Громкое дело
«2016 год. Декабрь. Среда. До нового года оставалось 8 дней. После небольшого похолодания в городе вновь потеплело. В диспетчерском центре управления энергосетями все было как обычно. Главный диспетчер — высокий, сухощавый, удивительно собранный, стоял в громадной диспетчерской у пульта управления и в мягком полумраке смотрел на сложно читаемую с первого взгляда схему на огромном экране. За годы работы было достаточно короткого взгляда, чтобы понять ситуацию.
«Через час необходимо заполнить отчет по проделанной работе и передать всю информацию следующей смене», - подумал он.
Диспетчер услышал, как сидящий за соседним столом напарник, его заместитель, отвечал на необычно странный телефонный звонок: «Нет-нет, мы ничего не выключали. Не понимаю, такого задание не было. Мы разберёмся, посмотрим, обязательно свяжемся с вами».
- Что произошло? - спросил он напарника.
- Входная подстанция с востока почему-то отключилась, - был ответ.
- Давай проверим.
Присев за стол, он взглянул на экраны и внезапно увидел, что мышь на мониторе двигается самостоятельно, переключаясь на все подстанции и самостоятельно отключает их от сети. Схватившись за мышь, он попробовал что-то сделать. Клавиатура и мышь не реагировали. Постепенно на его глазах все оказалось отключенным. В следующее мгновение зазвонили сразу несколько телефонов, завыл пронзительный сигнал аварийного предупреждения, регион погрузился в темноту, более двухсот тысяч жителей остались без электричества».
Последующее расследование подтвердило, что регион Ивано-Франковской области Украины был подвергнут изощренной кибератаке. Группа злоумышленников украла пароли для удаленного доступа к информационной системе с помощью фишинговой атаки. Хакеры получили доступ к управлению парольным доменом Windows сети, создали для себя новые учетные записи и предоставили новым учетным записям административные привилегии, включая доступ к оборудованию систем управления энергосетями. После этого подключились к оборудованию систем управления и наблюдали за работой диспетчеров, чтобы понять, что делают экранные формы и элементы управления. В финале они отключили диспетчерам доступ к управлению и полностью отключили всю энергосистему удаленно.
В 1980-х годах массовые кибератаки начались с подбора и взлома паролей. Последовательно кибератаки как инструмент воздействия эволюционировали в развитую и целенаправленную методологию, которая использует весь доступный инструментарий при подготовке и проведении атаки. Повсеместно используются элементы социального инжиниринга, поиска уязвимостей в рамках не только ИТ-инфраструктуры, но и уровень управления производственным процессом, включающего программируемые логические контроллеры, преобразователи протоколов, интеллектуальные приводы и датчики. При этом важно отметить актуальность подхода не создания и запуска собственных вредоносных программ, а поиска уязвимостей внутри используемых программных продуктов для систем управления и диспетчеризации - Living off the land, взлом существующего ПО организаций. К сожалению, этот подход становится весьма практичным и масштабируемым, так как после нахождения уязвимости появляется возможность взлома сотен других предприятий, использующих аналогичные системы.
В 2011 году аналитики Lockheed Martin предложили подход «Cyber Kill Chain», нацеленный на эффективное обнаружение противника и соответствующее реагирование. Модель была заимствована и адаптирована из военной концепции, впоследствии оказалась весьма успешной и популярной. В рамках данной концепции кибератака состоит из 2 основных этапов. Первый этап кибератаки – это сбор данных, направлен на систему управления, так называемый шпионаж, или разведывательная операция. Целью является получение данных о системе управления, изучение, получение механизмов для снятия защиты внутреннего периметра или получения доступа к производственной среде. Действия включают в себя стадии: планирования - исследование технических уязвимостей - уязвимость при эксплуатации - анализ и приоритизация целей - сопоставление необходимых действий для получения желаемых эффектов. Фаза кибервторжения сводится к получению начального доступа — это любая попытка, успешная или нет, получить доступ к сети и системе. При успешном кибервторжении злоумышленник переходит к следующей фазе - управлению и активизации. Задача этой стадии понять, насколько возможна успешная кибератака. При этом возможны достаточно большие временные лаги между первым и вторым этапами.
Второй этап начинается с разработки и настройки атаки, на котором злоумышленник разрабатывает и добавляет новые возможности воздействия на конкретную систему управления и получения желаемого воздействия. Следующей стадией является фаза проверки, с целью тестирования на аналогичных или идентично сконфигурированных системах с подтверждением ожидаемого воздействия. Последней фазой является атака, в ходе которой злоумышленник устанавливает или изменяет существующие функциональные возможности систем, а затем выполняет атаку на предприятие.
В большинстве случаев атакам подвергаются производственные объекты, критически важные с позиции безопасности и максимального воздействия на социум. Нефтегазовые объекты, опасные химические производства, производство и распределение электроэнергии, транспортная инфраструктура, производство продуктов питания, сооружения водоснабжения для населения, список внушительный...
К недавним случаям можно отнести атаку на месторождение Кашаган в 2017 с использованием вирусов WannaCry, Petya - к счастью, атака затронула только бизнес-инфраструктуру предприятия и была оперативно погашена.
Ввиду специфики, инциденты, связанные с кибератаками такого рода, зачастую сопровождаются физическим ущербом и смертельными случаями. По оценке Gartner, Inc., к 2024 ущерб от кибератак глобально приблизится к $50 млрд, причем в 75% случаев руководители будут персонально ответственны за последствия.
Проблема кибербезопасности на производстве требует комплексного и системного подход для эффективного противодействия существующим угрозам. Системность подразумевает разработку общеотраслевых стандартов, технологических решений, создание лучших практик, обмен знаниями, обучение. Это время для совместной работы сообщества профессионалов, занятых в разработке систем управления технологическими процессами, поставщиков оборудования и программного обеспечения, специалистов по кибербезопасности, топ-менеджмента производственных компаний для поиска ответа на общеотраслевые и глобальные вызовы.
Очевидно, что больше нет времени и возможностей не замечать угрозы, потому что темп цифровизации диктует свои правила, цифровая зрелость, цифровой иммунитет и проактивный подход – это и есть табло «выход есть».
Ержан Джанзаков, СЕО FACEPLATE
https://forbes.kz/process/technologies/kiberbezopasnost\_trend\_ili\_fundament\_tsifrovoy\_zrelosti/
Other articles
ENERGY AND MATERIAL BALAN...
Energy and material balance are crucial considerations in the mining industry, as they directly impact production processes, energy costs, and the ove...
ENERGY MANAGEMENT SYSTEM...
Energy Management System (EMS) plays a vital role in modern energy systems as it enables effective control and optimization of energy distribution. In...
ENHANCING EFFICIENCY AND...
In the oil and gas industry, repair planning and predictive maintenance have become crucial in ensuring the smooth operation of equipment and minimizi...
We look forward to hearing from you
and discussing how FACEPLATE can help you achieve your goals