Die Öffentlichkeit wird regelmäßig durch Berichte über Cyberangriffe auf Industrieunternehmen in verschiedenen Ländern gestört. Russische Regulierungsbehörden fordern den Schutz von Einrichtungen, die für das Funktionieren der Wirtschaft von entscheidender Bedeutung sind.
Wir veröffentlichen ein Interview mit Vladimir Karantaev, Leiter der CIGRE-Arbeitsgruppe zu Cybersicherheitsthemen (Implementierung von Security Operations Centern in der Elektroindustrie als Teil des Situational Awareness Systems), Leiter der Cybersicherheitsrichtlinie für automatisierte Prozesssteuerungssysteme von Rostelecom Solar, über Trends bei Angriffen auf Segmente automatisierter Steuerungssysteme TA, Architekturprobleme in der Sicherheit des industriellen Internets der Dinge, das Programm Digital Economy und die notwendigen Schritte zum Schutz von Industrieunternehmen vor Cyberthreats.
- In der Regel beginnt ein Gespräch mit einem Spezialisten auf dem Gebiet der Informationssicherheit mit „Gruselgeschichten“, die die Vorstellungskraft normaler Menschen anregen. Erzählen Sie uns von Ihrer Einstellung zu den auffälligsten Ereignissen dieser Art im Zusammenhang mit Industrieunternehmen.
- Ja, die Presse diskutiert gerne über bekannte Cyberangriffe. Dies ist wahrscheinlich das erste Mal, dass im Zusammenhang mit dem Stuxnet-Virus über gezielte Cyber-Angriffe auf Industrieanlagen gesprochen wurde. Es wird immer noch häufig als Beispiel angeführt, obwohl seit dem Vorfall mehr als 10 Jahre vergangen sind und mehrere Bücher darüber geschrieben wurden. Von den jüngeren Fällen waren die Malware Industroyer, die Ende 2015 zu massiven Stromausfällen in der Ukraine führte, und Triton, die im Sommer 2017 in einem petrochemischen Werk in Saudi-Arabien entdeckt wurde.
Ich sehe einen gewissen Trend hinter diesen Ereignissen. Verschiedene Schätzungen gehen davon aus, dass nicht mehr als 5 Arten von spezialisierter Schadsoftware speziell für Angriffe auf automatisierte Prozessleitsysteme entwickelt wurden, von denen nur 3 direkt auf die Unterbrechung des Prozesses abzielten. Und dann erschien Triton - ein Angriff, dessen letztendliches Ziel das Einsetzen physikalischer Konsequenzen für das Funktionieren gefährlicher Produktionsanlagen (OPO) ist, d. H. Auslösung der sogenannten HSE-Risiken, deren Bewertung in den letzten Jahren in die Praxis des Managements gemeinnütziger Organisationen einbezogen wurde. Dieser Fall unterscheidet sich grundlegend von dem, was er zuvor war. Meiner Meinung nach hat Triton Cyber-Sicherheitsbedrohungen von ICS in die nächste Entwicklungsrunde mit einbezogen.
Das Triton-Virus konzentrierte sich auf eine bestimmte Art von automatisiertem System - den Notfallschutz (PAZ), der die "letzte Grenze" für den sicheren Betrieb der WBS darstellt. Heute unterstützen PAZs die Remote-Konfiguration von Workstations über das Netzwerk, und dies war der Angriff. Sein letztendliches Ziel war es, den legitimen Prozess der Konfiguration des PAZ-Controllers durch die Möglichkeit zu ersetzen, seine Einstellungen anzupassen. Dies wurde insbesondere dadurch erleichtert, dass weder die Konfigurationssoftware noch das Netzwerkprotokoll Sicherheitsmaßnahmen vorsahen. Dies trotz der Tatsache, dass auf der Ebene der behördlichen und technischen Dokumentation bereits 2013 Cybersicherheitsmaßnahmen beschrieben wurden. Wenn der Angriff erfolgreich wäre, würde er höchstwahrscheinlich zu physischen Konsequenzen für das Unternehmen führen.
- Könnte das Unternehmen Schutzmaßnahmen ergreifen?
- Ja, ein Unternehmen, das einen PAZ-Controller betreibt, könnte bestimmte Maßnahmen ergreifen: Verwenden Sie OS Hardening auf AWS mit Engineering-Software, organisieren und implementieren Sie Maßnahmen zur Identifizierung und Authentifizierung und überwachen Sie kritische Systeme und Prozesse dieser Art von AWS mithilfe von SOC. Die Besonderheit ist, dass der Hardwareschlüssel des PAZ-Controllers aus irgendeinem Grund in einer Position war, die die Programmierung und Konfiguration ermöglichte. Es war möglich und notwendig, organisatorische Maßnahmen zu treffen, die die Anwendung eines solchen Systems während des Betriebs regeln.
Es ist anzumerken, dass der Systemhersteller ein viel breiteres Spektrum an Maßnahmen ergreifen kann. Implementieren und verwenden Sie beispielsweise ein vertrauenswürdiges Betriebssystem, ein sicheres Protokoll, stellen Sie Mechanismen zum Identifizieren und Authentifizieren von Zugriffssubjekten und -objekten sowohl auf Personen- als auch auf Prozessebene bereit, stellen Sie Vertrauen während der Konfiguration bereit usw.
Schneider Electric - die Steuerung dieses Herstellers war im betroffenen Werk tätig - nahm die entsprechenden Modifikationen seiner Produkte vor. Dies ist jedoch keine schnelle Angelegenheit, und es ist schlimm, dass wir den Präzedenzfall von Handlungen beobachten, da die Folgen selbst eines erfolgreichen Angriffs katastrophal sein können. Wir müssen über vorbeugende Maßnahmen nachdenken, um auf Bedrohungen und Risiken zu reagieren.
- Denkt irgendjemand auf der Welt proaktiv?
- Es sind ernsthafte Prozesse im Gange, um die Industrietechnologien der Zukunft zu schaffen: die Initiative Industrie 4.0 in Deutschland, die den Autoren zufolge der Welt helfen soll, zu einer neuen technologischen Struktur überzugehen. Amerikanische Initiative für das industrielle Internet der Dinge (IIoT): Sie basiert auf einer ähnlichen Idee, deckt jedoch mehr Wirtschaftssektoren ab. Nationale Programme dieser Art erschienen in China, Japan.
Offensichtlich muss jedes Land, das sich als ernstzunehmender Akteur auf dem Weltmarkt betrachtet, auf solche Herausforderungen reagieren und seine eigene nationale Agenda aufstellen. Bei uns hat es die Form des Staatsprogramms Digital Economy angenommen.
- Glauben Sie, dass unsere digitale Wirtschaft ein IIoT-Projekt in den USA ist?
- Ist das so. Tatsächlich haben wir in den letzten 7 bis 8 Jahren beobachtet, wie sich der globale strategische Kampf um technologische Führerschaft im internationalen Raum verschärft, der die vorherrschenden Konzepte und Ansätze für die nächsten 30 bis 50 Jahre bestimmen wird. Das Ergebnis dieses Kampfes ist im Wesentlichen die Transformation von Geschäftsmodellen, die wiederum auf einem bestimmten Satz von Technologien basieren. Sie wurden in unseren russischen Dokumenten als End-to-End-Technologien bezeichnet.
Tatsächlich ist das Fundament der digitalen Wirtschaft ein bestimmter Stapel von Technologien, einschließlich jener, die die Effizienz von Industrieunternehmen in verschiedenen Branchen durch Automatisierung (oder Digitalisierung) steigern. Grundlage dieser Automatisierung sind derzeit automatische Prozessleitsysteme, deren Einführung in der Sowjetunion in den 70er Jahren des letzten Jahrhunderts begann. Dann erschienen die ersten speicherprogrammierbaren Steuerungen, die einen ernsthaften Anreiz für die Entwicklung der Industrie in den Industrieländern darstellten. Und heute nähern wir uns dem Meilenstein, ab dem die nächste Stufe des globalen raschen Wachstums beginnt, und die Basis dürfte eine Reihe von Technologien sein, die als industrielles Internet oder industrielles Internet der Dinge bezeichnet werden.
- Hier geht es nicht um das öffentliche Internet?
- Das Internet der Dinge (IoT) deckt im Allgemeinen zwei Bereiche ab: das Benutzer- (oder Verbraucher-) Internet der Dinge, in dem verschiedene tragbare Plug-in-Geräte erscheinen: für medizinische Zwecke, Fitness usw. und industrielles Internet der Dinge (IIoT) - eine Reihe von Technologien, die die Effizienz von Unternehmen jetzt steigern und in naher Zukunft. Wir sprechen über sie - über jene Technologien, die zu einer effizienteren Funktionsweise bestimmter Unternehmen, Branchen und der gesamten Volkswirtschaft führen sollten. Die Parameter dieser Effizienz werden durch eine Reihe von Technologien (die International Telecommunication Union nennt sie Infokommunikation) bestimmt, mit denen die Interaktion von Elementen oder Objekten innerhalb der Infrastruktur oder zwischen verschiedenen Infrastrukturen organisiert wird.
- Die Aufgabe ist groß. Wie ist der Fortschritt in Bezug auf industrielle Automatisierungstechnologien im Vergleich zum IIoT?- Was das IIoT betrifft, ist das International Internet Consortium (IIC) an der Entwicklung des Konzepts beteiligt. Ihr Ziel ist es, die sehr digitale Transformation von Unternehmen und Volkswirtschaften zu beschleunigen, indem vorbildliche Verfahren gefördert werden. Sie erstellen Dokumente auf Doktrinsebene, die ersten Dokumente der Whitepaper-Klasse erscheinen, dh technische Dokumente, in denen bestimmte Technologien für diese Spezialisten, beispielsweise Entwickler von Anwendungssystemen, erläutert werden. Da Cybersicherheit ein Schlüsselthema für industrielle Systeme ist, sollten relevante Technologien als Querschnittsthema angesehen werden, das alle Prozesse und Ebenen durchdringt. In diesem Sinne werden neue Ansätze für die Sicherheit industrieller Internet-Systeme entwickelt.
- Wie schreitet die Arbeit an industriellen Automatisierungstechnologien der Zukunft in russischen Strukturen voran?- Es gibt spezielle Arbeitsgruppen, zu denen unter anderem Experten von Rostelecom Solar gehören, die die Agenda für die Entwicklung dieser Technologien bilden, insbesondere zur Cybersicherheit von cyberphysikalischen Systemen und industriellen Internet-Systemen. Man ist sich einig, dass die Schutzobjekte heutzutage die Prozesse des Zusammenwirkens von Elementen sowohl innerhalb des Unternehmens, beispielsweise auf der Ebene des industriellen Steuerungssystems, als auch zwischen Unternehmen, beispielsweise innerhalb vertikal integrierter Beteiligungen oder sogar zwischen Beteiligungen, sind. Dies impliziert wiederum die Transformation von Geschäftsmodellen.
Dabei ist es äußerst wichtig, dass solche Transformationen eine sehr tiefe Integration von Technologie- und Geschäftsprozessen zwischen Unternehmen derselben Branche oder sogar verschiedener Branchen erfordern. Auf diese Weise können Unternehmen schnell neue Produkte entwickeln und vermarkten, die aus Sicht der Zielgruppe personalisierter sind. Dies bedeutet, dass die Technologien, die heute in modernen Unternehmen bereits weit verbreitet sind, noch weiter verbreitet werden. Mit anderen Worten, es wird sich um eine Reihe verschiedener Telekommunikationsprotokolle handeln: von Protokollen auf niedriger Ebene bis zu Protokollen, die zwischen automatisierten oder Robotersystemen interagieren, die die sehr cyberphysischen Systeme bilden. Darüber hinaus wird es eine Vielzahl von Informationstechnologien geben - eine Kombination aus systemweiter und angewandter Software. Dies birgt ein Risiko.
- Das Risiko, bei der Wahl der Technologie einen Fehler zu machen?- Da das industrielle Internet eine Kombination von Informations- und Kommunikationstechnologien ist, die das gesamte System von oben nach unten durchdringt: von einem intelligenten Sensor bis zu einem System, das den technologischen Prozess steuert oder eine bestimmte Aufgabe ausführt oder eine Prognose erstellt, ist das Thema Cybersicherheit übergreifend. In diesem Sinne sollten Sicherheitsmethoden bei der Entwicklung neuer Technologien zunächst auch auf der Ebene der Anforderungsbildung vorhanden sein. Sie sollten sowohl auf das Gesamtsystem als auch auf die Technologien angewendet werden, auf denen dieses System implementiert ist.
Natürlich haben und werden diese Systeme in verschiedenen Branchen ihre eigenen Besonderheiten haben. In der Elektroindustrie beispielsweise hat sich auch der Begriff „industrielles Internet“ nicht durchgesetzt, sie sprechen von Smart-Grid-Technologien oder einem aktiven adaptiven Netzwerk, obwohl die Aufgabe im Allgemeinen dieselbe ist: Ein intelligenter Sensor, beispielsweise ein Strom- oder Spannungswandler, ist dasselbe System oberste Ebene. Gleiches gilt für Öl und Gas: Vom intelligenten Druckniveausensor über andere Sensoren bis hin zum Entscheidungshilfesystem. Cybersicherheit ist eine Reihe von End-to-End-Technologien und -Methoden, die das nachhaltige Funktionieren cyberphysikalischer Systeme sicherstellen sollen.
Im Rahmen des Programms "Digitale Wirtschaft" scheint mir diese wichtige Komponente der Entwicklung künftiger Technologien jedoch praktisch nicht berücksichtigt worden zu sein, und es handelt sich tatsächlich um die Sicherheit industrieller Systeme. Diese Richtung wird in einer separaten Gruppe festgelegt, aber es ist unbedingt erforderlich, dass das Thema Cybersicherheit in jeder Arbeitsgruppe, in jeder Branche, in der übergreifende Technologien diskutiert werden, vorhanden ist. Wir setzen uns immer dafür ein und hoffen, dass sie uns hören.
- Warum reicht es nicht aus, sich als eigenes Team, sozusagen rein professionell, mit Sicherheitsfragen zu befassen?- Tatsache ist, dass es sich um ein sehr komplexes mehrstufiges Datenaustauschsystem handelt. Wie ich bereits sagte, müssen technische Anforderungen an die Cybersicherheit sowohl für das gesamte System als auch für seine Elemente formuliert werden. Das ist aber noch nicht alles. Wir müssen solche Cybersicherheitsanforderungen formulieren, die auf einem angemessenen Bedrohungs- und Eindringlingsmodell für Elemente und Systeme basieren. Es ist klar, dass diese Aufgaben mit der richtigen Qualität ausgeführt werden können, indem man ständig in thematischen Gruppen arbeitet. Die Entwicklung eines umfassenden IIoT-Vorschlags für Cybersicherheit ist durch etablierte Ökosystempartnerschaften möglich.
Wenn diese spezifischen Merkmale nicht bereits in der Phase der Erstellung des Fahrplans für die digitale Wirtschaft festgelegt sind, werden die entsprechenden Arbeiten nicht durchgeführt. Und wenn wir die grundlegenden Anforderungen an die Systemelemente und das gesamte Digital Economy-System nicht formulieren, werden auch keine Anforderungen an die Technologien gestellt, die angezeigt werden sollten: Mikroprozessor-Schutztechnologien, sichere Protokolle, Schutz von kundenspezifischen ASIC-Chips, andere Chips, systembasiert Kristall usw.
- Was ist heute die größte Bedrohung für industrielle Steuerungssysteme im Internet? Gezielte Angriffe wie Triton?
- Statistiken zeigen, dass ICS heutzutage ziemlich stark in Systeme der obersten Ebene (SCADA-Versandsysteme oder MES-Werkstattsteuerungssysteme) integriert sind und einen intensiven bidirektionalen Datenaustausch sowie das Niveau der organisatorischen und technischen Schutzmaßnahmen auf der Ebene von ICS unterstützen oft ziemlich niedrig.
Und hier ist das Wichtigste: In Bezug auf die fünf Ebenen von Unternehmenssystemen wurden in den letzten Jahren auf den oberen Ebenen zumindest Sicherheitsmaßnahmen ergriffen, auf den unteren Ebenen jedoch überhaupt keine Maßnahmen ergriffen. In einer solchen Situation führt die Integration von Ebenen eindeutig zu erhöhten Risiken. Die Bedrohung für den kontinuierlichen Betrieb der Anlage sind nicht nur gezielte Angriffe, sondern auch andere Computerereignisse, einschließlich massiver unspezifischer Cyberangriffe wie WannaCry und Petya. Es wurden Fälle von Infektionen von Industrieunternehmen mit diesen Viren festgestellt: Zunächst war der Angriff höchstwahrscheinlich nicht auf ICS ausgerichtet, sondern fiel versehentlich in die Infrastruktur.
Tatsächlich gibt es in Unternehmen häufig keine Kontrolle des Informationsflusses sowie keine aktuellen Sicherheitsupdates. Es gibt keine integrierten Prozesse, um auf diese Situation zu reagieren. Wenn irgendwo auf der Ebene der Unternehmenssysteme ein Massenangriff von WannaCry begonnen hat, kann dies leicht auf die Ebene der industriellen Steuerungssysteme übergehen und in dieser Struktur „leben“. Relativ gesehen kann eine Malware, die einen Denial-of-Service-Angriff während einer Masseninfektion eines automatisierten Prozesssteuerungssystems implementiert, durchaus Auswirkungen auf den Prozess selbst haben. Leider sind sich nicht alle Unternehmen dieses Risikos bewusst. Sie beruhigen sich oft mit dem Gedanken: "Als Ziel eines gezielten Angriffs bin ich an niemandem interessiert, was bedeutet, dass ich keine Probleme mit der Cyber-Sicherheit der Produktion habe." Aber das ist nicht so.
Das Hauptproblem von heute ist meiner Meinung nach, dass das industrielle Internet der Zukunft, verstanden als Kombination von Technologien, zunächst eine ernsthafte Schwachstelle aufweist - moderne Telekommunikationsprotokolle, Software und Hardware auf verschiedenen Ebenen, die zur Erstellung kritischer Systeme verwendet werden, sind zunächst nicht vor Exposition geschützt Computerangriffe auf sie.
- Ist das ein Problem für alle Branchen?- Jeder. Heutzutage besteht eine klare Tendenz zur Vereinheitlichung und Nutzung von Technologien aus der IT-Welt in ICS-Systemen: Vermittlungsausrüstung, ein Stapel von Telekommunikationsprotokollen. Nehmen Sie zum Beispiel Strom. Digitale Unterstationen verwenden Protokolle, die auf dem TCP / IP-Stack basieren. Die Tatsache, dass TCP / IP anfangs anfällig für Computerangriffe ist, ist jedem unerfahrenen Spezialisten für Informationssicherheit bekannt. In allen Sektoren sind Allzweckbetriebssysteme weit verbreitet, die eine große Anzahl regelmäßig identifizierter Schwachstellen aufweisen, und die Besonderheiten der Ausbeutung in Industrieunternehmen erlauben es nicht, sie schnell zu schließen. Gleiches gilt für Embedded-Betriebssysteme. SCADA-Überwachungssysteme arbeiten auf den oberen Ebenen des automatisierten Prozesssteuerungssystems - in der Tat auf normalen Arbeitsstationen und Servern, die unter der Kontrolle eines Allzweck-Betriebssystems stehen.
- Können Sie den Umfang der Einführung neuer Technologien abschätzen?- Nehmen Sie die Elektroindustrie - ein digitales Transformationsprogramm wurde bereits in der Branche angekündigt. Und in unserem Land gibt es derzeit nur fünf digitale Unterstationen. Fünf! Aber in 10 Jahren müssen Hunderttausende geschaffen werden. Dies ist kein Wortspiel, es ist eine Realität - ein wirklich neuer „GOELRO-Plan“. Wenn diese typisierten Entscheidungen der Zukunft unter dem Gesichtspunkt der Cybersicherheit nicht sorgfältig ausgearbeitet werden, werden sie sicherlich auftauchen, aber in welcher Form?
Daher bin ich mir sicher: Wenn wir zum gegenwärtigen Zeitpunkt keine Systemanforderungen für die Cybersicherheit formulieren, wird dies zu einem begrenzenden Faktor für die Entstehung wirksamer Sicherheitstechnologien in den Technologien zukünftiger Systeme und birgt das systembedingte Risiko, dass diese von Anfang an für Computerangriffe anfällig sind. Und das trotz der Tatsache, dass solche Systeme so konzipiert sind, dass sie in Zukunft in systemrelevanten Wirtschaftssektoren funktionieren: Energie, Öl- und Gassektor, Metallurgie, Landwirtschaft, wo sich bereits ein gewöhnlicher Getreidemähdrescher in eine "CNC-Maschine" verwandelt - das "Ding" des industriellen Internets.
- Wie ist der Stand der Industrieunternehmen, die eine digitale Transformation hin zu Cyber-Physical Systems der Zukunft durchlaufen müssen?— , , . . 30 , , , -. . . , , «» , . « , . . – , », – . , , . , , , , , . , . .
— ?— , , . , , Shodan. «» : ( ) , .
— , TCP/IP - . ?— , . , , . Air Gap – – . , , , , - , . , , – .
. , , . , . : , , .
— ?
— - . 10 , , , . 2016 . – () . , : , .
№31 2014 « , , , » 187- « » 2017 .
, 2014 , – -187 .
— , -187?— , ( – ): , , , , , , .. . -187 , . , .
— compliance ?— . .
: , ( ), . , , .
: . , , – . , , IDS (Intrusion Detection System, ).
: , , . . , , , .
: , , IDS. , – , . , .
— ?
— - . , , , - . , ( , ), -187. — , — . , .
, . .
— ?
— , . №127 « , » 8 2018 . , , .
, . , , « ». : , , . , : , . Nichts dergleichen! , , . : , .
. , . , , , . .
— ?- Natürlich. . 2015 . , – « » – . – . , , , . , , .
— ?— , . , , , Schneider Electric Siemens 62443-4-1 « . ». – . , (Security Development Lifecycle, SDL) . , , .
— - , , , , Linux?— Linux . , , Linux : - (SCADA) . . - Linux , , , .
– . , , 61508 « , , , ». – , , .
, , , Linux, . , , , . , , , , , , .
— , ?— . – . – - . , , . , « ». – .
– – , . , , , . : – , , .
, , , . , . « » .