Тема обеспечения существующих и новых, в том числе разрабатываемых, корпоративных систем автоматизации промышленного предприятия (КСАПП) с учетом требований к критически важным объектам (КВО) и критической информационной инфраструктуре (КИИ) активно муссируется в прессе и околонаучном сообществе. С одной стороны, многие эксперты из «классической» информационной безопасности пытаются применить традиционные меры обеспечения кибербезопасности на КСАПП. С другой стороны, технологи, критикуя беспощадно первых, пытаются придумать что-то новое.
Безопасность оперативного управления
Для начала разберемся, что такое КСАПП. Подобные системы специалисты делят на три уровня: первый – система управления ресурсами предприятия (Enterprise Resource Planning – ERP), второй – оперативное управление (Manufacturing Execution System – MES) и третий – автоматизация диспетчерского управления (Supervisory Control and Data Acquisition – SCADA). В третий уровень входят также различного рода контроллеры и распределенные системы управления (Distributed Control Systems – DSC). Надо отметить, что представленная схема больше теоретическая. Реально системы MES используют компоненты как первого уровня, так и второго. Все зависит от их интеграции в объект автоматизации. К тому же на рынке уже существуют гибридные продукты, например SCADA/MES.
Толкований понятия MES довольно много. Международная ассоциация Manufacturing Enterprise Solution Association (МЕSA) говорит, что MES – это динамическая информационная система, управляющая эффективным исполнением производственных операций, т. е. названная система регулирует и протоколирует работу компании. MES позволяет управлять производственными операциями от момента появления заказа на производстве до доставки готового продукта, что немного напоминает классическое ERP. Но разница именно в скорости – использование оперативной информации отличает MES от ERP-систем. MES работает с оперативной информацией.
Обратим внимание на международный стандарт ISA-95 (ANSI/ISA-95), который регламентирует разработку интерфейса между предприятиями и управляющими системами. Документ предназначен для применения во всех видах производства, для всех видов процессов, как непрерывных, так и дискретных. Однако ISA-95 – это стандарт для североамериканского рынка, ему соответствует европейский стандарт IEC 62264. Главной целью создания стандарта являлось обеспечение возможности взаимодействия корпоративных информационных систем (ERP) и производственных информационных систем (MES). С ним стоит ознакомиться перед оценкой уровня защищенности MES, чтобы понимать принципы взаимодействия.
Многие компании, занимающиеся обеспечением информационной безопасности, открыли новые направления по защите АСУ ТП и рассказывают о специализированных атаках на уровне SCADA и контроллеров. Вплоть до того, что есть возможность подмены программной прошивки контроллеров, чтобы они показывали ошибочные значения, например загазованности шахты или уровня воды при добыче алмазов. Подобная атака позволяет обмануть MES и в конце концов ERP, но ее легко выявить и устранить («одноразовая атака»). Но на этом уровне не все так просто. Сетевые решения систем автоматизации и диспетчеризации базируются на использовании как общепризнанных международных стандартов организации обмена данными и обслуживания устройств децентрализованной периферии, так и собственных, специализированных (проприетарных) протоколов. Вспомним наиболее известные: Highway Addressable Remote Transducer Protocol (HART), FOUNDATION Fieldbus HSE (High Speed Ethernet) (FF H2) (ISA/ANSI S50.02/ IEC DIS 61158), Industrial Ethernet (IEEE 802-3/IEEE 802.11), PROFIBUS (Process Field Bus) (IEC 61158/EN 50170), AS-Interface (Actuator Sensor Interface) (EN 50295), European Installation Bus (EIB) (EN 50090, ANSI EIA 776), Controller Area Network (CAN), Building Automation and Control network (BACnet) (ISO 16484-5), LON-Works (ANSI/EIA 709.1-А-1Э99), EUROMAP 63 и др.
На темной стороне
Для простоты восприятия вспомним формальное простое (но неполное) деление злоумышленников на два лагеря: внешние и внутренние. Для описываемых в статье систем, по моему мнению, опасны внутренние злоумышленники, которые иногда проявляются в действиях администраторов – неправильной настройке продуктов. Именно внутренним злоумышленникам отдают все «лавры победы», когда система выходит из строя. При этом конкретный «криворукий товарищ» может быть лишь исполнителем, который запускает исполняемый код на защищенном с помощью всевозможных систем физической защиты объекте.
Сейчас, наверное, неправильно говорить о новых атаках на MES. Скорее, они стали более изощренными. Рассмотрим действия команды злоумышленников против какого-либо объекта (не воспринимайте это как руководство к действию). Есть специалисты по анализу открытых данных, которые, собирая информацию об открывающемся объекте, готовят для реальных хакеров информационную выжимку: что за объект, какое оборудование, какой фирмы устанавливается, прощупывают подключение к Интернету. Есть еще умники, которые подключают системы к сети Интернет, утверждая, что им удобно управлять системой из дома или отдавать ее на поддержку производителю оборудования. А потом корпоративную сеть соединяют с производственной. Это «высший пилотаж».
Уже давно работают две схемы поддержки производителя оборудования. Первая использует однонаправленные диоды данных или шлюзы (применяется в Израиле, Испании и т. п.). Data Diode – это системы однонаправленной передачи данных, которые позволяют обеспечить передачу информации строго в одном направлении, полностью исключая обратный поток. Они применяются в сетях с высокими (в части защиты) требованиями к доступу (КВО). Таким образом, информация о работе системы передается производителю оборудования, который осуществляет постоянный мониторинг. В случае обнаружения проблемы «опергруппа» производителя срочно выезжает на объект для устранения неисправности или нестандартного поведения в работе оборудования. Второй подход встречается у телекоммуникационных компаний при контроле сети коммутаторов. Был разработан регламент, по которому в случае выхода из строя оборудования формировался запрос в системе Remedy и направлялся производителю оборудования. Далее устанавливался VPN от технической площадки производителя оборудования до сети оператора связи и проводился «ремонт» системы, т. е. удаленное устранение неисправности, если это, конечно, возможно. При этом все системы контроля были включены, с полной записью сеанса работы.
Возвратимся к нашим злоумышленникам. Как только информация об объекте собрана и изучена (пока из открытых источников), подключается вторая группа – «разработчики», которые являются уже реальными хакерами. Они готовят уникальный код (вирус, троян или червь) именно для этого объекта. Полезная нагрузка пишется с учетом производителя оборудования, на которой построена система (в нашем случае – MES), известных и неизвестных уязвимостей (есть прекрасные «торговые точки» в DarkNet) и иных факторах. Затем ставится задача как-то внедрить этот «нехороший» код в систему конкретного предприятия. Есть два пути: внутренний злоумышленник (как вариант «криворукий админ») и внешний (попытаться войти снаружи).
Для справки: термин DarkNet получил известность после публикации исследования The Darknet and the Future of Content Distribution, которое было опубликовано в 2002 г. Питером Биддлом, Полом Инглэндом, Маркусом Пейнадом и Брайаном Уиллманом – сотрудниками компании Microsoft.
Сегодня попытку войти снаружи осуществить не так просто, как раньше. Атаки контролируются (в большинстве случаев), многие уже построили SOC, и любое маломальское сканирование сети для них – инцидент мирового масштаба. Известен способ, применявшийся одним «исследователем безопасности» в начале 2000-х, который никак не мог справиться с задачей провести аудит и взломать банк снаружи. Тогда он изучил, куда «ходят» сотрудники банка в рабочее время (имея в виду чаты в Интернете), и выяснилось, что главный бухгалтер очень любит собак породы мопс. В то время существовал «вирусоиздатель» под названием «Сенна», который мог «склеивать» файлы .exe и файлы фотографий. Антивирусы ловили подобные склейки не всегда. Дальше дело техники: разместить фото мопсов в чате с описанием «ну они самые красивые» и ждать, пока главбух их скачает и запустит на рабочем компьютере. Это было довольно давно, и сейчас такой прием уже не сработает, но пример показывает, как можно достаточно легко обойти внешнюю защиту объекта, не проникая через нее напрямую.
Изнутри проникновение гораздо проще. Случается, USB-накопители специально подкидывают, чтобы «простой работник» обрадовался находке и стал использовать ее для себя. Внутренним злоумышленником может оказаться и недовольный работник, и специально внедренный «засланец». С учетом того, что системы типа DLP (программное обеспечение для защиты от утечек информации, контроля продуктивности сотрудников и управления событиями информационной безопасности) установлены (если установлены) только в корпоративной сети, вставленный накопитель с вирусом в технологической сети может остаться незамеченным.
Возможные решения
А вот теперь – об информационной безопасности MES. Как уже было отмечено, нельзя выделить уязвимость только MES без учета проблем в двух других уровнях – ERP и SCADA. Пойдем снизу вверх.
В одной из известных компаний я увидел простейший, с точки зрения безопасника, подход – шифрование всего трафика между компонентами MES и SCADA, с внедрением комплекса PKI. Многие могут сказать, что шифрование (обмен ключевым материалом) может замедлить работу системы, более того, нарушить в случае компрометации. Тем не менее такой подход существует в Европе.
Говоря о требованиях безопасности, нельзя не вспомнить приказ ФСТЭК РФ № 31 от 14 марта 2014 г. «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
В сфере защиты следует учитывать человеческую и техническую составляющие. Эксперты отмечают, что 80% проблем с безопасностью порождаются людьми. Их нужно подготавливать, обучать и проводить учения. Известная атака была зафиксирована в 2015 г., когда злоумышленники получили доступ к системам немецкого сталелитейного завода через корпоративную сеть. Фишинговое письмо было отправлено сотруднику, который открыл вредоносное вложение. И злоумышленники смогли проникнуть в определенный перечень систем, в том числе и MES. Необходимо определить политику паролей (лучше, чтобы смена была обязательна), обучить и потренировать сотрудников на работу с фишинговыми сайтами и письмами, кроме того, разрешить доступ только с доверенных устройств и геопозиционированием и т. д.
Эффективным направлением является применение двухфакторной аутентификации на основе карты рисков, Х.509, а также технологии GeoIP.
Необходимо установить последние обновления безопасности. Однако тут есть проблема. В мире существует разделение на ОТ-безопасность и ИT-безопасность. В технологической безопасности (ОТ Security) просто так поставить патчи нельзя, это не корпоративная сеть, когда на ваш ноутбук приходит обновление на Windows и система может и без вас уйти в перезагрузку. А если компьютер управляет добычей нефти? И он случайно перезагрузится? В этом основное отличие ОТ Security и IT Security и их подходов к обеспечению безопасности.
Правильной фичей для обеспечения безопасности является применение Jump Host с регулярным изменением адресации, что позволит исключить прямой доступ к управляемым элементам, а также внедрение SSO.
Заключение
Администратору безопасности необходимо знать, что включение всех функций безопасности может только ухудшить ее, поскольку усложнит работу персонала. Как вы думаете, что он будет делать? Конечно, либо отключать, либо обходить эти сложные функции. Вопросы безопасности MES, как и любого критического для бизнеса приложения, очень важны, но если не видеть целостной картины защиты (как и картины потенциального нападения), все усилия администратора информационной безопасности могут оказаться тщетными.
