Publik secara teratur terganggu oleh laporan serangan dunia maya terhadap perusahaan industri di berbagai negara. Regulator Rusia membutuhkan perlindungan fasilitas yang penting bagi berfungsinya ekonomi.
Kami menerbitkan wawancara dengan Vladimir Karantaev, kepala kelompok kerja CIGRE tentang masalah keamanan siber (Implementasi Pusat Operasi Keamanan di Industri Tenaga Listrik sebagai Bagian dari Sistem Kesadaran Situasional), kepala arahan keamanan cyber ICS TP dari Rostelecom Solar, tentang tren serangan di segmen ICS TA, masalah arsitektur dalam keamanan Internet industri, program Digital Economy, dan langkah-langkah yang diperlukan untuk melindungi perusahaan industri dari ancaman cyber.
- Biasanya, percakapan dengan seorang spesialis di bidang keamanan informasi dimulai dengan "cerita menyeramkan" yang membangkitkan imajinasi orang awam. Ceritakan pada kami tentang sikap Anda terhadap peristiwa paling mencolok semacam ini yang terkait dengan perusahaan industri.
- Ya, pers suka membahas kisah-kisah serangan cyber kelas dunia. Ini mungkin pertama kalinya serangan cyber yang ditargetkan menargetkan fasilitas industri telah dibicarakan sehubungan dengan virus Stuxnet. Ini masih sering dikutip sebagai contoh, meskipun lebih dari 10 tahun telah berlalu sejak kejadian itu, dan beberapa buku telah ditulis tentang hal itu. Dari kasus yang lebih baru, malware Industroyer, yang menyebabkan pemadaman besar-besaran di Ukraina pada akhir 2015, dan Triton, yang ditemukan di pabrik petrokimia di Arab Saudi pada musim panas 2017.
Saya melihat tren tertentu di balik peristiwa ini. Menurut berbagai perkiraan, tidak lebih dari 5 jenis perangkat lunak berbahaya khusus dikembangkan secara khusus untuk serangan pada sistem kontrol proses otomatis, yang hanya 3 yang bertujuan langsung mengganggu proses. Dan kemudian Triton muncul - serangan, tujuan utamanya adalah timbulnya konsekuensi fisik untuk berfungsinya fasilitas produksi berbahaya (OPO), yaitu memicu apa yang disebut risiko HSE, penilaian yang dalam beberapa tahun terakhir telah dimasukkan dalam praktik manajemen organisasi manfaat publik. Kasus ini secara fundamental berbeda dari sebelumnya. Menurut pendapat saya, Triton telah membawa ancaman keamanan siber dari ICS ke putaran pengembangan selanjutnya.
Virus Triton difokuskan pada jenis tertentu dari sistem otomatis - perlindungan darurat (PAZ), yang merupakan "perbatasan terakhir" dari operasi yang aman dari HOP. Hari ini, PAZ mendukung konfigurasi jarak jauh dari workstation melalui jaringan, dan ini adalah serangannya. Tujuan utamanya adalah mengganti proses konfigurasi yang sah dari kontroler PAZ dengan kemampuan untuk menyesuaikan pengaturannya. Ini difasilitasi, khususnya, oleh fakta bahwa baik perangkat lunak konfigurasi maupun protokol jaringan tidak menyediakan langkah-langkah keamanan. Ini terlepas dari kenyataan bahwa, pada tingkat dokumentasi peraturan dan teknis, langkah-langkah keamanan siber dijelaskan kembali pada tahun 2013. Jika serangan itu berhasil, kemungkinan besar itu akan menimbulkan konsekuensi fisik bagi perusahaan.
- Bisakah perusahaan mengambil tindakan perlindungan?
- Ya, perusahaan yang mengoperasikan pengendali PAZ dapat mengambil langkah-langkah tertentu: menggunakan pengerasan OS pada AWS dengan perangkat lunak teknik, mengatur dan menerapkan langkah-langkah untuk identifikasi dan otentikasi, memantau sistem dan proses kritis dari jenis AWS ini menggunakan SOC. Keunikannya adalah bahwa kunci perangkat keras dari pengontrol PAZ untuk beberapa alasan berada pada posisi yang memungkinkan untuk pemrograman dan konfigurasi. Adalah mungkin dan perlu untuk menerapkan langkah-langkah organisasi yang mengatur penggunaan rezim seperti itu selama operasi.
Perlu dicatat bahwa produsen sistem dapat mengambil langkah-langkah yang jauh lebih luas. Misalnya, menerapkan dan menggunakan sistem operasi tepercaya, protokol aman, menyediakan mekanisme untuk mengidentifikasi dan mengotentikasi subjek dan objek akses baik di tingkat orang maupun pada tingkat proses, memberikan kepercayaan selama konfigurasi, dll.
Schneider Electric - pengontrol dari pabrikan ini beroperasi di pabrik yang terpengaruh - menerima modifikasi produk yang sesuai. Namun, ini bukan bisnis yang cepat, dan itu buruk bahwa kami mengamati sifat tindakan yang mendahului, karena konsekuensi dari bahkan satu serangan yang berhasil dapat menjadi bencana. Kita perlu memikirkan tindakan pencegahan untuk menanggapi ancaman dan risiko.
- Apakah ada orang di dunia yang berpikir proaktif?
- Proses serius sedang dilakukan untuk menciptakan teknologi industri di masa depan: inisiatif Industry 4.0 di Jerman, yang, menurut penulis, akan membantu dunia beralih ke struktur teknologi baru. Inisiatif Internet Industri Benda-Benda Amerika (IIoT): Ini didasarkan pada gagasan yang serupa, tetapi mencakup lebih banyak sektor ekonomi. Program nasional semacam ini muncul di Cina, Jepang.
Jelas, negara mana pun yang menganggap dirinya pemain serius di arena dunia harus menanggapi tantangan seperti itu dan membentuk agenda nasionalnya sendiri. Bersama kami, telah mengambil bentuk program negara Ekonomi Digital.
- Apakah Anda berpikir bahwa Ekonomi Digital kami adalah proyek skala IIoT di AS?
- Ini benar. Faktanya, selama 7-8 tahun terakhir, kami telah mengamati bagaimana perjuangan strategis global untuk kepemimpinan teknologi semakin meningkat di ruang internasional, yang akan menentukan konsep dan pendekatan yang dominan untuk 30-50 tahun ke depan. Hasil dari perjuangan ini turun, pada dasarnya, ke transformasi model bisnis, yang, pada gilirannya, didasarkan pada serangkaian teknologi tertentu. Mereka dalam dokumen Rusia kami disebut teknologi end-to-end.
Sebenarnya, fondasi ekonomi digital adalah tumpukan teknologi tertentu, termasuk yang meningkatkan efisiensi perusahaan industri di berbagai industri melalui otomatisasi (atau digitalisasi). Saat ini, dasar dari otomatisasi ini adalah sistem kontrol proses otomatis, yang implementasinya dimulai di Uni Soviet pada tahun 70-an abad terakhir. Kemudian pengendali logika yang dapat diprogram pertama kali muncul, yang memberikan insentif serius untuk pengembangan industri di negara maju. Dan hari ini kita sedang mendekati tonggak sejarah dimana tahap selanjutnya dari pertumbuhan cepat global dimulai, dan dasarnya adalah seperangkat teknologi yang disebut Internet Industri atau Internet Industri Benda.
- Ini bukan tentang Internet publik?
- IoT umumnya mencakup dua bidang: pengguna (atau konsumen) Internet hal-hal, di mana muncul berbagai perangkat plug-in yang dapat dipakai: untuk keperluan medis, kebugaran, dll., Dan IIoT industri - seperangkat teknologi yang akan meningkatkan efisiensi perusahaan sekarang dan dalam waktu dekat. Kita berbicara tentang mereka - tentang teknologi yang seharusnya mengarah pada peningkatan efisiensi dalam berfungsinya perusahaan tertentu, industri, dan ekonomi nasional secara keseluruhan. Parameter efisiensi ini akan ditentukan oleh seperangkat teknologi (International Telecommunication Union menyebutnya sebagai komunikasi) yang akan digunakan untuk mengatur interaksi elemen atau objek dalam infrastruktur atau antara berbagai infrastruktur.
- Tugas berskala besar. Bagaimana kemajuannya dalam hal teknologi otomasi industri dibandingkan dengan, katakanlah, IIoT?- Adapun IIoT, Konsorsium Internet Internasional (IIC) terlibat dalam pengembangan konsep. Tujuannya adalah untuk membantu mempercepat transformasi digital perusahaan dan ekonomi nasional, khususnya, dengan mempromosikan praktik terbaik. Mereka membuat dokumen dari tingkat doktrinal, dokumen pertama dari kelas buku putih muncul, yaitu, dokumen teknis yang menjelaskan teknologi spesifik untuk para spesialis tersebut, misalnya, pengembang sistem aplikasi. Karena cybersecurity adalah topik utama untuk sistem industri, teknologi yang relevan harus dilihat sebagai lintas sektoral, menembus semua proses dan level. Dalam nada ini, pendekatan baru untuk keamanan sistem Internet industri sedang dikembangkan.
- Bagaimana pekerjaan pada teknologi otomasi industri di masa depan berkembang dalam struktur Rusia?- Ada kelompok kerja khusus, yang meliputi, antara lain, ahli Solar Rostelecom, yang membentuk agenda untuk pengembangan teknologi ini, khususnya, tentang keamanan siber sistem cyber dan sistem internet industri. Ada pemahaman umum bahwa objek perlindungan saat ini adalah proses interaksi unsur-unsur baik di dalam perusahaan, misalnya, di tingkat sistem kontrol industri, dan antara perusahaan, misalnya, dalam kepemilikan yang terintegrasi secara vertikal atau bahkan antara kepemilikan. Ini, pada gilirannya, menyiratkan transformasi model bisnis.
Sangat penting di sini bahwa transformasi seperti itu memerlukan integrasi yang sangat dalam dari proses teknologi dan bisnis antara perusahaan dari industri yang sama atau bahkan industri yang berbeda. Ini akan memungkinkan perusahaan untuk dengan cepat membuat dan memasarkan produk baru yang lebih personal dari sudut pandang audiens target. Ini berarti bahwa teknologi yang sudah banyak digunakan saat ini di perusahaan modern akan semakin meluas. Dengan kata lain, itu akan menjadi seperangkat berbagai protokol telekomunikasi: dari protokol tingkat rendah ke protokol yang akan berinteraksi antara sistem otomatis atau robot yang membentuk sistem fisik cyber. Dan, di samping itu, akan ada berbagai teknologi informasi - kombinasi dari seluruh sistem dan perangkat lunak yang diterapkan. Ada risiko dalam hal ini.
- Risiko membuat kesalahan dengan pilihan teknologi?- Karena Internet industri adalah kombinasi teknologi informasi dan komunikasi yang menembus seluruh sistem dari atas ke bawah: dari sensor cerdas ke sistem yang mengontrol proses teknologi atau mengeluarkan tugas tertentu atau membuat ramalan, topik keamanan dunia maya adalah lintas sektoral. Dalam hal ini, metode keamanan harus ada dalam pengembangan teknologi baru pada awalnya, bahkan pada tingkat pembentukan persyaratan. Mereka harus diterapkan baik pada sistem secara keseluruhan maupun pada teknologi di mana sistem ini diimplementasikan.
Secara alami, dalam industri yang berbeda, sistem ini memiliki dan akan memiliki spesifikasi sendiri. Dalam industri tenaga listrik, misalnya, bahkan istilah "industri Internet" belum berakar, mereka berbicara tentang teknologi Smart Grid atau jaringan adaptif aktif, meskipun tugas umumnya sama: sensor cerdas, misalnya arus, transformator tegangan, adalah sistem yang sama tingkat atas. Hal yang sama berlaku dalam minyak dan gas: dari sensor tingkat tekanan cerdas dan sensor lainnya ke sistem pendukung keputusan. Cybersecurity adalah seperangkat teknologi dan metode end-to-end yang harus memastikan fungsi sistem cyberfisik yang berkelanjutan.
Namun, dalam program Ekonomi Digital, menurut saya komponen serius pengembangan teknologi masa depan ini praktis tidak tercermin, dan pada kenyataannya kita berbicara tentang keamanan sistem industri. Arah ini dialokasikan dalam kelompok yang terpisah, tetapi perlu - mutlak diperlukan - agar topik keamanan siber hadir di setiap kelompok kerja, di setiap vertikal, di mana teknologi lintas sektor dibahas. Kami selalu mengadvokasi ini dan berharap mereka akan mendengarkan kami.
- Mengapa tidak cukup untuk menangani masalah keamanan sebagai tim terpisah, sehingga dapat dikatakan, murni profesional?- Faktanya adalah bahwa kita berbicara tentang sistem pertukaran data multi-level yang sangat kompleks. Seperti yang saya katakan, perlu dirumuskan persyaratan teknis untuk keamanan siber untuk seluruh sistem dan elemen-elemennya. Tapi itu belum semuanya. Kita harus merumuskan persyaratan keamanan siber yang didasarkan pada model ancaman yang memadai dan model penyusup untuk elemen dan sistem. Jelas bahwa tugas-tugas ini dapat dilakukan dengan kualitas yang tepat, hanya dengan bekerja dalam kelompok tematis secara berkelanjutan. Pengembangan proposal cybersecurity IIoT yang komprehensif dimungkinkan melalui kemitraan ekosistem yang telah mapan.
Jika fitur-fitur khusus ini tidak diletakkan bahkan pada tahap pembentukan peta jalan Ekonomi Digital, maka pekerjaan yang sesuai tidak akan dilakukan. Dan jika kita tidak merumuskan persyaratan dasar untuk elemen-elemen sistem dan sistem Ekonomi Digital secara keseluruhan, maka tidak akan ada persyaratan untuk teknologi yang akan muncul: teknologi perlindungan mikroprosesor, protokol aman, perlindungan chip ASIC khusus, chip lain, berbasis sistem kristal, dll.
- Apa ancaman cyber utama saat ini untuk sistem kontrol industri? Serangan yang ditargetkan seperti Triton?
- Statistik menunjukkan bahwa hari ini, ICS terintegrasi sangat kuat dengan sistem tingkat atas (sistem pengiriman SCADA atau sistem kontrol bengkel MES), mendukung pertukaran data dua arah yang intensif, dan tingkat tindakan perlindungan, baik organisasi maupun teknis, di tingkat ICS seringkali cukup rendah.
Dan inilah yang penting: dalam hal lima tingkat sistem perusahaan, dalam beberapa tahun terakhir, di tingkat atas, mereka telah terlibat dalam keamanan setidaknya, tetapi pada tingkat yang lebih rendah, mereka belum melakukan apa-apa sama sekali. Dalam situasi seperti itu, integrasi level jelas mengarah pada peningkatan risiko. Ancaman terhadap operasi berkelanjutan pabrik tidak hanya serangan yang ditargetkan, tetapi juga insiden komputer lainnya, termasuk serangan cyber non-spesifik besar-besaran seperti WannaCry dan Petya. Kasus-kasus infeksi perusahaan industri dengan virus-virus ini telah dicatat: awalnya, serangan itu, kemungkinan besar, tidak ditujukan pada ICS, tetapi secara tidak sengaja jatuh ke dalam infrastruktur.
Memang, sering di perusahaan tidak ada kontrol arus informasi, seperti juga tidak ada pembaruan keamanan saat ini. Tidak ada proses yang dibangun untuk menanggapi situasi ini. Jika suatu tempat di tingkat sistem perusahaan serangan massal WannaCry telah dimulai, dapat dengan mudah pergi ke tingkat sistem kontrol industri dan akan "hidup" dalam struktur ini. Secara relatif, sebuah malware yang mengimplementasikan serangan penolakan layanan selama infeksi massal sistem kontrol proses otomatis mungkin memiliki efek pada proses itu sendiri. Sayangnya, tidak semua perusahaan mengetahui risiko ini. Mereka sering meyakinkan diri mereka dengan pemikiran: "Sebagai objek serangan yang ditargetkan, saya tidak tertarik pada siapa pun, yang berarti bahwa saya tidak memiliki masalah dengan keamanan cybersecurity produksi." Tapi ini tidak benar.
Masalah utama hari ini adalah, menurut pendapat saya, bahwa Internet industri masa depan, dipahami sebagai kombinasi teknologi, pada awalnya memiliki kerentanan serius - protokol telekomunikasi modern, perangkat lunak dan perangkat keras dari berbagai tingkat yang digunakan untuk membuat sistem kritis yang awalnya tidak dilindungi dari paparan. serangan komputer pada mereka.
- Apakah ini masalah untuk semua industri?- Semuanya. Saat ini, ada kecenderungan yang jelas untuk menyatukan dan menggunakan teknologi dari dunia TI dalam sistem ICS: peralatan switching, setumpuk protokol telekomunikasi. Ambil, misalnya, listrik. Gardu digital menggunakan protokol berdasarkan tumpukan TCP / IP. Dan fakta bahwa TCP / IP pada awalnya rentan terhadap serangan komputer diketahui oleh spesialis keamanan informasi pemula. Di semua sektor, sistem operasi serba guna banyak digunakan, yang memiliki sejumlah besar kerentanan yang teridentifikasi secara berkala, dan kekhasan eksploitasi di perusahaan industri tidak memungkinkan mereka untuk segera ditutup. Hal yang sama berlaku untuk sistem operasi tertanam. SCADA-sistem kerja pengawasan pengawasan di tingkat atas dari sistem kontrol proses otomatis - pada kenyataannya, workstation dan server biasa di bawah kendali OS tujuan umum.
- Bisakah Anda memperkirakan volume pengenalan teknologi baru?- Ambil industri tenaga listrik - program transformasi digital telah diumumkan di industri. Dan di negara kita saat ini hanya ada lima gardu digital. Lima! Tetapi dalam 10 tahun, ratusan ribu harus diciptakan. Ini bukan permainan kata-kata, itu kenyataan - "rencana GOELRO" yang benar-benar baru. Jika keputusan yang diketik dari masa depan ini tidak dengan hati-hati dibuat dari sudut pandang keamanan siber, mereka pasti akan muncul, tetapi dalam bentuk apa?
Oleh karena itu, saya yakin: jika kita tidak merumuskan persyaratan sistem untuk keamanan siber pada tahap saat ini, ini akan menjadi faktor pembatas bagi munculnya teknologi keamanan yang efektif dalam teknologi sistem masa depan dan akan menimbulkan risiko sistemik bahwa mereka akan rentan terhadap serangan komputer sejak awal. Dan terlepas dari kenyataan bahwa sistem-sistem semacam itu dipanggil untuk berfungsi di masa depan dalam sektor-sektor ekonomi yang penting secara sistemik: energi, sektor minyak dan gas, metalurgi, pertanian, di mana sekarang bahkan gabungan gandum biasa sudah berubah menjadi "mesin CNC" - "benda" dari Internet industri.
- Bagaimana keadaan perusahaan-perusahaan industri yang harus melalui transformasi digital menuju sistem cyber-fisik masa depan?β , , . . 30 , , , -. . . , , «» , . Β« , . . β , Β», β . , , . , , , , , . , . .
β ?β , , . , , Shodan. «» : ( ) , .
β , TCP/IP - . ?β , . , , . Air Gap β β . , , , , - , . , , β .
. , , . , . : , , .
β ?
β - . 10 , , , . 2016 . β () . , : , .
β31 2014 Β« , , , Β» 187- Β« Β» 2017 .
, 2014 , β -187 .
β , -187?β , ( β ): , , , , , , .. . -187 , . , .
β compliance ?β . .
: , ( ), . , , .
: . , , β . , , IDS (Intrusion Detection System, ).
: , , . . , , , .
: , , IDS. , β , . , .
β ?
β - . , , , - . , ( , ), -187. β , β . , .
, . .
β ?
β , . β127 Β« , Β» 8 2018 . , , .
, . , , Β« Β». : , , . , : , . ! , , . : , .
. , . , , , . .
β ?β . . 2015 . , β Β« Β» β . β . , , , . , , .
β ?β , . , , , Schneider Electric Siemens 62443-4-1 Β« . Β». β . , (Security Development Lifecycle, SDL) . , , .
β - , , , , Linux?β Linux . , , Linux : - (SCADA) . . - Linux , , , .
β . , , 61508 Β« , , , Β». β , , .
, , , Linux, . , , , . , , , , , , .
β , ?β . β . β - . , , . , Β« Β». β .
β β , . , , , . : β , , .
Misalnya, peta jalan dibuat untuk, katakanlah, pengembangan Internet industri dalam industri tertentu. Baginya, kami memiliki prinsip arsitektur khusus konstruksi, jenis-jenis teknologi informasi dan komunikasi yang digunakan di setiap tingkat. Kemudian, untuk Ekonomi Digital secara keseluruhan, kerangka kerja keamanan akan dibuat.