O público é regularmente perturbado por relatos de ataques cibernéticos a empresas industriais em diferentes países. Os reguladores russos exigem a proteção de instalações críticas para o funcionamento da economia.
Estamos publicando uma entrevista com Vladimir Karantaev, chefe do grupo de trabalho do CIGRE sobre questões de segurança cibernética (implementação de centros de operações de segurança na indústria de energia elétrica como parte do sistema de conscientização situacional), chefe da direção de segurança cibernética dos sistemas automatizados de controle de processos da Rostelecom Solar, sobre tendências em ataques a segmentos de sistemas de controle automatizados AT, problemas arquitetônicos na segurança da Internet industrial das coisas, o programa de Economia Digital e as etapas necessárias para proteger as empresas industriais das ameaças cibernéticas.
- Geralmente, uma conversa com um especialista no campo da segurança da informação começa com "histórias assustadoras" que excitam a imaginação das pessoas comuns. Conte-nos sobre sua atitude para com os eventos mais marcantes desse tipo relacionados a empresas industriais.
- Sim, a imprensa gosta de discutir histórias de alto nível sobre ataques cibernéticos. Esta é provavelmente a primeira vez que se fala em ataques cibernéticos direcionados a instalações industriais em conexão com o vírus Stuxnet. Ainda é frequentemente citado como exemplo, embora tenham se passado mais de 10 anos desde o incidente e vários livros tenham sido escritos sobre o assunto. Dos casos mais recentes, o malware Industroyer, que levou a grandes apagões na Ucrânia no final de 2015, e Triton, que foi descoberto em uma planta petroquímica na Arábia Saudita no verão de 2017.
Eu vejo uma certa tendência por trás desses eventos. De acordo com várias estimativas, não foram desenvolvidos mais de cinco tipos de software malicioso especializado especificamente para ataques a sistemas automatizados de controle de processos, dos quais apenas três foram direcionados diretamente para interromper o processo. E então Triton apareceu - um ataque, cujo objetivo final é o início de consequências físicas para o funcionamento de instalações de produção perigosas (OPO), ou seja, desencadeamento dos chamados riscos de SMS, cuja avaliação nos últimos anos foi incluída na prática de gestão de organizações de benefício público. Este caso é fundamentalmente diferente do que era antes. Na minha opinião, Triton trouxe ameaças de segurança cibernética do ICS para a próxima rodada de desenvolvimento.
O vírus Triton estava focado em um tipo específico de sistema automatizado - proteção de emergência (PAZ), que é a "última fronteira" da operação segura do HOP. Hoje, os PAZs suportam a configuração remota de estações de trabalho na rede, e esse foi o ataque. Seu objetivo final era substituir o processo legítimo de configurar o controlador PAZ pela capacidade de ajustar suas configurações. Isso foi facilitado, em particular, pelo fato de que nem o software de configuração nem o protocolo de rede previam medidas de segurança. Isso apesar do fato de que, no nível da documentação regulamentar e técnica, as medidas de segurança cibernética foram descritas em 2013. Se o ataque fosse bem-sucedido, provavelmente levaria a consequências físicas para a empresa.
- A empresa poderia tomar medidas de proteção?
- Sim, uma empresa que opera um controlador PAZ pode tomar certas medidas: use o fortalecimento do SO na AWS com software de engenharia, organize e implemente medidas para identificação e autenticação, monitorando sistemas e processos críticos desse tipo de AWS usando SOC. A peculiaridade é que, por algum motivo, a chave de hardware do controlador PAZ estava em uma posição que permitia programação e configuração. Era possível e necessário aplicar medidas organizacionais que governam o uso de tal regime durante a operação.
Vale a pena notar que o fabricante dos sistemas pode tomar uma gama muito maior de medidas. Por exemplo, implemente e use um sistema operacional confiável, um protocolo seguro, forneça mecanismos para identificar e autenticar sujeitos e objetos de acesso, tanto no nível de pessoas quanto no nível do processo, forneça confiança durante a configuração etc.
A Schneider Electric - o controlador deste fabricante estava operando na planta afetada - realizou as modificações correspondentes de seus produtos. No entanto, esse não é um negócio rápido, e é ruim observarmos a natureza precedente das ações, porque as consequências de um único ataque bem-sucedido podem ser catastróficas. Precisamos pensar em medidas preventivas para responder a ameaças e riscos.
- Alguém no mundo pensa proativamente?
- Processos sérios estão em andamento para criar as tecnologias industriais do futuro: a iniciativa Industry 4.0 na Alemanha, que, segundo os autores, deve ajudar o mundo a mudar para uma nova estrutura tecnológica. Iniciativa da Internet das Coisas Industrial Americana (IIoT): Baseia-se em uma idéia semelhante, mas abrange mais setores da economia. Programas nacionais desse tipo apareceram na China, Japão.
Obviamente, qualquer país que se considere um jogador sério na arena mundial deve responder a esses desafios e formar sua própria agenda nacional. Conosco, assumiu a forma do programa estadual Economia Digital.
- Você acha que nossa economia digital é um projeto em escala IIoT nos EUA?
- é assim. De fato, nos últimos 7 a 8 anos, temos observado como a luta estratégica global pela liderança tecnológica está se intensificando no espaço internacional, o que determinará os conceitos e abordagens dominantes nos próximos 30 a 50 anos. O resultado dessa luta se resume, em essência, à transformação de modelos de negócios, que, por sua vez, baseiam-se em um conjunto específico de tecnologias. Nos documentos russos, eles eram chamados de tecnologias de ponta a ponta.
Na verdade, a base da economia digital é uma certa pilha de tecnologias, incluindo aquelas que aumentam a eficiência das empresas industriais em diferentes setores por meio da automação (ou digitalização). No momento, a base dessa automação são os sistemas automáticos de controle de processos, cuja implementação começou na União Soviética nos anos 70 do século passado. Surgiram então os primeiros controladores lógicos programáveis, que incentivaram seriamente o desenvolvimento da indústria nos países desenvolvidos. E hoje estamos nos aproximando do marco além do qual o próximo estágio de crescimento rápido global começa, e sua base provavelmente será um conjunto de tecnologias chamado Internet Industrial ou Internet Industrial das Coisas.
- Isso não é sobre a Internet pública?
- A IoT geralmente abrange duas áreas: a Internet das coisas do usuário (ou consumidor), na qual aparecem vários dispositivos de plug-in vestíveis: para fins médicos, condicionamento físico etc. e IIoT industrial - um conjunto de tecnologias que aumentará a eficiência das empresas atualmente e no futuro próximo. Estamos falando sobre eles - sobre as tecnologias que devem levar ao aumento da eficiência no funcionamento de empresas, indústrias e na economia nacional como um todo. Os parâmetros dessa eficiência serão determinados por um conjunto de tecnologias (a União Internacional de Telecomunicações as chama de infocomunicação) que serão usadas para organizar a interação de elementos ou objetos dentro da infraestrutura ou entre diferentes infraestruturas.
- A tarefa é em larga escala. Como está progredindo em termos de tecnologias de automação industrial em comparação com, digamos, a IIoT?- Quanto à IIoT, o International Internet Consortium (IIC) está envolvido no desenvolvimento do conceito. Seu objetivo é ajudar a acelerar a transformação digital das empresas e economias nacionais, em particular, promovendo as melhores práticas. Eles criam documentos de nível doutrinário; os primeiros documentos da classe de white paper aparecem, ou seja, documentos técnicos explicando tecnologias específicas para esses especialistas, por exemplo, desenvolvedores de sistemas de aplicativos. Como a cibersegurança é um tópico importante para sistemas industriais, as tecnologias relevantes devem ser vistas como transversais, permeando todos os processos e níveis. Nesse sentido, novas abordagens para a segurança dos sistemas industriais da Internet estão sendo desenvolvidas.
- Como o trabalho sobre tecnologias de automação industrial do futuro está progredindo nas estruturas russas?- Existem grupos de trabalho especiais, que incluem, entre outros, especialistas da Rostelecom Solar, que formam a agenda para o desenvolvimento dessas tecnologias, em particular sobre a cibersegurança de sistemas ciberfísicos e sistemas industriais da Internet. Atualmente, existe um entendimento comum de que os objetos de proteção são os processos de interação de elementos dentro da empresa, por exemplo, no nível ICS, e entre empresas, por exemplo, como parte de propriedades verticalmente integradas ou mesmo entre propriedades. Isso, por sua vez, implica a transformação de modelos de negócios.
É extremamente importante aqui que essas transformações exijam uma integração muito profunda dos processos tecnológicos e de negócios entre empresas do mesmo setor ou até diferentes setores. Isso permitirá que as empresas criem e comercializem rapidamente novos produtos mais personalizados do ponto de vista do público-alvo. Isso significa que as tecnologias que já são amplamente usadas hoje nas empresas modernas serão ainda mais difundidas. Em outras palavras, será um conjunto de vários protocolos de telecomunicações: de protocolos de baixo nível a protocolos que irão interagir entre sistemas automatizados ou robóticos que formam os sistemas ciber-físicos. Além disso, haverá uma variedade de tecnologias da informação - uma combinação de software aplicado em todo o sistema. Existe um risco nisso.
- O risco de cometer um erro com a escolha da tecnologia?- Como a Internet industrial é uma combinação de tecnologias de informação e comunicação que permeiam todo o sistema, de cima para baixo: de um sensor inteligente a um sistema que controla o processo tecnológico ou executa uma tarefa específica ou gera uma previsão, o tópico de segurança cibernética é transversal. Nesse sentido, os métodos de segurança devem estar presentes no desenvolvimento de novas tecnologias inicialmente, mesmo no nível de formação de requisitos. Eles devem ser aplicados ao sistema como um todo e às tecnologias nas quais esse sistema é implementado.
Naturalmente, em diferentes setores, esses sistemas têm e terão suas próprias especificidades. No setor de energia elétrica, por exemplo, mesmo o termo “Internet industrial” não se enraizou, eles falam sobre tecnologias Smart Grid ou uma rede adaptativa ativa, embora a tarefa seja geralmente a mesma: um sensor inteligente, por exemplo, um transformador de corrente e tensão, é o mesmo sistema nível superior. O mesmo vale para petróleo e gás: de um sensor inteligente de nível de pressão e outros sensores a um sistema de suporte à decisão. A cibersegurança é um conjunto de tecnologias e métodos de ponta a ponta que devem garantir o funcionamento sustentável dos sistemas ciberfísicos.
No entanto, no programa Economia Digital, parece-me que esse componente sério do desenvolvimento de tecnologias futuras praticamente não foi refletido e, de fato, estamos falando sobre a segurança dos sistemas industriais. Essa direção é alocada em um grupo separado, mas é necessário - é absolutamente necessário - que o tópico de segurança cibernética esteja presente em todos os grupos de trabalho, em todas as verticais, onde são discutidas tecnologias transversais. Sempre defendemos isso e esperamos que eles nos ouçam.
- Por que não basta lidar com questões de segurança como uma equipe separada, por assim dizer, puramente profissional?- O fato é que estamos falando de um sistema de troca de dados multinível muito complexo. Como eu disse, é necessário formular requisitos técnicos de segurança cibernética para todo o sistema e seus elementos. Mas isso não é tudo. Devemos formular esses requisitos de segurança cibernética que se baseiam em um modelo adequado de ameaças e um intruso para elementos e sistemas. É claro que essas tarefas podem ser executadas com a qualidade certa, somente trabalhando em grupos temáticos de forma contínua. O desenvolvimento de uma proposta abrangente de cibersegurança da IIoT é possível por meio de parcerias ecossistêmicas estabelecidas.
Se essas características específicas não forem estabelecidas, mesmo na fase de formação do roteiro da Economia Digital, o trabalho correspondente não será realizado. E se não formularmos os requisitos básicos para os elementos do sistema e do sistema de Economia Digital como um todo, não haverá requisitos para as tecnologias que devem aparecer: tecnologias de proteção de microprocessador, protocolos seguros, proteção de chips ASIC personalizados, outros chips, baseados em sistema cristal, etc.
- Qual é a principal ameaça cibernética hoje para sistemas de controle industrial? Ataques direcionados como Triton?
- As estatísticas mostram que hoje os ICS estão fortemente integrados aos sistemas de nível superior (sistemas de despacho SCADA ou sistemas de controle de oficina MES), suportando intensa troca de dados bidirecional e o nível de medidas de proteção, organizacionais e técnicas, no nível do ICS frequentemente bastante baixo.
E aqui está o importante: em termos dos cinco níveis de sistemas corporativos, nos últimos anos, nos níveis superiores, eles se envolveram em segurança, no mínimo, mas nos níveis inferiores, eles não fizeram nada. Em tal situação, a integração de níveis claramente leva a um aumento de riscos. A ameaça à operação contínua da planta não é apenas ataques direcionados, mas também quaisquer outros incidentes com computadores, incluindo ataques cibernéticos inespecíficos como o WannaCry e o Petya. Foram notificados casos de infecção de empresas industriais com esses vírus: inicialmente, o ataque, provavelmente, não foi direcionado ao ICS, mas caiu acidentalmente na infraestrutura.
De fato, muitas vezes nas empresas não há controle do fluxo de informações, assim como não há atualizações de segurança atuais. Não há processos criados para responder a essa situação. Se em algum lugar no nível dos sistemas corporativos um ataque em massa do WannaCry já começou, ele pode ir facilmente ao nível dos sistemas de controle industrial e "viverá" nessa estrutura. Em termos relativos, um malware que implementa um ataque de negação de serviço durante uma infecção em massa de um sistema automatizado de controle de processo pode ter um efeito no próprio processo. Infelizmente, nem todas as empresas estão cientes desse risco. Eles geralmente se tranquilizam com o pensamento: "Como objeto de um ataque direcionado, não estou interessado em ninguém, o que significa que não tenho problemas com a segurança cibernética da produção". Mas isso não é verdade.
O principal problema de hoje é, na minha opinião, que a Internet industrial do futuro, entendida como uma combinação de tecnologias, inicialmente apresenta uma séria vulnerabilidade - os modernos protocolos de telecomunicações, software e hardware de diferentes níveis usados para criar sistemas críticos não são inicialmente protegidos da exposição ataques de computador contra eles.
- Isso é um problema para todas as indústrias?Todo mundo. Hoje, existe uma clara tendência de unificar e usar tecnologias do mundo de TI nos sistemas ICS: equipamentos de comutação, uma pilha de protocolos de telecomunicações. Tome, por exemplo, eletricidade. Subestações digitais usam protocolos baseados na pilha TCP / IP. E o fato de o TCP / IP ser inicialmente vulnerável a ataques de computador é conhecido por qualquer especialista em segurança da informação iniciante. Em todos os setores, os sistemas operacionais de uso geral são amplamente utilizados, com um grande número de vulnerabilidades identificadas regularmente, e as especificidades da exploração em empresas industriais não permitem que elas sejam fechadas rapidamente. O mesmo se aplica aos sistemas operacionais incorporados. Os sistemas SCADA de controle supervisório funcionam nos níveis superiores do sistema automatizado de controle de processos - de fato, estações de trabalho e servidores comuns sob o controle de um sistema operacional de uso geral.
- Você pode estimar o volume de introdução de novas tecnologias?- Pegue a indústria de energia elétrica - um programa de transformação digital já foi anunciado na indústria. E em nosso país, no momento, existem apenas cinco subestações digitais. Cinco! Mas em 10 anos, centenas de milhares devem ser criados. , – « ». , , , , ?
: , , . , : , , , , « » – «» .
— , ?— , , . . 30 , , , -. . . , , «» , . « , . . – , », – . , , . , , , , , . , . .
— ?— , , . , , Shodan. «» : ( ) , .
— , TCP/IP - . ?— , . , , . Air Gap – – . , , , , - , . , , – .
. , , . , . : , , .
— ?
— - . 10 , , , . 2016 . – () . , : , .
№31 2014 « , , , » 187- « » 2017 .
, 2014 , – -187 .
— , -187?— , ( – ): , , , , , , .. . -187 , . , .
— compliance ?— . .
: , ( ), . , , .
: . , , – . , , IDS (Intrusion Detection System, ).
: , , . . , , , .
: , , IDS. , – , . , .
— ?
— - . , , , - . , ( , ), -187. — , — . , .
, . .
— ?
— , . №127 « , » 8 2018 . , , .
, . , , « ». : , , . , : , . ! , , . : , .
. , . , , , . .
— ?— . . 2015 . , – « » – . – . , , , . , , .
— ?— , . , , , Schneider Electric Siemens 62443-4-1 « . ». – . , (Security Development Lifecycle, SDL) . , , .
— - , , , , Linux?— Linux . , , Linux : - (SCADA) . . - Linux , , , .
– . , , 61508 « , , , ». – , , .
, , , Linux, . , , , . , , , , , , .
— , ?— . – . – - . , , . , « ». – .
– – , . , , , . : – , , .
Por exemplo, um roteiro está sendo criado para, por exemplo, o desenvolvimento da Internet industrial em um setor específico. Para ela, temos princípios arquitetônicos específicos da construção, os tipos de tecnologias de informação e comunicação utilizadas em cada nível. Então, para a economia digital como um todo, será criada uma estrutura de segurança.