 была представлена «Стратегия кибербезопасности Европейского Союза: открытое, безопасное и защищенное киберпространство» [8]. Свои комментарии к ней дали Верховный представитель ЕС Кэтрин Эштон [9], вице- президент Европейской комиссии по цифровой повестке дня Нели Крус [10], и комиссар ЕС по внутренним делам Сесилия Мальмстрем [11]. Было отмечено, что необходимость защиты от кибератак предопределяется нашей зависимостью от киберпространства почти в каждом секторе нашей жизни. Нели Крус подчеркнула важность киберустойчивости, как одного из ключевых пунктов Стратегии ЕС:

«Мы должны защитить наши сети и системы, и сделать их устойчивыми. Это может произойти только когда все участники процесса будут играть свою роль и выполнять свои обязанности. Киберугрозы не сдерживаются национальными границами — так должно быть и с кибербезопасностью. Соответственно, к нашей Стратегии прилагается предложенная Директива по укреплению киберустойчивости в пределах нашего общего рынка. Она обеспечит принятие компаниями мер, необходимых для безопасности и стабильности сетей. […] Европе нужны устойчивые системы и сети. Бездействие приведёт к значительным затратам у потребителей, предприятий, общества. Ущерб от одного киберинцидента может измеряться десятками тысяч евро для малого бизнеса — и миллионами в случае крупномасштабной утечки данных. Однако большинство из этих инцидентов могли бы предотвратить сами пользователи, применяя простые и не затратные меры» [12].

12 февраля 2013 года президент США Барак Обама подписал правительственное распоряжение о «Совершенствовании кибербезопасности критически важной инфраструктуры» [13]. По содержанию и предложенным мерам этот документ похож на Стратегию кибербезопасности Европейского Союза.

19 марта 2013 в итальянском государственном издании был опубликован долгожданный закон о кибербезопасности [14] (Декрет Председателя Совета Министров от 24 января 2013). Указ устанавливает новую правительственную систему противодействия потенциальным угрозам кибербезопасности в Италии.

Созданную указом организационную структуру возглавляет Премьер-министр, наряду с «Комитетом безопасности Итальянской Республики», задачей которого является определение стратегии национальной безопасности (так называемой «Национальной стратегии кибербезопасности»). Первый уровень организационной структуры поддерживает «орган коллегиальной координации». Во главе органа коллегиальной координации стоит Генеральный директор Департамента информационной безопасности. В заседаниях органа коллегиальной координации также принимает участие военный советник Премьер-министра.

В феврале 2014 года были опубликованы «Национальные стратегические основы безопасности киберпространства» [15] и «Национальный план по защите киберпространства и обеспечению безопасности ИКТ» [16].

В «Национальных стратегических основах безопасности киберпространства» изложены стратегические ориентиры, которые должны быть реализованы под руководством Комитета безопасности Республики совместными скоординированными усилиями всех ключевых заинтересованных органов, вхoдящих в систему национальной кибербезопасности, определенную декретом Премьер-министра от 24 января 2013 года.

Это, несомненно, является признаком того, насколько важной задачей становится обеспечение кибербезопасности критических инфраструктур и их систем управления в различных ситуациях.

Ссылки:

1. http://news.cnet.com/8301-1009_3-57560799-83/stuxnet-attacks-iran-again-reports-say/

2. S. Bologna, ICS and Smart Grids Security Standards, Guidelines and Recommendations, presentation at ERNCIP conference, JRC Ispra, 2012

3. ICS –CERT Incident Response Summary Report 2009-2011, available from: https://ics-cert.us-cert.gov/sites/default/files/documents/ICS-CERT%20Incident%20Response%20Summary%20Report%20(2009-2011)_accessible.pdf

4. Ibidem.

5. Ibidem.

6. ICS-CERT Monthly Monitor Oct-Dec 2012, available from: http://ics-cert.us-cert.gov/pdf/ICS-CERT_Monthly_Monitor_Oct-Dec2012.pdf

7. http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/european-public-private-partnership-for-resilience-ep3r

8. European Commission (2013), Cybersecurity Strategy of the European Union: an Open, Safe and Secure Cyberspace., available from: http://ec.europa.eu/dgs/home-affairs/e-library/documents/policies/organized-crime-and-human-trafficking/cybercrime/docs/join_2013_1_en.pdf

9. Remarks by EU high representative Catherine Ashton at the at press conference on the launch of the EU’s Cyber Security Strategy, February 7th 2013, available from: http://www.consilium.europa.eu/uedocs/cms_Data/docs/pressdata/EN/foraff/135287.pdf

10. Neelie Kroes, “Using cybersecurity to promote European values”, speech at the at press conference on the launch of the EU’s Cyber Security Strategy, February 7th 2013, available from: http://europa.eu/rapid/press-release_SPEECH-13-104_en.htm

11. Cecilia Malmström, “Stepping up the fight against cybercriminals to secure a free and open Internet”, speech at the at press conference on the launch of the EU’s Cyber Security Strategy, February 7th 2013, available from: http://europa.eu/rapid/press-release_SPEECH-13-105_en.htm

12. Neelie Kroes remarks, op. cit.

13. Barack Obama, “Improving Critical Infrastructure Cybersecurity” Executive Order of February 12, 2013, available from: http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity

14. Available at: http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2013-03-19&atto.codiceRedazionale=13A02504&elenco30giorni=true

15. Available at: http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/italian-national-strategic-framework-for-cyberspace-security.pdf

16. Available at: http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/italian-national-cyber-security-plan.pdf

Дополнительная литература:

1. Sandro Bologna, Alessandro Fasani, Maurizio Martellini: Cyber Security Deterrence and IT Protection for Critical Infrastructures, SpringerBriefs in Computer Science 2013, pp 57-72

2. Paul Theron, Sandro Bologna: Critical Information Infrastructure Protection and Resilience in the ICT Sector, Book, IGI Global, 2013.

3. Sandro Bologna, Stefano Mele, Alessandro Lazari, “Improving Critical Infrastructure Protection and Resilience against Terrorism Cyber Threats”, NATO Advanced Research Workshop Managing Terrorism Threats to Critical Infrastructure — Challenges for South Eastern Europe” Belgrade, Serbia, May, 2014.

4. General Dynamics 2010, Defending against cyber attacks with session-level network security.

5. Ann Coos, Ronald Bearse, 2013, Strengthening Resilience of the Nation’s Most Important Asset: People, The CIP Report, December 2013.

6. Wayne Boone, 2014, Functional Resilience: The “Business End” of Organizational Resilience, The CIP Report, January 2014.

 

Материал подготовлен на основе доклада, представленного на Девятой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 21-24 апреля 2014 года г.Гармиш-Партенкирхен, Германия.