El público se ve regularmente perturbado por informes de ciberataques a empresas industriales en diferentes países. Los reguladores rusos requieren la protección de las instalaciones críticas para el funcionamiento de la economía.
Estamos publicando una entrevista con Vladimir Karantaev, jefe del grupo de trabajo CIGRE sobre temas de seguridad cibernética (Implementación de centros de operaciones de seguridad en la industria de la energía eléctrica como parte del sistema de conciencia situacional), jefe de la dirección de seguridad cibernética de ICS TP de Rostelecom Solar, sobre las tendencias en los ataques a los segmentos de ICS TA, problemas arquitectónicos en la seguridad de la Internet industrial de las cosas, el programa de Economía Digital y los pasos necesarios para proteger a las empresas industriales de las amenazas cibernéticas.
- Por lo general, una conversación con un especialista en el campo de la seguridad de la información comienza con "historias de miedo" que excitan la imaginación de la gente común. Cuéntanos tu actitud ante los eventos más llamativos de este tipo relacionados con las empresas industriales.
- Sí, a la prensa le gusta discutir historias de alto perfil de ciberataques. Esta es probablemente la primera vez que se habla de ataques cibernéticos dirigidos contra instalaciones industriales en relación con el virus Stuxnet. Todavía se cita a menudo como un ejemplo, aunque han pasado más de 10 años desde el incidente, y se han escrito varios libros al respecto. De los casos más recientes, el malware Industroyer, que provocó apagones masivos en Ucrania a fines de 2015, y Triton, que fue descubierto en una planta petroquímica en Arabia Saudita en el verano de 2017.
Veo cierta tendencia detrás de estos eventos. Según diversas estimaciones, no se desarrollaron más de 5 tipos de software malicioso especializado específicamente para ataques a sistemas automatizados de control de procesos, de los cuales solo 3 estaban destinados directamente a interrumpir el proceso. Y luego apareció Tritón: un ataque, cuyo objetivo final es la aparición de consecuencias físicas para el funcionamiento de las instalaciones de producción peligrosa (OPO), es decir. desencadenante de los llamados riesgos de HSE, cuya evaluación en los últimos años se ha incluido en la práctica de gestión de organizaciones de beneficio público. Este caso es fundamentalmente diferente de lo que era antes. En mi opinión, Triton ha llevado las amenazas de seguridad cibernética de ICS a la próxima ronda de desarrollo.
El virus Triton se centró en un tipo específico de sistema automatizado: la protección de emergencia (PAZ), que es la "última frontera" de la operación segura del HOP. Hoy, las PAZ admiten la configuración remota desde estaciones de trabajo a través de la red, y este fue el ataque. Su objetivo final era reemplazar el proceso legítimo de configuración del controlador PAZ con la capacidad de ajustar su configuración. Esto fue facilitado, en particular, por el hecho de que ni el software de configuración ni el protocolo de red proporcionaban medidas de seguridad. Esto a pesar del hecho de que, a nivel de documentación reglamentaria y técnica, las medidas de ciberseguridad se describieron en 2013. Si el ataque tuvo éxito, lo más probable es que conduzca a consecuencias físicas para la empresa.
- ¿Podría la empresa tomar medidas de protección?
- Sí, una empresa que opera un controlador PAZ podría tomar ciertas medidas: usar el endurecimiento del sistema operativo en AWS con software de ingeniería, organizar e implementar medidas para la identificación y autenticación, monitorear sistemas y procesos críticos de este tipo de AWS utilizando SOC. La peculiaridad es que la llave de hardware del controlador PAZ por alguna razón estaba en una posición que permitía la programación y la configuración. Era posible y necesario aplicar medidas organizativas que regulen el uso de dicho régimen durante la operación.
Vale la pena señalar que el fabricante de sistemas puede tomar una gama mucho más amplia de medidas. Por ejemplo, implementar y usar un sistema operativo confiable, un protocolo seguro, proporcionar mecanismos para identificar y autenticar sujetos y objetos de acceso tanto a nivel de personas como a nivel de procesos, proporcionar confianza durante la configuración, etc.
Schneider Electric, el controlador de este fabricante estaba operando en la planta afectada, asumió las modificaciones correspondientes de sus productos. Sin embargo, este no es un negocio rápido, y es malo que observemos la naturaleza precedente de las acciones, porque las consecuencias de incluso un ataque exitoso pueden ser catastróficas. Necesitamos pensar en medidas preventivas para responder a amenazas y riesgos.
- ¿Alguien en el mundo piensa de manera proactiva?
- Se están llevando a cabo procesos serios para crear las tecnologías industriales del futuro: la iniciativa Industria 4.0 en Alemania, que, según los autores, debería ayudar al mundo a avanzar hacia una nueva estructura tecnológica. Iniciativa estadounidense de Internet industrial de las cosas (IIoT): se basa en una idea similar, pero abarca más sectores de la economía. Programas nacionales de este tipo aparecieron en China, Japón.
Obviamente, cualquier país que se considere un jugador serio en la arena mundial debe responder a tales desafíos y formar su propia agenda nacional. Con nosotros, ha tomado la forma del programa estatal Economía Digital.
- ¿Crees que nuestra economía digital es un proyecto a escala IIoT en los Estados Unidos?
- Esto es asi. De hecho, en los últimos 7–8 años, hemos estado observando cómo la lucha estratégica global por el liderazgo tecnológico se está intensificando en el espacio internacional, lo que determinará los conceptos y enfoques dominantes para los próximos 30–50 años. El resultado de esta lucha se reduce, en esencia, a la transformación de los modelos de negocio, que, a su vez, se basan en un conjunto específico de tecnologías. En nuestros documentos rusos se llamaron tecnologías de extremo a extremo.
En realidad, la base de la economía digital es un cierto conjunto de tecnologías, incluidas aquellas que aumentan la eficiencia de las empresas industriales en diferentes industrias a través de la automatización (o digitalización). Por el momento, la base de esta automatización son los sistemas automáticos de control de procesos, cuya implementación comenzó en la Unión Soviética en los años 70 del siglo pasado. Luego aparecieron los primeros controladores lógicos programables, que proporcionaron un incentivo serio para el desarrollo de la industria en los países desarrollados. Y hoy nos estamos acercando al hito más allá del cual comienza la siguiente etapa de rápido crecimiento global, y es probable que su base sea un conjunto de tecnologías llamadas Internet industrial o Internet de las cosas industrial.
- ¿No se trata de Internet público?
- IoT generalmente cubre dos áreas: el usuario (o consumidor) de Internet de las cosas, en el que aparecen varios dispositivos enchufables para uso médico: para fines médicos, fitness, etc., e IIoT industrial: un conjunto de tecnologías que aumentará la eficiencia de las empresas ahora y en un futuro cercano Estamos hablando de ellos, de aquellas tecnologías que deberían conducir a una mayor eficiencia en el funcionamiento de empresas, industrias y la economía nacional en general. Los parámetros de esta eficiencia estarán determinados por un conjunto de tecnologías (la Unión Internacional de Telecomunicaciones las llama infocomunicación) que se utilizarán para organizar la interacción de elementos u objetos dentro de la infraestructura o entre diferentes infraestructuras.
- La tarea es a gran escala. ¿Cómo está progresando en términos de tecnologías de automatización industrial en comparación con, por ejemplo, IIoT?- En cuanto a IIoT, el Consorcio Internacional de Internet (CII) se dedica al desarrollo del concepto. Su propósito es ayudar a acelerar la transformación digital de las empresas y las economías nacionales, en particular, promoviendo las mejores prácticas. Crean documentos de nivel doctrinal, aparecen los primeros documentos de la clase de papel blanco, es decir, documentos técnicos que explican tecnologías específicas para esos especialistas, por ejemplo, desarrolladores de sistemas de aplicaciones. Dado que la ciberseguridad es un tema clave para los sistemas industriales, las tecnologías relevantes deben verse como transversales, impregnando todos los procesos y niveles. En este sentido, se están desarrollando nuevos enfoques para la seguridad de los sistemas industriales de Internet.
- ¿Cómo está progresando el trabajo sobre tecnologías de automatización industrial del futuro en las estructuras rusas?- Existen grupos de trabajo especiales, que incluyen, entre otros, expertos de Rostelecom Solar, que forman la agenda para el desarrollo de estas tecnologías, en particular, sobre la ciberseguridad de los sistemas ciberfísicos y los sistemas industriales de Internet. Existe un entendimiento común de que los objetos de protección actuales son los procesos de interacción de elementos tanto dentro de la empresa, por ejemplo, a nivel del sistema de control industrial, como entre empresas, por ejemplo, dentro de explotaciones integradas verticalmente o incluso entre explotaciones. Esto, a su vez, implica la transformación de los modelos de negocio.
Aquí es extremadamente importante que tales transformaciones requieran una integración muy profunda de los procesos tecnológicos y comerciales entre empresas de la misma industria o incluso industrias diferentes. Esto permitirá a las empresas crear y comercializar rápidamente nuevos productos más personalizados desde el punto de vista del público objetivo. Esto significa que las tecnologías que ya se utilizan ampliamente en las empresas modernas estarán aún más extendidas. En otras palabras, será un conjunto de varios protocolos de telecomunicaciones: desde protocolos de bajo nivel hasta protocolos que interactuarán entre sistemas automatizados o robóticos que forman los sistemas ciberfísicos. Y, además, habrá una variedad de tecnologías de información: una combinación de software aplicado y de todo el sistema. Hay un riesgo en esto.
- El riesgo de cometer un error con la elección de la tecnología?- Dado que Internet industrial es una combinación de tecnologías de información y comunicación que impregna todo el sistema de arriba a abajo: desde un sensor inteligente hasta un sistema que controla el proceso tecnológico o emite una tarea específica o hace un pronóstico, el tema de la ciberseguridad es transversal. En este sentido, los métodos de seguridad deberían estar presentes en el desarrollo de nuevas tecnologías inicialmente, incluso a nivel de formación de requisitos. Deben aplicarse tanto al sistema en su conjunto como a las tecnologías en las que se implementa este sistema.
Naturalmente, en diferentes industrias estos sistemas tienen y tendrán sus propios detalles. En la industria de la energía eléctrica, por ejemplo, incluso el término "Internet industrial" no ha echado raíces, hablan de tecnologías Smart Grid o una red adaptativa activa, aunque la tarea es generalmente la misma: un sensor inteligente, por ejemplo, un transformador de corriente, voltaje, es el mismo sistema nivel superior Lo mismo ocurre con el petróleo y el gas: desde un sensor inteligente de nivel de presión y otros sensores hasta un sistema de soporte de decisiones. La ciberseguridad es un conjunto de tecnologías y métodos de extremo a extremo que deberían garantizar el funcionamiento sostenible de los sistemas ciberfísicos.
Sin embargo, en el programa de Economía Digital, me parece que este componente serio del desarrollo de tecnologías futuras prácticamente no se reflejó, y de hecho estamos hablando de la seguridad de los sistemas industriales. Esta dirección se asigna en un grupo separado, pero es necesario, es absolutamente necesario, que el tema de la ciberseguridad esté presente en cada grupo de trabajo, en cada vertical, donde se discuten las tecnologías transversales. Siempre abogamos por esto y esperamos que nos escuchen.
- ¿Por qué no es suficiente tratar los problemas de seguridad como un equipo separado, por así decirlo, puramente profesional?- El hecho es que estamos hablando de un sistema de intercambio de datos multinivel muy complejo. Como dije, es necesario formular requisitos técnicos para la ciberseguridad tanto para todo el sistema como para sus elementos. Pero eso no es todo. Debemos formular tales requisitos de ciberseguridad que se basen en un modelo de amenaza adecuado y un modelo de intrusos para elementos y sistemas. Está claro que estas tareas se pueden realizar con la calidad adecuada, solo trabajando en grupos temáticos de manera continua. El desarrollo de una propuesta integral de ciberseguridad IIoT es posible a través de asociaciones de ecosistemas establecidas.
Si estas características específicas no se establecen incluso en la etapa de formación de la hoja de ruta de la economía digital, no se realizará el trabajo correspondiente. Y si no formulamos los requisitos básicos para los elementos del sistema y el sistema de Economía Digital en su conjunto, entonces no habrá requisitos para las tecnologías que deberían aparecer: tecnologías de protección por microprocesador, protocolos seguros, protección de chips ASIC personalizados, otros chips, basados en el sistema cristal, etc.
- ¿Cuál es la principal amenaza cibernética actual para los sistemas de control industrial? ¿Ataques dirigidos como Tritón?
- Las estadísticas muestran que hoy en día, los ICS están bastante integrados con los sistemas de nivel superior (sistemas de despacho SCADA o sistemas de control de talleres MES), lo que respalda el intercambio de datos bidireccional intensivo y el nivel de medidas de protección, tanto organizativas como técnicas, a nivel de ICS a menudo bastante bajo.
Y esto es lo importante: en términos de los cinco niveles de sistemas empresariales, en los últimos años, en los niveles superiores, se han dedicado a la seguridad como mínimo, pero en los niveles inferiores, no han hecho nada en absoluto. En tal situación, la integración de niveles claramente conduce a mayores riesgos. La amenaza para la operación continua de la planta no es solo los ataques dirigidos, sino también cualquier otro incidente informático, incluidos los ciberataques masivos no específicos como WannaCry y Petya. Se han observado casos de infección de empresas industriales con estos virus: inicialmente, el ataque, muy probablemente, no estaba dirigido a ICS, pero accidentalmente cayó en la infraestructura.
De hecho, a menudo en las empresas no hay control de flujo de información, como tampoco hay actualizaciones de seguridad actuales. No hay procesos construidos para responder a esta situación. Si en algún lugar al nivel de los sistemas corporativos ha comenzado un ataque masivo de WannaCry, puede pasar fácilmente al nivel de los sistemas de control industrial y "vivirá" en esta estructura. En términos relativos, un malware que implementa un ataque de denegación de servicio durante una infección masiva de un sistema de control de proceso automatizado puede tener un efecto en el proceso en sí. Desafortunadamente, no todas las empresas son conscientes de este riesgo. A menudo se tranquilizan con el pensamiento: "Como objeto de un ataque dirigido, no estoy interesado en nadie, lo que significa que no tengo problemas con la ciberseguridad de la producción". Pero esto no es así.
El principal problema de hoy es, en mi opinión, que la Internet industrial del futuro, entendida como una combinación de tecnologías, inicialmente tiene una vulnerabilidad grave: los protocolos modernos de telecomunicaciones, el software y el hardware de diferentes niveles utilizados para crear sistemas críticos no están inicialmente protegidos contra la exposición. ataques informáticos contra ellos.
- ¿Es esto un problema para todas las industrias?- Todos Hoy en día, existe una clara tendencia a unificar y utilizar tecnologías del mundo de TI en los sistemas ICS: equipos de conmutación, una pila de protocolos de telecomunicaciones. Tomemos, por ejemplo, la electricidad. Las subestaciones digitales usan protocolos basados en la pila TCP / IP. Y el hecho de que TCP / IP es inicialmente vulnerable a ataques informáticos es conocido por cualquier especialista novato en seguridad de la información. En todos los sectores, los sistemas operativos de propósito general son ampliamente utilizados, que tienen una gran cantidad de vulnerabilidades identificadas regularmente, y los detalles de la explotación en las empresas industriales no permiten que se cierren rápidamente. Lo mismo se aplica a los sistemas operativos integrados. Los sistemas SCADA de control de supervisión trabajan en los niveles superiores del sistema automatizado de control de procesos; de hecho, las estaciones de trabajo y servidores normales bajo el control de un sistema operativo de propósito general.
- ¿Puedes estimar el volumen de la introducción de nuevas tecnologías?- Tome la industria de la energía eléctrica: ya se ha anunciado un programa de transformación digital en la industria. Y en nuestro país en este momento solo hay cinco subestaciones digitales. Cinco! Pero en 10 años, se deben crear cientos de miles. Esto no es un juego de palabras, es una realidad, un nuevo "plan GOELRO" real. Si estas decisiones mecanografiadas del futuro no se elaboran cuidadosamente desde el punto de vista de la ciberseguridad, ciertamente aparecerán, pero ¿de qué forma?
Por lo tanto, estoy seguro: si no formulamos requisitos del sistema para la ciberseguridad en la etapa actual, esto se convertirá en un factor limitante para la aparición de tecnologías de seguridad efectivas en las tecnologías de los sistemas futuros y representará un riesgo sistémico de que serán vulnerables a los ataques informáticos desde el principio. Y esto a pesar del hecho de que tales sistemas están diseñados para funcionar en el futuro en sectores sistémicamente importantes de la economía: energía, el sector de petróleo y gas, metalurgia, agricultura, donde ahora incluso una cosechadora de granos ordinaria ya se está convirtiendo en una "máquina CNC", la "cosa" de Internet industrial.
- ¿Cuál es el estado de esas empresas industriales que tienen que pasar por una transformación digital hacia sistemas ciberfísicos del futuro?— , , . . 30 , , , -. . . , , «» , . « , . . – , », – . , , . , , , , , . , . .
— ?— , , . , , Shodan. «» : ( ) , .
— , TCP/IP - . ?— , . , , . Air Gap – – . , , , , - , . , , – .
. , , . , . : , , .
— ?
— - . 10 , , , . 2016 . – () . , : , .
№31 2014 « , , , » 187- « » 2017 .
, 2014 , – -187 .
— , -187?— , ( – ): , , , , , , .. . -187 , . , .
— compliance ?— . .
: , ( ), . , , .
: . , , – . , , IDS (Intrusion Detection System, ).
: , , . . , , , .
: , , IDS. , – , . , .
— ?
— - . , , , - . , ( , ), -187. — , — . , .
, . .
— ?
— , . №127 « , » 8 2018 . , , .
, . , , « ». : , , . , : , . ! , , . : , .
. , . , , , . .
— ?— . . 2015 . , – « » – . – . , , , . , , .
— ?— , . , , , Schneider Electric Siemens 62443-4-1 « . ». – . , (Security Development Lifecycle, SDL) . , , .
— - , , , , Linux?— Linux . , , Linux : - (SCADA) . . - Linux , , , .
– . , , 61508 « , , , ». – , , .
, , , Linux, . , , , . , , , , , , .
— , ?— . – . – - . , , . , « ». – .
– – , . , , , . : – , , .
, , , . , . « » .