Информационная безопасность систем промышленной автоматизации
Сегодня, через СМИ поступает много информации о различных кибератаках на промышленных объектах и их последствиях для населения, журнал «ICT Magazine» поговорил об этом с академиком МАИН РК, руководителем по инновациям и технологическому развитию – Алексеем БИТЮЦКИМ
Расскажите кратко о себе и вашем опыте в промышленной автоматизации?
Опыт на производстве и предприятиях по созданию автоматизированных систем более 20-ти лет. Участвовал в различных рабочих группах по совершенствованию законодательства Казахстана, развитию и внедрению инноваций, занимаюсь научными проектами, был в составе научно-технического совета Комитета по делам строительства и жилищно-коммунального хозяйства. Реализовал научно-техническую программу в области ЖКХ, одобренную национальным научным советом и ВНТК при Правительстве Республики Казахстан по направлению «Интеллектуальный потенциал страны». За вклад в отрасль и профессионализм в 2021 году награжден ведомственным знаком Министерства цифрового развития и инновации «Үздік байланысшы», в 2022 году стал «Лучшим специалистом года» в сфере образования и науки.
Насколько важно уделять внимание информационной безопасности на производственных предприятий, имеющих системы промышленной автоматизации?
Информационная безопасность является критически важным аспектом для любого предприятия, в том числе и для производственных предприятий. Сегодня автоматизация и цифровизация охватывают все больше сфер нашей повседневной жизни, а также и процессы на предприятиях, т.е. как в песне Электроника в популярном в свое время фильме – «До чего дошёл прогресс – вкалывают роботы, а не человек», вот примерно это сейчас и происходит.
Что же касается промышленной автоматизации, то она включает в себя широкое использование систем автоматического управления, контроля и мониторинга за работой технологических процессов на предприятиях, например, таких как транспортировка и переработка нефти, выработка и распределение электроэнергии, производство тепловой энергии в котельных установках, розлив напитков и другие. Все эти процессы по умолчанию оснащены устройствами промышленной автоматики, так как без них качественный и безаварийный технологический процесс просто невозможен.
Отсутствие или недостаточное внимание к информационной безопасности на предприятиях может привести к серьезным последствиям, таким как банальная утечка конфиденциальной информации, простой на производстве или более серьезные повреждения, например, взрыв газа, поломка турбины на ТЭЦ, а также, как следствие – значительные финансовые потери. Кроме того, кибератаки на системы промышленной автоматизации могут стать источником угрозы безопасности для персонала, окружающей среды, а также привести к социальной напряженности в населенном пункте. Коммунальные предприятия и энергетика в соответствии с законодательством Республики Казахстан относятся к стратегическим важным объектам жизнеобеспечения, имеющим социально-экономическое значение для устойчивого развития казахстанского общества, нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера.
Приведите примеры нарушений информационной безопасности на производственных предприятий в мире и в Казахстане?
В целом, в мире ситуация с кибербезопасностью достаточно тревожна, в том числе на предприятиях, имеющих промышленную автоматизацию. Например, в Венесуэле в 2019 году произошло масштабное отключение электроэнергии, оно затронуло 21 штат из 23. Атака была направлена на автоматизированную систему управления (АСУ ТП) ГЭС «Эль-Гури».
В украинском городе Ивано-Франковск рассылка зараженных файлов в формате Word сотрудникам электросетевого предприятия позволила злоумышленникам получить пароли и коды доступа к инфраструктуре предприятия, с помощью которых они смогли удаленно проникнуть в систему диспетчерского контроля и управления, построенную на базе типовой SCADA системы. Все это позволило злоумышленникам произвести отключение 17 электроподстанций в декабре 2016 года.
В России в последние годы было несколько сообщений о крупных кибератаках, в том числе на элементы АСУТП энергетических и промышленных предприятий, но их последствия не раскрываются предприятиями и государственными службами.
В 2020 году, управление по обеспечению национальной кибербезопасности Израиля сообщило о предотвращении кибератаки на систему коммунального хозяйства государства.
В 2021 году в небольшом городе штата Флорида США злоумышленники, получив удаленный доступ к АСУТП, намеревались повысить концентрацию гидроксида натрия в воде более чем в 100 раз. Дежурный оператор, заметив изменения концентрации, приостановил работу технологической установки.
В Великобритании в 2023 году страховые компании начали впервые выпускать облигации на случай возможной кибератаки и ее последствий для предприятий.
В Казахстане нет каких-либо данных в открытом доступе по кибератакам на местные промышленные предприятия, но есть данные по информационно-коммуникационной инфраструктуре государственных органов от АО «Государственная техническая служба», которая специализированно занимается вопросами обеспечениях их безопасности. Исходя из их отчетов, в 1 и 2 квартале 2022 года была зафиксирована аномальная активность. Количество отраженных атак на сети государственных органов достигло свыше 28,5 млн. событий, где больше половины из них являлись угрозами критического уровня. В 2021 году в нашей стране было заблокировано порядка 82,3 млн. атак, более 1,4 млн из которых были направлены на информационные системы государственных органов, из них атаки на egov.kz составили более 15 тыс., в казахстанском сегменте интернета было зафиксировано порядка 120 тысяч DDoS-атак. В финансовом секторе Казахстана было произведено 109 кибератак высокого уровня критичности.
Если принять во внимание данные компании Kaspersky Industrial CyberSecurity, то в России в первом полугодии 2022 года хотя бы один раз вредоносное программное обеспечение было заблокировано на 30,2% промышленных компьютеров и устройств, в мире за тот же период процент атакованных компьютеров для промышленной автоматизации составлял порядка 31,8%, то исходя из этого можно судить о масштабах проблемы и в Казахстане, т.е. примерно 30-40% предприятий имели проблемы с информационной безопасностью.
Какие элементы или оборудование промышленной автоматизации наиболее уязвимы к кибератакам?
Как правило, это совершенно обычное промышленное оборудование, рабочие места операторов, SCADA системы, серверы автоматизированных систем, программируемые контроллеры, сетевые коммутаторы и другие устройства, которые обеспечивают управление и работу технологического оборудования предприятия, все они подвержены различным кибератакам. Например, достаточно распространённые в Казахстане промышленные преобразователи интерфейсов от компании Moxa, серия NPort IA5000A ранее имели уязвимости, позволяющие получить несанкционированный доступ к устройству. Компания в конце 2021 года выпустила обновление внутреннего программного обеспечения, позволяющее закрыть брешь в безопасности. Продукция известного бренда Advantech, ранее имела шесть уязвимостей, в том числе три критические, на контроллерном оборудовании и программном обеспечении для исполнения SCADA систем. Данные уязвимости позволяли злоумышленникам удаленно выполнить произвольный код и, впоследствии, нанести вред предприятию. Популярный Siemens так же не уступает своим коллегам по цеху. Базовые контроллеры серии Simatic S7-1200, которые массово применяются в Казахстане, в том числе в энергетике, имеют критическую уязвимость в обеспечении безопасности установления соединений и функциях аутентификации, что позволяет производить атаки, применяя механизм подделки запроса от устройства. Новая линейка программируемых контроллеров Simatic S7-1500 и модулей ET 200SP содержат уязвимость, с помощью которой злоумышленник может вызвать отказ в его обслуживании, путем отправки большого числа специально сформированных пакетов на устройство. В коммутаторах SCALANCE W1750D от Siemens атакующий имел возможность расшифровать TLS-трафик (протокол защиты транспортного уровня) промышленного предприятия и вызвать повреждения на предприятии. В 2023 году исследовательская группа OTORIO опубликовала отчет о наличии двух уязвимостей в Siemens Automation License Manager, которые позволяют осуществлять удаленное выполнение кода и повысить привилегии пользователя на программных системах, тем самым получить несанкционированный доступ к инфраструктуре АСУТП. Эта уязвимость затрагивает широко распространённые на предприятиях энергетики Казахстана программные продукты для АСУТП, таких как PCS 7 Historian, WinCC, TIA Portal, DIGSI, SICAM Device Manager и другие.
Подводя итоги, расскажите с чего начать ответственным лицам или руководителям на предприятиях, чтобы обеспечить информационную безопасность систем промышленной автоматизации?
Один из, наверное, универсальных ответов — это начать детально планировать информационную безопасность своей организации, с учетом требований законодательства Республики Казахстан, чтобы при реализации намеченных мероприятий обеспечить достижение поставленных целей и задач.
Основные этапы данной организационной работы могут состоять из следующих действий.
Сформируйте команду из специалистов вашего предприятия, связанных непосредственно с технологическими процессами, электроснабжением, связью и другими информационными системами, при необходимости привлеките внешних консультантов.
В команде сформируйте цели, задачи и ограничения будущего плана мероприятий с учетом их экономической целесообразности.
Составьте перечень и дайте оценку возможным угрозам информационной безопасности вашего предприятия, оцените возможные негативные последствия от несанкционированного доступа к ним.
Выделите технологическое оборудование, компоненты систем и сетей предприятия, включая АСУТП, программные системы и комплексы, внешняя атака на которые может привести к негативным последствиям. Проведите их детальную инвентаризацию, технический анализ, сгруппируйте и классифицируйте.
Сформируйте риски информационной безопасности, определив источники возможных угроз, способы их реализации злоумышленниками, а также возможные меры по смягчению последствий.
Используя ранее подготовленную информацию, необходимо разработать программу (план) мероприятий по обеспечению информационной безопасности предприятия.
Дальнейшая реализация плана мероприятий должна включать в себя обучение и всестороннее повышение осведомленности сотрудников о принимаемых мерах по информационной безопасности.
Кроме того, необходимо регулярно пересматривать и обновлять свои планы и программы безопасности, чтобы отражать изменения в технологиях, операциях, стандартах и правилах, а также потребности в безопасности конкретных объектов.
В заключение хотелось бы отметить необходимость особого внимания первых руководителей организаций к вопросам информационной безопасности, а именно в демонстрации четкой заинтересованности в реализации намеченных планов, взяв на контроль ход их исполнения, тем самым, будут обеспечены положительные результаты.