Андрей Духвалов, Лаборатория Касперского: на промышленных предприятиях недооценивают проблему ИБ

Информационная безопасность промышленных объектов — это глобальный вопрос, на который обратили внимание по всему миру после нескольких масштабных кибератак. Эксперты бьют тревогу — безопасность критически важной инфраструктуры далека от идеальной, что ставит под угрозу не только деятельность различных промышленных предприятий, но и целые государства. Инциденты ИБ могут нанести большой ущерб и даже стать причиной техногенных катастроф. О том, как правильно выстраивать защиту АСУТП и как обстоят дела с инфобезопасностью в промышленности в странах СНГ, мы поговорили с Андреем Духваловым, руководителем управления перспективных технологий «Лаборатории Касперского».

— Андрей, сейчас все чаще поднимается вопрос важности инфозащиты АСУТП (автоматическая система управления технологическим процессом на предприятии). Почему сейчас актуально говорить об этом?

— Что такое АСУТП-объекты? Это комбинаты по производству электроэнергии, это железная дорога, трубопроводы по перекачке газа и нефти, портовые терминалы, — это очень значимые для экономики и экологии объекты. Их защита важна еще и с точки зрения предотвращения человеческих жертв. С другой стороны, информационные системы, которые применяются в системах АСУТП, на наш взгляд, не выдерживают никакой критики.

На нашей конференции я приводил пример, когда мы пригласили специалистов по информационной безопасности на соревнование. И знаете, что сказал победитель, когда мы попросили поделиться впечатлением, которое он получил в результате этого конкурса? — «Мы окунулись в девяностые». То есть, они, имея большой опыт исследования уязвимостей в информационных системах, увидели, насколько далеки решения по информационной безопасности в отрасли от текущих реалий — это 15-летнее отставание! Поэтому это так важно. С одной стороны, как я говорил, это ключевые объекты экономики, с другой стороны — АСУТП на этих объектах слабо защищены с точки зрения ИБ. И что еще плохо — в этой теме сейчас работает достаточно мало профессиональных специалистов.

— То есть, мы сейчас в «цифровой» эпохе, а предприятия, о которых вы говорили выше — в другой эпохе, предыдущей?

— Да, так и есть. Вообще, есть мифы, которые существуют в среде ИТ-специалистов. Например, один из них говорит о том, что, поскольку это важный объект, то он изолирован и ничего страшного с ним произойти не может. Здесь проблема в том, что некую физическую безопасность переносят на информационную среду. Когда-то это действительно было так, когда только появились первые системы АСУТП. А это было начало восьмидесятых годов прошлого века. И они реально были изолированы. Но сейчас бизнес требует другого — бизнесу нужно понимать то, что происходит на предприятии, и нужна возможность влиять на эти процессы. То есть, топ-менеджеру нужно знать, сколько сейчас продукции производится, управлять этим процессом. Иными словами, информационный поток от руководства проникает во многие технологические процессы предприятия. А раз такие каналы есть, то к ним может подключиться и кто-то другой. Понимаете, когда ставились задания на разработку подобных систем, такой вопрос вообще не стоял — не было такого понятия — киберпреступник.

— Расскажите, пожалуйста, подробнее об эксперименте по взлому макетов электрических подстанций, о котором вы упоминали.

— Мы проводим ежегодную конференцию в октябре и приглашаем на нее специалистов по АСУТП, по информационной безопасности, топ-менеджеров компаний, где имеются ключевые технологические объекты — сети распределения электроэнергии, нефтеперерабатывающие объекты, транспорт и т.д. В прошлом году мы сделали такой конкурс: вместе с нашими партнерами на тест взяли оборудование, которое применяется на силовых распределительных подстанциях мощностью 500 КВ (это уровень передачи между федеральными округами). Цель конкурса — предоставить специалистам в области ИБ реальную среду, в которой можно безопасно экспериментировать. Одним из важных условий было — все должно происходить на глазах у инженеров, которые управляют этими подстанциями. И еще одно условие — конкурсанты не знали, с каким объектом они будут работать. Была поставлена задача — проникнуть в сеть, получить достаточные права на управление, отключить максимальное количество защитных модулей, что в реальных условиях неизбежно привело бы к аварии. Мы выбрали средний по защищенности объект для эксперимента — то есть, мы максимально приблизили ситуацию к той, которая есть в реальности.

Первая команда справилась с задачей за три часа. И, отключив элементы безопасности, устроила короткое замыкание. А мы рассчитывали, что им потребуется на эту работу два дня...

— Возможно, они уже были знакомы с подобными объектами?

— Победители вообще ничего не знали об индустриальных сетях. Были, конечно, участники, знакомые с подобными объектами — но не конкретно с тем, который был представлен в ходе эксперимента. И они, кстати, не стали самыми успешными в конкурсе. Реакция инженеров была ожидаемой — некоторые из них тут же, увидев короткое замыкание, которое возникало каждые полчаса, звонили на объект и, узнав, что у них такие же блоки, буквально хватались за голову. Это к тому, что на предприятиях явно недооценивают проблему. Мы же помогли специалистам, инженерно-техническому персоналу увидеть ее. То, что они не знают о ней, не значит, что ее не существует.

Тут следует сказать, что мы часто инспектируем промышленные объекты. И удивительно то, что владельцы объектов не настолько хорошо знают свою АСУТП. Есть компьютер, вроде работает, и с ним ничего не происходит. Но это только видимая часть, а масса процессов может протекать скрытно. Мы со своим решением хотим сделать все эти скрытые процессы видимыми для управляющего персонала.

— Вы говорили о неких мифах, которые существуют в этой отрасли.

— Да, есть еще один: «Работает — не трогай». Это один из очень устойчивых мифов. Поэтому когда заходит разговор о каких-то моментах в области информационной безопасности, у инженеров включается этот миф. И понимая это, мы разрабатываем решение, которое не вмешивается в процессы, которые происходят на предприятии.

— А как это происходит на практике?

— Мы оперируем даже не с реальными данными, которые циркулируют в системе, а с их копией — через разнообразные маршрутизаторы и другие устройства, которые могут копировать информацию. Анализируем, визуализируем ее и предлагаем руководству предприятия. Здесь мы облегчаем принятие решений — специалисты могут видеть в режиме реального времени то, что происходит в сети.

— Если говорить в целом о ситуации на критически важных предприятиях постсоветского пространства — что, по вашему мнению, там происходит с точки зрения информационной безопасности?

— У нас большой опыт аудита подобных объектов. Во-первых, все объекты — уникальные. Несмотря на то, что многие из них внедрялись по типовому проекту, в процессе их жизни с ними происходили изменения. И эти изменения чаще всего присущи только конкретному объекту. То есть, за все эти годы система каждого предприятия стала уникальной. И в большинстве случаев владельцы этих предприятий не знают полную картину сети и происходящих в ней процессов. Но в 100% случаев мы обнаруживали уязвимости, дающие доступ к этим объектам извне! Это относится и к объектам в России, и к объектам в СНГ. Есть такие проблемы даже в США. Тут следует отметить, что тема относительно новая — первый «звоночек» появился в 2010 году — а поскольку система несколько инерционная, то и изменения в области ИБ на таких предприятиях происходят не сразу.

— Каковы тенденции касательно угроз для таких объектов? Видите ли вы растущий интерес со стороны хакеров к ним?

— Для хакеров это тоже довольно новое направление. Хотя все чаще и чаще вижу публикации на эту тему. Но целенаправленных движений со стороны «плохих» ребят в эту сторону пока не наблюдаю. С другой стороны, нужно понимать, что количество инцидентов растет. За 2015 год произошло около десятка случаев. И это только озвученные, то есть, ставшие публичными.

Есть еще момент идентификации инцидентов. Я считаю, что уровень квалификации специалистов на подобных объектах таков, что они просто не в состоянии выяснить их причину — часто они не способны точно определить, связана ли поломка с ошибкой в управлении, с браком, износом, либо это хакерская атака, либо это сбой в программном обеспечении. Именно поэтому статистика тут искажена, и ситуация намного хуже, чем выглядит.

Поскольку мы говорим о критических объектах — это все очень серьезно. Вы наверняка помните так называемый «блэкаут» в США, когда два штата и часть еще одного на три часа остались без электроэнергии. Позже выяснили, что причиной стали недостатки в программном обеспечении. Это очень красноречивый пример, показывающий всю серьезность ситуации. Сравните, например, нашумевшую банковскую атаку Carbanak, благодаря которой «увели» миллиард долларов. Но в ее результате нет жертв, нет экологических последствий. Ну, украли деньги. А вот не самая большая атака на газопровод может привести к взрыву, пожару, возможно, жертвам.

— А насколько интересны такие объекты для террористов?

— Террористические организации, да и криминал в целом, знают эти возможности — для них это возможности, а для нас проблема. Мы являемся консультантами для правоохранительных органов в разных странах. Голландская полиция, например, разрабатывала в рамках антинаркотической операции преступную группу, которая транспортировала наркотики в контейнерах с бананами. В порту, где происходила операция, есть автоматизированная система управления, все компьютеризировано — вплоть до кранов. Преступники наняли АСУТП-инженера, который внес изменения в программу, и нужные контейнеры ставили в ту зону, где таможенники их не проверяли — то есть, вне зоны таможенного досмотра. Или другой пример: есть нефтеперерабатывающий завод, отгрузка готовой продукции происходит в бензовозы. Злоумышленники «подкрутили» АСУТП и выставляли температуру на 5 градусов меньше, чем на самом деле. В итоге в машину наливали на 2% больше бензина, чем нужно. Появлялись излишки, которые проходили мимо отчетности. Разумеется, переконфигурировали систему знающие люди.

Все помнят относительно недавнюю ситуацию с веерным отключением электричества на Украине. Это, пожалуй, один из самых громких публично озвученных случаев в энергетической отрасли на постсоветском пространстве. Какие выводы следует сделать? Самый правильный вывод — признать, что это проблема, начинать какие-то действия, чтобы решить ее. Нужно сделать аудит, проанализировать угрозы, сделать анализ рисков. После должна идти речь о пилотном проекте и внедрении. И кто-то должен выделить на это деньги. В случае с крупными государственными объектами речь идет об угрозах для государства — и тут все сложнее и масштабнее.

— Вы уже видите, что дело сдвинулось с мертвой точки, на том же государственном уровне?

— Конечно, сдвиги происходят. Если мы говорим о критических объектах, то это становится не только головной болью бизнеса, но и госорганов. В России, например, появился документ, который определяет классы объектов по значимости, а также меры, которые должны принять руководители этих предприятий в части информационной безопасности. Всего 20 пунктов — от аутентификации пользователей, сегментации сети до антивирусов.

К сожалению, этот документ носит рекомендательный характер. С другой стороны, по словам представителя ФСБ, который присутствовал на нашей конференции в прошлом году, есть закон о халатности. То есть, если, допустим, произошел какой-то инцидент, и выяснится, что для его предупреждения не были предприняты все необходимые меры, то начинают говорить о халатности.

Мы и в Казахстане обсуждали подобные моменты, и интерес к теме довольно высокий. Ваша власть готова делать определенные шаги в этом направлении.