2 июля на одном из ядерных объектов Ирана произошел взрыв и пожар, причиной которого, вероятно, стала кибератака. Перед инцидентом на электронную почту службы BBC пришло письмо, в котором некая группировка «Гепарды родины» сообщила, что берет на себя ответственность за происшествие. Данная группировка называет себя оппозиционной к настоящим властям Ирана. Однако ранее она нигде не фигурировала. Это наводит на мысль об использовании ее как щита для истинных виновников инцидента.
Напомним, что в мае власти Израиля сообщили о кибератаках на объекты очистки водоснабжения страны, где целью злоумышленников были АСУ ТП и программируемые логические контроллеры управления клапанами, что могло привести к остановке процесса очистки. АСУ ТП имело подключение к сотовой связи для удаленного управления, и первой мишенью являлся маршрутизатор сотовой связи.
Интересно, что администрация президента США Дональда Трампа обвинила в кибератаке Иран. В то же время несмотря на то, что официальные лица редко берут на себя подобную ответственность, 8 июля Дональд Трамп в интервью газете The Washington Post признался, что давал указание совершить кибератаку на российскую компанию «Агентство интернет-исследований» в 2018 году. Возможно, это был шаг саморекламы в гонке за голосами избирателей (напомним, что демократы обвиняют его в использовании России для вброса голосов), однако вероятность правдивости высказывания также высока. Таким образом, он фактически подтвердил, что киберинструменты в США давно используются в политических целях.
Промышленные объекты являются привлекательной целью для подобных диверсий. Тем более что зачастую на них используется устаревшее программное и системной обеспечение, а вопрос обновления в рамках производственного процесса (даже для систем управления) связан со множеством рисков. С другой стороны, не редки случаи подключения Интернет-каналов разного рода (сотовые, спутник, Ethernet и т. д.) через не самые надежные сетевые устройства непосредственно в АСУ ТП сегменты для оперативного удаленного мониторинга.
Защите объектов АСУ ТП необходимо уделять максимальное внимание. И выполнять требования регуляторов не формально, а осознанно выбирать стратегию и средства защиты.
Промышленные объекты обладают свойствами, которые можно использовать при планировании защиты, в частности ограниченный перечень необходимого ПО и сетевых протоколов. Здесь эффективно может сработать принцип «белого листа», если его грамотно настроить. Ограниченный перечень необходимого оборудования и возможность работы с запретом и контролем внешних устройств (USB, PCI), контролем целостности, средствами мониторинга систем и сетевых протоколов. Напомним, что группа компаний Angara рекомендует применять специализированные средства защиты АСУ ТП, умеющие работать со специфичными протоколами и ПО Industrial Control Systems (ISC):
-
Kaspersky Industrial CyberSecurity, который подразумевает:
o KICS for Nodes – агентское решение, выполняющее защиту конечных узлов технологической сети, включая контроль запуска приложений, устройств, беспроводных сетей, средства обнаружения вредоносных программ,
o KICS for Networks – сетевой сенсор, осуществляющий в том числе мониторинг целостности технологической ЛВС, анализ прикладных технологических протоколов и хранение информации о сетевых событиях.
-
Positive Technologies Industrial Security Incident Manager (PT ISIM) – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, включая инвентаризацию сетевых активов, контроль информационного взаимодействия, обнаружение и предотвращение кибератак на АСУ ТП, выявление неавторизованного управления системами и другие функции.
-
Криптомодули ViPNet SIES Core & Pack, предназначенные для интеграции в автоматизированные системы управления и системы межмашинного взаимодействия для выполнения криптографических операций в виде набора простых команд для обработки пользовательских данных.
-
Некоторые производители NGFW имеют поддержку технологических протоколов, например Palo Alto Networks, Check Point, ViPNet Coordinator IG. Вплоть до анализа конкретных команд в реализации протокола и гранулирования правил с учетом передаваемой в протоколе команды (Modbus Function Control).
Производить анализ защищенности SCADA-систем как общими сканерами, так и узкоспециализированными можно сканером анализа защищенности технологических сетей ПК «SCADA-Аудитор». Teenable Nessus содержит несколько модулей проверок систем SCADA.
