Компании энергетического сектора РФ проходят сложный период формирования и усиления систем обеспечения кибербезопасности. Один из стимулов к этому — совершенствование вредоносных программ, которые все чаще избирают своей целью промышленные системы управления и целенаправленно создаются для причинения вреда генерации или электросетевому комплексу. Другой — ужесточающиеся требования государства к безопасности критической информационной инфраструктуры.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Червь чрезвычайных ситуаций
Проблема заключается в том, говорит Илья Шаленков, руководитель группы по оказанию услуг в области кибербезопасности и цифровой криминалистики КПМГ в России и СНГ, что масштаб последствий атак на эту отрасль может быть очень существенным. «Нарушение нормального хода процессов электрогенерации и/или электродистрибуции, являясь проблемой само по себе (вывод оборудования из нормального эксплуатационного режима, возможные взрывы с человеческими жертвами, затопление территорий и другие техногенные катастрофические последствия), далее может привести к последствиям за пределами отрасли,— говорит господин Шаленков.— Прерывание электроснабжения в сфере связи может парализовать почти все процессы в компаниях любого сектора, в сфере транспорта приведет к нарушению доступности как внутри мегаполисов, так и между различными городами, областями и регионами, а в таких отраслях, как медицина, вообще может привести к смертельным последствиям для людей».
«Когда мы говорим о корпоративных информационных технологиях, фокус в триаде кибербезопасности "конфиденциальность—доступность—целостность" отдается прежде всего сохранению конфиденциальности данных,— рассказывает Алексей Воронцов, руководитель консалтинговой практики в области информационной безопасности IBM Россия и СНГ.— Когда мы говорим о промышленных IT-решениях, в том числе в нефтегазовой отрасли и электроэнергетике, то приоритетным становится поддержание доступности и целостности объектов. Это общая черта для всех промышленных IT-решений». При этом, поясняет он, на высоком уровне киберугрозы похожи для всех отраслей. «С другой стороны, в каждой из предметных областей технологии и вендоры технологических решений зачастую заточены под потребности конкретной отрасли,— поясняет господин Воронцов.— И с точки зрения реализации механизмов защиты от угроз на уровне, например, конкретных уязвимостей в протоколах управления или в программных/аппаратных комплексах в каждой области будут своя специфика и свои уникальные проблемные точки».
Завлекательная автоматика
Наибольшую опасность для энергетического сектора представляет вредоносное ПО, разработанное для поражения автоматизированных систем управления технологическим процессом (АСУ ТП). Как правило, в общей массе выявленных вирусов это вредоносное ПО не основное. Как сообщала «Лаборатория Касперского» в своем исследовании угроз для систем промышленной автоматизации за первое полугодие, компания провела анализ актуальных угроз для энергетики по результатам обследования компьютеров в технологических сетях, используемых для конфигурирования, обслуживания и управления оборудованием систем генерации, передачи и распределения электроэнергии, а также систем управления объектами энергетики, на которых стоят продукты компании. Как выявила лаборатория, за полугодие антивирусные продукты компании сработали на 41,6% компьютеров АСУ в энергетике. Среди заблокированных значительная часть — неспециализированные под АСУ ТП вредоносные программы (майнеры, черви, многофункциональные шпионские программы и пр.), в том числе отдельно отмеченные AgentTesla, Meterpreter и Syswin.
«Если говорить об уязвимостях, то основные компоненты, уязвимости которых эксплуатируются хакерами,— это промышленное оборудование, системы АСУ ТП, различные контроллеры,— отмечает Илья Шаленков.— Сами уязвимости в общей массе весьма типичные: SQL-инъекции, внедрение вредоносных команд, раскрытие информации, небезопасная конфигурация оборудования, некорректная реализация контроля доступа и т. п. Распространена ситуация, когда устройства напрямую подключены к сети Интернет. Специализированные поисковые системы (например, Shodan, Censys) фиксируют более 200 тыс. компонентов АСУ ТП, которые доступны из глобальной сети, чему способствует распространение концепции IIoT (промышленного интернета вещей — Industrial Internet of Things) в различных отраслях, в том числе в электроэнергетике».
Существует множество примеров специализированных вредоносных программ, спроектированных непосредственно для причинения вреда энергосистеме. Мы рассмотрим наиболее известные из них.
Что зло имеет предложить
В 2010 году был обнаружен и описан червь Stuxnet, поражающий АСУ ТП и изначально созданный для воздействия на ядерную программу Ирана. Stuxnet поразил производство по обогащению урана в иранском городе Натанз, отключив 1368 центрифуг из 5000, и распространился по всему миру. Специалисты относят Stuxnet к кибероружию в силу высокой стоимости разработки и ориентированности на конкретную технологическую конфигурацию иранской площадки. Хотя Stuxnet впервые привлек к себе внимание в 2010 году, обнаруживались и более ранние и примитивные образцы.
Как сообщала в своем обзоре червя компания Symantec, он обладает возможностью поражать АСУ ТП, меняя код на программируемых логических контроллерах (ПЛК). Вредоносное ПО вмешивается в информационный поток между ПЛК Simatic S7 и рабочими станциями SCADA WinCC (все это — оборудование Siemens). По данным «Лаборатории Касперского», на закрытые объекты ядерной программы Ирана он попал через зараженные организации, с которыми эта программа взаимодействует,— трех вендоров промышленных систем, поставщика комплектующих и разработчика центрифуг.
Одним из старейших инструментов, впервые описанным в 2007 году, является троян BlackEnergy. С годами он эволюционировал из простого DDoS-трояна в сложное вредоносное ПО с компонентом, имеющим возможность заражать SCADA (появился в версии 2). ICS-CERT США указывало на уязвимость к BlackEnergy человеко-машинного интерфейса (ЧМИ) GE Cimplicity, Advantech/Broadwin WebAccess и Siemens WinCC. BlackEnergy 3, не затрагивавшая ЧМИ, но внедрявшаяся в SCADA, использовалась для атаки на оборудование «Прикарпатьеоблэнерго», оставившей Ивано-Франковск и половину области без света на несколько часов, а также других предприятий украинской энергетики 23 декабря 2015 года.
Следующим шагом эволюции является Industroyer, который позволяет контролировать устройства релейной защиты и автоматики (РЗА) на подстанциях. Этот сложный и высокоадаптивный инструмент стал первой вредоносной программой, разработанной непосредственно для атаки на электросетевой комплекс. 17 декабря 2016 года Industroyer вывел из строя на час энергоинфраструктуру Киева. Как сообщал в описании Industroyer Антон Черепанов из ESET, «те, кто стоит за Win32/Industroyer, имеют глубокое понимание промышленных систем управления, и в первую очередь промышленных протоколов и протоколов связи в электроэнергетике». «Более того,— продолжает он,— маловероятно, что кто бы то ни было мог написать и протестировать подобное ПО, не имея доступа к специализированному оборудованию, используемому в целевой промышленной среде».
Industroyer поддерживает четыре промышленных протокола, описанных в стандартах МЭК 60870–5–101 (протокол, предназначенный для передачи сигналов телемеханики в систему диспетчерского и автоматизированного технологического управления электроэнергетическими объектами (АСТУ) по сетям передачи данных RS-232/485), МЭК 60870–5–104 (то же самое по протоколу TCP/IP), МЭК-61850 (сети и системы связи на подстанциях) и OLE for Process Control Data Access (OPC DA) — интерфейс для управления обменом данными в реальном времени с различными системами управления производственными процессами. Также создатели Industroyer заложили в него инструмент для осуществления DoS-атаки по конкретной линейке цифровых устройств релейной защиты — Siemens Siprotec.
Плодится и усложняется
Эволюция вредоносного ПО продолжается, потенциальный размах причиняемого ущерба растет. В 2017 году на нефтехимическое производство в Саудовской Аравии была проведена атака при помощи вируса Triton, поражающего систему противоаварийной защиты Triconex компании Schneider Electric и маскирующегося под легальное ПО. Отличительной особенностью конкретного применения было создание аварийной обстановки, прямо угрожающей жизни людей.
В марте 2019 года DoS-атака вызвала сбой в работе электростанции, зарегистрированный Западным координационным советом по вопросам электричества (Western Electricity Coordinating Council), которому подведомственна энергосистема ряда районов штатов Калифорния, Юта и Вайоминг. В конце октября Индия признала факт атаки хакерской группировки Lazarus на инфраструктуру АЭС «Куданкулам». Впрочем, Nuclear Power Corporation of India Limited объявила, что хотя в административной сети были обнаружены вредоносные программы, она была «изолирована от критической внутренней системы». Троян Dtrack, проникший в систему, мог использоваться как для целей шпионажа, так и в качестве носителя других вредоносных программ. А буквально в минувшую пятницу мэрия Нового Орлеана ввела в городе режим ЧС из-за кибератаки на муниципальную сеть.
«Несмотря на то что сфера электроэнергетики не является самой близкой к живым деньгам, как, например, банковская сфера, внимание хакеров к этой области из года в год растет и киберинциденты в ней происходят все чаще,— говорит Илья Шаленков.— В последние пять-семь лет появилось несколько хакерских группировок, специализирующихся на ней (например, APT33 — Elfin Team, APT34 — Helix Kitten, Berserk Bear), что свидетельствует о повышении интереса к этой отрасли. В нашей стране она не является самой IT-зависимой, однако усложнение технологий в ней происходит достаточно быстро, чему нельзя не уделять повышенное внимание с точки зрения кибербезопасности и киберустойчивости».
Нужно понимать, отмечает господин Шаленков, что мотивация атакующих отрасль электроэнергетики отличается от мотивации обычных хакеров, которых интересует в первую очередь быстрая монетизация своих усилий: «Профиль хакеров, орудующих в этой отрасли, в основном такой — это либо кибертеррористы, либо хактивисты. При этом они могут быть state-sponsored, если речь идет о причинении вреда со стороны одних государств другим. Порог входа для злоумышленников в этой отрасли существенно выше: используется сложное специализированное оборудование и программное обеспечение, что требует от хакеров существенно больших затрат как времени, так и материальных ресурсов».
Вместе с тем актуальной остается проблема эволюционного отставания, вызванного стандартизированностью и зарегулированностью, систем обмена данными в промышленной среде от вредоносного ПО. Как замечал в 2017 году руководитель отдела кибербезопасности АСУ ТП «ДиалогНаука» Дмитрий Ярушевский, на турнире по кибербезопасности «Лаборатории Касперского» по взлому цифровой подстанции в 2015 году и по дестабилизации энергоснабжения города в 2016-м большинству участников было менее 25 лет, опыта работы в электроэнергетике и глубоких познаний в области АСУ ТП и РЗА они не имели, однако задачи решили успешно. В 2017 году молодым участникам турнира понадобилось менее семи часов, чтобы с нуля взломать цифровую подстанцию НПЗ. На то, чтобы проникнуть в технологическую сеть предприятия, победителю, по оценкам жюри, не хватило 10–15 минут.
Энергетический отклик
Одновременно с необходимостью совершенствовать свои системы информационной безопасности с целью ответа на вызовы непрерывно эволюционирующих киберугроз компании энергосектора РФ сталкиваются со все ужесточающимися требованиями законодательства в сфере кибербезопасности. Именно из-за масштабности возможных последствий государства относят сферу энергетики к критически важной, а информационную инфраструктуру, задействованную в функционировании этих сфер,— к критической информационной инфраструктуре, поясняет Илья Шаленков. «Законодательство в этой части некоторое время назад начало активно развиваться в нашей стране, что показывает серьезное отношение к проблематике на уровне государства»,— заключает он.
Вступивший в силу 1 января 2018 года закон о безопасности критической информационной инфраструктуры (КИИ, 187-ФЗ) требует от компаний провести категорирование объектов КИИ, проанализировав уязвимости и оценив потенциальный ущерб от киберинцидентов. Также субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать туда данные об инцидентах. С начала года, говорил в середине ноября замначальника Центра ФСБ Игорь Качалин, Национальный координационный центр по компьютерным инцидентам выявил 3 тыс. инцидентов. После категорирования компаниям нужно будет принять целый комплекс мер, оговоренных ФСТЭК, связанных с обеспечением информационной безопасности значимых объектов КИИ — это следует сделать до 2022 года.
Эти сроки могут вызвать затруднения у компаний энергетического сектора, в силу того что на рынке, как правило, работают очень крупные структуры. «Вне зависимости от масштаба субъекта КИИ есть сроки, которые обозначены регулятором и поддержаны Минэнерго, в которые от нас ожидают, что мы приведем все свои значимые объекты КИИ к требованиям ФСТЭК,— говорил на конференции "Промышленная кибербезопасность-2019" замначальника отдела АСЗИ "Транснефти" Дмитрий Ли.— Это немного пугает ввиду того, что сроки достаточно сжатые. Потому что, по нашей оценке, это потребует существенных инвестиций: и финансовых, и временных. Нужно подходить дифференцированно». Впрочем, директор департамента оперативного контроля и управления в электроэнергетике Минэнерго Евгений Грабчак ответил, что если компании не будут успевать, то сроки будут скорректированы.
Одна из существенных проблем для энергетики — дистанционный мониторинг оборудования. ФСТЭК и ФСБ считают, что возможность дистанционного получения первичных данных о функционировании объектов критической инфраструктуры из-за рубежа должна быть исключена. Однако зачастую контракты на поставку оборудования и систем управления предполагают удаленный мониторинг со стороны производителя, и отказ в исполнении этих обязательств может неблагоприятно сказаться на покупателе. Самим же производителям необходимо получение первичных данных для совершенствования оборудования.
В августе вступил в силу приказ Минэнерго №1015, который требует от производителей оборудования перенести всю обработку первичных данных на территорию России. «Позиция в приказе четко обозначена: мы не собираемся и не собирались спорить с уважаемыми органами ФСТЭК и ФСБ,— пояснял Евгений Грабчак.— Мы не хотели бы, чтобы системы онлайн-мониторинга из-за рубежа могли каким-то образом отслеживать первичные данные. Поэтому выдвинули предложение создавать ЦОД на территории РФ и иметь возможность с этими первичными данными работать. Более того, мы очень долго дискутировали и дали большой лаг по времени, чтобы зарубежные компании-поставщики могли к этому подготовиться. Если приказ был выпущен около полутора лет назад, в августе он вступил в силу. Сначала это воспринималось в штыки, но сейчас по крайней мере то, что связано с газовыми турбинами, и для нас представляло собой довольно чувствительную ситуацию, и Siemens, и GE свои центры обработки первичных данных разместили в РФ». При этом господин Грабчак добавил, что из-за рубежа допускается проводить мониторинг предобработанных деперсонализированных данных для сбора статистики.
Лечение и профилактика
«Конечно, значимость кибербезопасности растет,— говорит директор по информационным технологиям ПАО "Т Плюс" Александр Антонов.— Немаловажным показателем является вступление в силу ФЗ "О безопасности КИИ РФ"». Инциденты, происшедшие в мире с энергокомпаниями, подтверждают уязвимость инфраструктуры и технологических систем, отмечает менеджер, и это нельзя не принимать во внимание. «Для снижения рисков в области информационной безопасности кроме использования базовых систем, проведения организационно-технических мероприятий выполняются специализированные проекты, направленные на повышение защищенности как технологического, так и корпоративного информационных сегментов,— рассказывает господин Антонов.— Немаловажное значение уделяется повышению грамотности персонала».
С целью предотвращения угроз для критической инфраструктуры энергетические компании разрабатывают и предлагают системы комплексной безопасности и оперативного реагирования, такие как SOC-центры (Security Operations Center, центр управления инцидентами в сфере информационной безопасности) или центры оперативного реагирования на инциденты информационной безопасности (ЦОР), говорит Алексей Воронцов. «ЦОР по своей сути — это не технологическое решение, в отличие от SIEM-системы,— поясняет эксперт.— Напомним, что SIEM (Security information and event management, мониторинг информации и событий в сфере безопасности) обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM-система представлена приложениями, приборами или услугами и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными». С точки зрения бизнес-процессов, рассказывает господин Воронцов, ЦОР — это ранняя идентификация и быстрое разрешение инцидентов до того, как данные инциденты окажут влияние на инфраструктуру компании; устранение инцидентов до момента нанесения ими значительного ущерба компании как прямого, так и опосредованного, например в виде репутационных потерь; как следствие — минимизация финансовых потерь, в том числе связанных с введением нового поколения сервисов и услуг.
И репутационный, и финансовый ущербы, и угрозы для жизни и здоровья сотрудников — это те проблемы, которые волнуют в разрезе возможных кибератак, нарушающих технологические процессы, и сами компании. Как следует из отчета «Кибербезопасность систем промышленной автоматизации в 2019 году», подготовленного консалтинговой группой ARC Advisory Group для «Лаборатории Касперского», 80% опрошенных компаний считают, что кибербезопасность технологических процессов имеет высокий приоритет, около 70% компаний считают вероятной атаку на их инфраструктуру АСУ ТП. По важности последствий киберинцидента, связанного с АСУ ТП, респонденты в первую очередь отмечали здоровье и безопасность своих сотрудников (78%), а также потенциальный ущерб качеству продукции и оказываемых услуг (77%) в наихудшем сценарии. Потеря доверия клиентов (63%) и возможный ущерб оборудованию (52%) также вызывают серьезное беспокойство, отмечается в отчете.
Чем сложнее ландшафт используемых энергетическими компаниями систем, тем более комплексным становится вопрос обеспечения кибербезопасности, полагает Алексей Воронцов: «Компании в энергетике уже приступают к использованию когнитивных систем, систем с элементами искусственного интеллекта, которые автоматически принимают решения на основе алгоритмов для распределенных (мультиагентных) систем. Мы переходим от "умной" системы управления критической инфраструктурой к "более умной" и далее к "самой умной". Но как минимизировать угрозы асинхронного принятия решений, влияющих на кибербезопасность, когда, например, система рекомендует решение, которое на локальном уровне может быть корректным, но может привести к уязвимостям на уровне взаимодействия систем? Например, при атаке на один из узлов трансформаторной подстанции распределительной сети система безопасности может рекомендовать временное блокирование этого узла, что, в свою очередь, может привести к перегрузке всей сети и, как следствие, веерному отключению по всей системе. Что и может быть целью злоумышленников».
К примеру, рассказывает Алексей Воронцов, не так давно подразделение IBM X-Force Red показало на практике, как злоумышленник может воспользоваться уязвимостью на уровне «умных» счетчиков потребления электричества, расположенных у потребителя, для распространения данной атаки на уровень инфраструктуры электросетевой компании. «Поэтому с точки зрения обеспечения кибербезопасности необходимо рассматривать не только безопасность отдельных систем, узлов, элементов, но и практики взаимодействия функционирующих систем класса SCADA, MES, ERP, BI и так далее друг с другом»,— говорит он. Эксперт добавляет, что для получения наибольшего эффекта от комплексных решений на стыке физической и кибербезопасности рекомендуется, например, расширить возможности сотрудников служб физической безопасности инфраструктуры средствами интеллектуального видеораспознавания, соединенными с системами кибербезопасности.
С учетом растущей автоматизации и цифровизации отрасли вопросам безопасности АСУ ТП и сопутствующих компонент необходимо уделять особое внимание, полагает Илья Шаленков, а это значит «регулярно выполнять анализ безопасности компонентов используемых систем, внедрять дополнительные средства защиты от возможных сетевых атак, заниматься повышением осведомленности сотрудников в вопросах информационной безопасности».