Громкое дело

«2016 год. Декабрь. Среда. До нового года оставалось 8 дней. После небольшого похолодания в городе вновь потеплело. В диспетчерском центре управления энергосетями все было как обычно. Главный диспетчер — высокий, сухощавый, удивительно собранный, стоял в громадной диспетчерской у пульта управления и в мягком полумраке смотрел на сложно читаемую с первого взгляда схему на огромном экране. За годы работы было достаточно короткого взгляда, чтобы понять ситуацию.
«Через час необходимо заполнить отчет по проделанной работе и передать всю информацию следующей смене», - подумал он.
Диспетчер услышал, как сидящий за соседним столом напарник, его заместитель, отвечал на необычно странный телефонный звонок: «Нет-нет, мы ничего не выключали. Не понимаю, такого задание не было. Мы разберёмся, посмотрим, обязательно свяжемся с вами».
- Что произошло? - спросил он напарника.
- Входная подстанция с востока почему-то отключилась, - был ответ.
- Давай проверим.
Присев за стол, он взглянул на экраны и внезапно увидел, что мышь на мониторе двигается самостоятельно, переключаясь на все подстанции и самостоятельно отключает их от сети. Схватившись за мышь, он попробовал что-то сделать. Клавиатура и мышь не реагировали. Постепенно на его глазах все оказалось отключенным. В следующее мгновение зазвонили сразу несколько телефонов, завыл пронзительный сигнал аварийного предупреждения, регион погрузился в темноту, более двухсот тысяч жителей остались без электричества».
Последующее расследование подтвердило, что регион Ивано-Франковской области Украины был подвергнут изощренной кибератаке. Группа злоумышленников украла пароли для удаленного доступа к информационной системе с помощью фишинговой атаки. Хакеры получили доступ к управлению парольным доменом Windows сети, создали для себя новые учетные записи и предоставили новым учетным записям административные привилегии, включая доступ к оборудованию систем управления энергосетями. После этого подключились к оборудованию систем управления и наблюдали за работой диспетчеров, чтобы понять, что делают экранные формы и элементы управления. В финале они отключили диспетчерам доступ к управлению и полностью отключили всю энергосистему удаленно.

Кибератака и вызовы

В 1980-х годах массовые кибератаки начались с подбора и взлома паролей. Последовательно кибератаки как инструмент воздействия эволюционировали в развитую и целенаправленную методологию, которая использует весь доступный инструментарий при подготовке и проведении атаки. Повсеместно используются элементы социального инжиниринга, поиска уязвимостей в рамках не только ИТ-инфраструктуры, но и уровень управления производственным процессом, включающего программируемые логические контроллеры, преобразователи протоколов, интеллектуальные приводы и датчики. При этом важно отметить актуальность подхода не создания и запуска собственных вредоносных программ, а поиска уязвимостей внутри используемых программных продуктов для систем управления и диспетчеризации - Living off the land, взлом существующего ПО организаций. К сожалению, этот подход становится весьма практичным и масштабируемым, так как после нахождения уязвимости появляется возможность взлома сотен других предприятий, использующих аналогичные системы.

В 2011 году аналитики Lockheed Martin предложили подход «Cyber Kill Chain», нацеленный на эффективное обнаружение противника и соответствующее реагирование. Модель была заимствована и адаптирована из военной концепции, впоследствии оказалась весьма успешной и популярной. В рамках данной концепции кибератака состоит из 2 основных этапов. Первый этап кибератаки – это сбор данных, направлен на систему управления, так называемый шпионаж, или разведывательная операция. Целью является получение данных о системе управления, изучение, получение механизмов для снятия защиты внутреннего периметра или получения доступа к производственной среде. Действия включают в себя стадии: планирования - исследование технических уязвимостей - уязвимость при эксплуатации - анализ и приоритизация целей - сопоставление необходимых действий для получения желаемых эффектов. Фаза кибервторжения сводится к получению начального доступа — это любая попытка, успешная или нет, получить доступ к сети и системе. При успешном кибервторжении злоумышленник переходит к следующей фазе - управлению и активизации. Задача этой стадии понять, насколько возможна успешная кибератака. При этом возможны достаточно большие временные лаги между первым и вторым этапами.
Второй этап начинается с разработки и настройки атаки, на котором злоумышленник разрабатывает и добавляет новые возможности воздействия на конкретную систему управления и получения желаемого воздействия. Следующей стадией является фаза проверки, с целью тестирования на аналогичных или идентично сконфигурированных системах с подтверждением ожидаемого воздействия. Последней фазой является атака, в ходе которой злоумышленник устанавливает или изменяет существующие функциональные возможности систем, а затем выполняет атаку на предприятие.

В большинстве случаев атакам подвергаются производственные объекты, критически важные с позиции безопасности и максимального воздействия на социум. Нефтегазовые объекты, опасные химические производства, производство и распределение электроэнергии, транспортная инфраструктура, производство продуктов питания, сооружения водоснабжения для населения, список внушительный...
К недавним случаям можно отнести атаку на месторождение Кашаган в 2017 с использованием вирусов WannaCry, Petya - к счастью, атака затронула только бизнес-инфраструктуру предприятия и была оперативно погашена.

Выход есть

Ввиду специфики, инциденты, связанные с кибератаками такого рода, зачастую сопровождаются физическим ущербом и смертельными случаями. По оценке Gartner, Inc., к 2024 ущерб от кибератак глобально приблизится к $50 млрд, причем в 75% случаев руководители будут персонально ответственны за последствия.
Проблема кибербезопасности на производстве требует комплексного и системного подход для эффективного противодействия существующим угрозам. Системность подразумевает разработку общеотраслевых стандартов, технологических решений, создание лучших практик, обмен знаниями, обучение. Это время для совместной работы сообщества профессионалов, занятых в разработке систем управления технологическими процессами, поставщиков оборудования и программного обеспечения, специалистов по кибербезопасности, топ-менеджмента производственных компаний для поиска ответа на общеотраслевые и глобальные вызовы.
Очевидно, что больше нет времени и возможностей не замечать угрозы, потому что темп цифровизации диктует свои правила, цифровая зрелость, цифровой иммунитет и проактивный подход – это и есть табло «выход есть».
Ержан Джанзаков, СЕО FACEPLATE

https://forbes.kz/process/technologies/kiberbezopasnost\_trend\_ili\_fundament\_tsifrovoy\_zrelosti/