Le public est régulièrement perturbé par les informations faisant état de cyberattaques contre des entreprises industrielles dans différents pays. Les régulateurs russes exigent la protection des installations essentielles au fonctionnement de l'économie.
Nous publions une interview de Vladimir Karantaev, chef du groupe de travail CIGRE sur les questions de cybersécurité (Implémentation des centres d'opérations de sécurité dans l'industrie de l'énergie électrique dans le cadre du système de connaissance de la situation), chef de la direction de la cybersécurité de ICS TP de Rostelecom Solar, sur les tendances des attaques sur les segments ICS TA, problèmes architecturaux dans la sécurité de l'Internet industriel des objets, le programme d'économie numérique et les mesures nécessaires pour protéger les entreprises industrielles contre les cybermenaces.
- Habituellement, une conversation avec un spécialiste dans le domaine de la sécurité de l'information commence par des «histoires effrayantes» qui excitent l'imagination des gens ordinaires. Parlez-nous de votre attitude face aux événements les plus marquants de ce type liés aux entreprises industrielles.
- Oui, la presse aime discuter d'histoires médiatisées sur les cyberattaques. C'est probablement la première fois que des cyberattaques ciblées visant des installations industrielles sont évoquées en rapport avec le virus Stuxnet. Il est encore souvent cité en exemple, bien que plus de 10 ans se soient écoulés depuis l'incident, et plusieurs livres ont été écrits à ce sujet. Parmi les cas les plus récents, le malware Industroyer, qui a conduit à des pannes massives en Ukraine fin 2015, et Triton, qui a été découvert dans une usine pétrochimique en Arabie saoudite à l'été 2017.
Je vois une certaine tendance derrière ces événements. Selon diverses estimations, pas plus de 5 types de logiciels malveillants spécialisés ont été développés spécifiquement pour les attaques contre les systèmes de contrôle de processus automatisés, dont seulement 3 visaient directement à perturber le processus. Et puis Triton est apparu - une attaque, dont le but ultime est l'apparition de conséquences physiques pour le fonctionnement des installations de production dangereuses (OPO), c'est-à-dire le déclenchement des risques dits HSE, dont l'évaluation a été intégrée ces dernières années dans la pratique de la gestion des organismes d'utilité publique. Cette affaire est fondamentalement différente de ce qu'elle était auparavant. À mon avis, Triton a apporté les menaces de cybersécurité d'ICS à la prochaine phase de développement.
Le virus Triton s'est concentré sur un type spécifique de système automatisé - la protection d'urgence (PAZ), qui est la «dernière frontière» du fonctionnement sûr du HOP. Aujourd'hui, les PAZ prennent en charge la configuration à distance à partir des postes de travail sur le réseau, et c'était l'attaque. Son objectif ultime était de remplacer le processus légitime de configuration du contrôleur PAZ par la possibilité d'ajuster ses paramètres. Cela a été facilité, notamment, par le fait que ni le logiciel de configuration ni le protocole réseau ne prévoyaient de mesures de sécurité. Et cela malgré le fait qu'au niveau de la documentation réglementaire et technique, les mesures de cybersécurité ont été décrites en 2013. Si l'attaque réussissait, elle entraînerait très probablement des conséquences physiques pour l'entreprise.
- L'entreprise pourrait-elle prendre des mesures de protection?
- Oui, une entreprise exploitant un contrôleur PAZ pourrait prendre certaines mesures: utiliser le renforcement du système d'exploitation sur AWS avec un logiciel d'ingénierie, organiser et mettre en œuvre des mesures d'identification et d'authentification, surveiller les systèmes et processus critiques de ce type d'AWS à l'aide de SOC. La particularité est que la clé matérielle du contrôleur PAZ, pour une raison quelconque, était dans une position qui permettait la programmation et la configuration. Il était possible et nécessaire d'appliquer des mesures organisationnelles régissant l'utilisation d'un tel régime pendant le fonctionnement.
Il convient de noter que le fabricant de systèmes peut prendre un éventail de mesures beaucoup plus large. Par exemple, implémentez et utilisez un système d'exploitation de confiance, un protocole sécurisé, fournissez des mécanismes pour identifier et authentifier les sujets et objets d'accès à la fois au niveau des personnes et au niveau du processus, fournissez la confiance pendant la configuration, etc.
Schneider Electric - le contrôleur de ce fabricant opérait dans l'usine concernée - a repris les modifications correspondantes de ses produits. Cependant, ce n'est pas une affaire rapide, et il est mauvais que nous observions la nature précédente des actions, car les conséquences d'une seule attaque réussie peuvent être catastrophiques. Nous devons réfléchir à des mesures préventives pour répondre aux menaces et aux risques.
- Quelqu'un au monde pense-t-il de manière proactive?
- De sérieux processus sont en cours pour créer les technologies industrielles du futur: l'initiative Industrie 4.0 en Allemagne, qui, selon les auteurs, devrait aider le monde à évoluer vers une nouvelle structure technologique. Initiative américaine sur l'Internet des objets industriels (IIoT): elle repose sur une idée similaire, mais couvre davantage de secteurs de l'économie. Des programmes nationaux de ce type sont apparus en Chine, au Japon.
De toute évidence, tout pays qui se considère comme un acteur sérieux sur la scène mondiale doit relever ces défis et former son propre programme national. Avec nous, cela a pris la forme du programme d'État Digital Economy.
- Pensez-vous que notre économie numérique est un projet à l'échelle IIoT aux USA?
- C'est vrai. En fait, au cours des 7 à 8 dernières années, nous avons observé comment la lutte stratégique mondiale pour le leadership technologique s'intensifie dans l'espace international, ce qui déterminera les concepts et approches dominants pour les 30 à 50 prochaines années. Le résultat de cette lutte se résume, en substance, à la transformation de modèles commerciaux qui, à leur tour, reposent sur un ensemble spécifique de technologies. Dans nos documents russes, elles étaient appelées technologies de bout en bout.
En fait, le fondement de l'économie numérique est une certaine pile de technologies, y compris celles qui augmentent l'efficacité des entreprises industrielles dans différentes industries grâce à l'automatisation (ou la numérisation). À l'heure actuelle, la base de cette automatisation sont les systèmes de contrôle automatique des processus, dont la mise en œuvre a commencé en Union soviétique dans les années 70 du siècle dernier. Puis les premiers contrôleurs logiques programmables sont apparus, ce qui a fortement stimulé le développement de l'industrie dans les pays développés. Et aujourd'hui, nous approchons du jalon au-delà duquel la prochaine étape de la croissance rapide mondiale commence, et sa base est susceptible d'être un ensemble de technologies appelées Internet industriel ou Internet industriel des objets.
- Il ne s'agit pas d'Internet public?
- L'IoT couvre généralement deux domaines: l'Internet des objets (ou consommateur) des objets, dans lequel apparaissent divers plug-ins portables: à des fins médicales, de remise en forme, etc., et IIoT industriel - un ensemble de technologies qui augmenteront désormais l'efficacité des entreprises et dans un futur proche. Nous en parlons - des technologies qui devraient conduire à une efficacité accrue dans le fonctionnement d'entreprises, d'industries et de l'économie nationale dans leur ensemble. Les paramètres de cette efficacité seront déterminés par un ensemble de technologies (l'Union internationale des télécommunications les appelle infocommunication) qui seront utilisées pour organiser l'interaction d'éléments ou d'objets au sein de l'infrastructure ou entre différentes infrastructures.
- La tâche est à grande échelle. Comment évolue-t-il en termes de technologies d'automatisation industrielle par rapport, disons, à l'IIoT?- Quant à IIoT, l'International Internet Consortium (IIC) est engagé dans le développement du concept. Son objectif est de contribuer à accélérer la transformation très numérique des entreprises et des économies nationales, notamment en promouvant les meilleures pratiques. Ils créent des documents de niveau doctrinal, les premiers documents de la classe des livres blancs apparaissent, c'est-à-dire des documents techniques expliquant des technologies spécifiques pour ces spécialistes, par exemple les développeurs de systèmes d'application. Étant donné que la cybersécurité est un sujet clé pour les systèmes industriels, les technologies pertinentes doivent être considérées comme transversales, imprégnant tous les processus et niveaux. Dans cette optique, de nouvelles approches de la sécurité des systèmes Internet industriels se développent.
- Comment progresse le travail sur les technologies d'automatisation industrielle du futur dans les structures russes?- Il existe des groupes de travail spéciaux, qui comprennent, entre autres, des experts de Rostelecom Solar, qui constituent l'agenda pour le développement de ces technologies, en particulier, sur la cybersécurité des systèmes cyberphysiques et des systèmes Internet industriels. Il est communément admis que les objets de protection sont aujourd'hui les processus d'interaction d'éléments à la fois au sein de l'entreprise, par exemple au niveau du système de contrôle industriel, et entre les entreprises, par exemple, au sein d'exploitations verticalement intégrées ou même entre exploitations. Cela implique à son tour la transformation des modèles commerciaux.
Il est extrêmement important ici que de telles transformations nécessitent une intégration très profonde des processus technologiques et commerciaux entre les entreprises d'une même industrie ou même d'industries différentes. Cela permettra aux entreprises de créer et de commercialiser rapidement de nouveaux produits plus personnalisés du point de vue du public cible. Cela signifie que les technologies qui sont déjà largement utilisées aujourd'hui dans les entreprises modernes seront encore plus répandues. En d'autres termes, il s'agira d'un ensemble de protocoles de télécommunications divers: des protocoles de bas niveau aux protocoles qui interagiront entre des systèmes automatisés ou robotiques qui forment les systèmes très cyber-physiques. De plus, il y aura une variété de technologies de l'information - une combinaison de logiciels à l'échelle du système et appliqués. Il y a un risque à cela.
- Le risque de se tromper avec le choix de la technologie?- Étant donné que l'Internet industriel est une combinaison de technologies de l'information et de la communication qui imprègnent l'ensemble du système de haut en bas: d'un capteur intelligent à un système qui contrôle le processus technologique ou émet une tâche spécifique ou fait des prévisions, le thème de la cybersécurité est transversal. En ce sens, les méthodes de sécurité doivent être présentes dans le développement des nouvelles technologies dans un premier temps, même au niveau de la formation des besoins. Ils devraient être appliqués à la fois au système dans son ensemble et aux technologies sur lesquelles ce système est mis en œuvre.
Naturellement, dans différentes industries, ces systèmes ont et auront leurs propres spécificités. Dans l'industrie de l'énergie électrique, par exemple, même le terme «Internet industriel» n'a pas pris racine, ils parlent de technologies Smart Grid ou d'un réseau adaptatif actif, bien que la tâche soit généralement la même: un capteur intelligent, par exemple, un transformateur de courant et de tension, est le même système niveau supérieur. Il en va de même pour le pétrole et le gaz: d'un capteur de niveau de pression intelligent et d'autres capteurs à un système d'aide à la décision. La cybersécurité est un ensemble de technologies et de méthodes de bout en bout qui devraient garantir le fonctionnement durable des systèmes cyberphysiques.
Cependant, dans le programme de l'économie numérique, il me semble que cette composante sérieuse du développement des technologies futures ne s'est pratiquement pas reflétée, et en fait nous parlons de la sécurité des systèmes industriels. Cette direction est répartie dans un groupe distinct, mais il est nécessaire - il est absolument nécessaire - que le thème de la cybersécurité soit présent dans chaque groupe de travail, dans chaque vertical, où les technologies transversales sont discutées. Nous plaidons toujours pour cela et espérons qu'ils nous entendront.
- Pourquoi ne suffit-il pas de traiter les questions de sécurité en équipe séparée, pour ainsi dire, purement professionnelle?- Le fait est que nous parlons d'un système d'échange de données à plusieurs niveaux très complexe. Comme je l'ai dit, il est nécessaire de formuler des exigences techniques en matière de cybersécurité pour l'ensemble du système et ses éléments. Mais ce n'est pas tout. Nous devons formuler de telles exigences de cybersécurité qui sont basées sur un modèle de menace et un modèle d'intrus adéquats pour les éléments et les systèmes. Il est clair que ces tâches peuvent être exécutées avec la bonne qualité, uniquement en travaillant au sein de groupes thématiques sur une base continue. L'élaboration d'une proposition complète de cybersécurité IIoT est possible grâce à des partenariats écosystémiques établis.
Si ces spécificités ne sont pas prévues même au stade de la formation de la feuille de route de l'économie numérique, alors le travail correspondant ne sera pas effectué. Et si nous ne formulons pas les exigences de base pour les éléments du système et le système d'économie numérique dans son ensemble, il n'y aura aucune exigence pour les technologies qui devraient apparaître: technologies de protection des microprocesseurs, protocoles sécurisés, protection des puces ASIC personnalisées, autres puces, basées sur le système cristal, etc.
- Quelle est aujourd'hui la principale cyber-menace pour les systèmes de contrôle industriels? Des attaques ciblées comme Triton?
- Les statistiques montrent qu'aujourd'hui, les SCI sont assez fortement intégrés aux systèmes de haut niveau (systèmes de répartition SCADA ou systèmes de contrôle des ateliers MES), soutenant l'échange intensif de données bidirectionnelles et le niveau des mesures de protection, tant organisationnelles que techniques, au niveau des SCI souvent assez faible.
Et voici ce qui est important: en ce qui concerne les cinq niveaux des systèmes d'entreprise, au cours des dernières années, aux niveaux supérieurs, ils se sont engagés à tout le moins dans la sécurité, mais aux niveaux inférieurs, ils n'ont rien fait du tout. Dans une telle situation, l'intégration des niveaux entraîne clairement des risques accrus. La menace pour le fonctionnement continu de l'usine est non seulement les attaques ciblées, mais aussi tout autre incident informatique, y compris les cyberattaques massives non spécifiques telles que WannaCry et Petya. Des cas d'infection d'entreprises industrielles par ces virus ont été notés: au départ, l'attaque, très probablement, ne visait pas ICS, mais elle est accidentellement tombée dans l'infrastructure.
En effet, souvent dans les entreprises, il n'y a pas de contrôle du flux d'informations, pas plus que les mises à jour de sécurité actuelles. Il n'y a aucun processus construit pour répondre à cette situation. Si quelque part au niveau des systèmes d'entreprise une attaque massive de WannaCry a commencé, elle peut facilement atteindre le niveau des systèmes de contrôle industriels et «vivra» dans cette structure. Relativement parlant, un logiciel malveillant qui met en œuvre une attaque par déni de service lors d'une infection massive d'un système de contrôle de processus automatisé pourrait bien avoir un effet sur le processus lui-même. Malheureusement, toutes les entreprises ne sont pas conscientes de ce risque. Ils se rassurent souvent avec la pensée: "En tant qu'objet d'une attaque ciblée, je ne suis intéressé par personne, ce qui signifie que je n'ai aucun problème avec la cybersécurité de la production." Mais ce n'est pas le cas.
Le principal problème d'aujourd'hui est, à mon avis, que l'Internet industriel du futur, compris comme une combinaison de technologies, présente initialement une grave vulnérabilité - les protocoles de télécommunications modernes, les logiciels et le matériel de différents niveaux utilisés pour créer des systèmes critiques ne sont pas initialement protégés contre l'exposition. attaques informatiques sur eux.
- Est-ce un problème pour toutes les industries?- Tout le monde. Aujourd'hui, il y a une nette tendance à unifier et à utiliser les technologies du monde informatique dans les systèmes ICS: équipements de commutation, pile de protocoles de télécommunications. Prenons, par exemple, l'électricité. Les sous-stations numériques utilisent des protocoles basés sur la pile TCP / IP. Et le fait que TCP / IP soit initialement vulnérable aux attaques informatiques est connu de tout spécialiste novice de la sécurité de l'information. Dans tous les secteurs, les systèmes d'exploitation à usage général sont largement utilisés, qui présentent un grand nombre de vulnérabilités régulièrement identifiées, et les spécificités d'exploitation dans les entreprises industrielles ne permettent pas de les fermer rapidement. Il en va de même pour les systèmes d'exploitation embarqués. Les systèmes SCADA de contrôle de supervision fonctionnent aux niveaux supérieurs du système de contrôle de processus automatisé - en fait, les postes de travail ordinaires et les serveurs sous le contrôle d'un système d'exploitation à usage général.
- Pouvez-vous estimer le volume d'introduction de nouvelles technologies?- Prenez l'industrie de l'énergie électrique - un programme de transformation numérique a déjà été annoncé dans l'industrie. Et dans notre pays à l'heure actuelle, il n'y a que cinq sous-stations numériques. Cinq! Mais en 10 ans, des centaines de milliers doivent être créés. Ce n'est pas un jeu de mots, c'est une réalité - un vrai nouveau «plan GOELRO». Si ces décisions dactylographiées de l'avenir ne sont pas soigneusement élaborées du point de vue de la cybersécurité, elles apparaîtront certainement, mais sous quelle forme?
Par conséquent, je suis sûr: si nous ne formulons pas d'exigences système pour la cybersécurité au stade actuel, cela deviendra un facteur limitant pour l'émergence de technologies de sécurité efficaces dans les technologies des futurs systèmes et posera un risque systémique qu'ils soient vulnérables aux attaques informatiques dès le début. Et cela malgré le fait que de tels systèmes sont conçus pour fonctionner à l'avenir dans des secteurs de l'économie d'importance systémique: l'énergie, le secteur du pétrole et du gaz, la métallurgie, l'agriculture, où désormais même une moissonneuse-batteuse ordinaire se transforme déjà en une "machine CNC" - la "chose" de l'Internet industriel.
- Quel est l'état de ces entreprises industrielles qui doivent passer par une transformation numérique vers les systèmes cyber-physiques du futur?— , , . . 30 , , , -. . . , , «» , . « , . . – , », – . , , . , , , , , . , . .
— ?— , , . , , Shodan. «» : ( ) , .
— , TCP/IP - . ?— , . , , . Air Gap – – . , , , , - , . , , – .
. , , . , . : , , .
— ?
— - . 10 , , , . 2016 . – () . , : , .
№31 2014 « , , , » 187- « » 2017 .
, 2014 , – -187 .
— , -187?— , ( – ): , , , , , , .. . -187 , . , .
— compliance ?— . .
: , ( ), . , , .
: . , , – . , , IDS (Intrusion Detection System, ).
: , , . . , , , .
: , , IDS. , – , . , .
— ?
— - . , , , - . , ( , ), -187. — , — . , .
, . .
— ?
— , . №127 « , » 8 2018 . , , .
, . , , « ». : , , . , : , . ! , , . : , .
. , . , , , . .
— ?— . . 2015 . , – « » – . – . , , , . , , .
— ?— , . , , , Schneider Electric Siemens 62443-4-1 « . ». – . , (Security Development Lifecycle, SDL) . , , .
— - , , , , Linux?— Linux . , , Linux : - (SCADA) . . - Linux , , , .
– . , , 61508 « , , , ». – , , .
, , , Linux, . , , , . , , , , , , .
— , ?— . – . – - . , , . , « ». – .
– – , . , , , . : – , , .
Par exemple, une feuille de route est en cours d'élaboration pour, disons, le développement de l'Internet industriel dans une industrie particulière. Pour elle, nous avons des principes architecturaux de construction spécifiques, des types de technologies de l'information et de la communication utilisées à chaque niveau. Ensuite, pour l'économie numérique dans son ensemble, un cadre de sécurité sera créé.