CC BY
254N 2. Октябрь 2018 г.
19
Динар Набиуллин,
студент Казанского Государственного энергетического университета
Рустем Вилданов,
Кандидат технических наук доцент кафедры «Тепловые электрические станции» Казанского Государственного энергетического университета
Dinar Nabiullin,
Student Kazan State power university
Rustem Vildanov,
Ph.D., associate professor "Thermal power plants " of the Kazan State power university
О ВОПРОСАХ КИБЕРБЕЗОПАСНОСТИ В ЭНЕРГЕТИКЕ ON ISSUES OF CYBER SECURITY IN ENERGETICS
Аннотация. В данной статье рассмотрены проблемы кибербезопасности в энергетике. Авторы раскрывают актуальные уязвимости в автоматизированных устройствах энергетики. Особое внимание обращается на подходы к оценке защищенности компьютеров от внешнего проникновения.
Ключевые слова: энергетика, информационная безопасность, уязвимость автоматизированных систем.
Abstract. This article discusses the problems of cybersecurity in the energy sector. The author reveals the actual vulnerabilities in automated energy devices. Particular attention is drawn to approaches to assessing the security of computers from external penetration.
Key words: power, information security, vulnerability of the automated systems.
Энергетика становится более сложной, взаимозависимой, и динамической отраслью. Проблема информационной безопасности пока неактуальна, однако, через 5-10 лет эта проблема может стать первостепенной в различных сегментах энергетики.
Кибербезопасность, безусловно, будет играть значительную роль в повышении эффективности технологического процесса, так отказ оборудования рабочих систем снижает надежность, бесперебойность выработки, и распределения энергетических ресурсов. Основной ее задачей станет проведение анализа по уязвимостям внутри конкретной электростанции, а также проведение контроля доступа, учета, и информационной безопасности на предприятии.
Если говорить о технологических объектах, то следует учитывать специфику АСУ ТП (автоматизированных систем управления технологическим процессом), SCADA (Диспетчерское управление и сбор данных), а также РСУ (распределенной системы управле-
ния). При построении системы обеспечения информационной безопасности необходимо тщательно изучить объект защиты и сами технологические процессы и учитывать множество возможных факторов.
Начатие киберпреступления
Киберпреступление можно разделить на 4 этапа:
1) Подготовка к атакам;
2) Проникновение в систему;
3) Распространение;
4) Вредительство
Подготовка к атакам:
Подготовка кибератаки включает в себя определение конкретной цели (АЭС, ТЭС (ТЭЦ), подстанция, ГЭС, ГРЭС), нахождение максимального количества информации о ней, выявление слабых мест в системе безопасности. Затем производится выработка стратегии, подбираются средства проникновения из ранее созданных, либо создаются новые, специализированные, затем они тестируются на моделях. Проводится мониторинг откры-
20 _
тых портов на проникновение в систему.
Проникновение в систему:
На этом этапе злоумышленник внедряет в закрытый хост (сервер) троянскую программу или «червь», способный нанести непоправимый ущерб оборудованию. В данном случае осуществляется внедрение вредоносного кода в закрытую сеть.
Распространение:
Здесь злоумышленник пытается максимально распространить свою программу внутри устройства, ориентируясь на особо важные точки - рабочие сервера. Работая протоколами RDR, работая под правами администратора, будучи незамеченным системой безопасности.
Вредительство:
Данный этап является ключевой точкой, где происходит удаление особо важных файлов, манипуляции с устройствами, мониторинг и шпионаж, а также нейтрализация работы электрооборудования.
Создателей подобных угроз отличает высокая квалификация и глубокое понимание промышленных систем управления и протоколов связи в электроэнергетике.
Данные атаки могут проводить глубоко не "индивидуальные" лица, а целые группировки, действующие в интересах какого-либо предприятия или государства.
Поимка этих вредителей делает не столько трудной, сколько невозможной с целью выявить всех преступников.
Первые появления кибератак в энергетике
Одна из первых известных и самых мощных кибератак была произведено в 2010 году на Иранские предприятия, в частности АЭС.
Это первый известный компьютерный «червь», перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens. Таким образом, «червь» может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций [2].
Далее следовали наиболее опасные и колоссальные атаки, это атаки BlackEnergy:
ВЕСТИ НАУЧНЫХ ДОСТИЖЕНИЙ
В1аскЕпе^у использовался кибергруппой злоумышленников для атак на пользователей, с использованием троянской программы, злоумышленники доставляли на компьютеры жертв специальный компонент "KШDisk", специализирующийся на уничтожении файлов на диске.
Win32/Industroyer: Создателей Win32/ Industroyer отличает высокая квалификация и глубокое понимание промышленных систем управления и протоколов связи в электроэнергетике. Маловероятно, чтобы кто-либо мог написать и протестировать подобное ПО без доступа к специализированному оборудованию, которое используется в целевой среде [4].
Каждая атака имела свою уникальность и последствия, следовательно, атака имела "целевой" характер.
Протокол МЭК 61850. Уязвимость и защита.
Рассмотрим канальную систему протоколирования МЭК 61850, предназначенную для передачи данных между устройствами АСУ ТП и устройствами релейной защиты.
Как правило, при построении АСУ ТП предполагается, что обмен информацией между низовыми устройствами и объектной SCADA реализуется через станционные контроллеры (коммуникационные серверы). При такой архитектуре системы коммуникационный сервер становится слабым звеном и вносит дополнительную задержку, увеличивающую время доставки информации в объектную SCADA, а при конкретной DDOS атаке, сервера могут конкретно приостановиться, что в последствии может ввести отказ в обслуживании [1].
Для решения данной проблемы необходимо:
Максимально подробно выполнять анализ уязвимостей всех компонентов системы с помощью:
1) контроля сетевых соединений
2) используемых программ (антивирус),
3) действий пользователей (контроль привилегированных пользователей);
4) выявлять многоступенчатые таргетиро-ванные атаки
5) предоставлять информацию в удобном виде для специалистов по безопасности и в области автоматизации;
N 2. Октябрь 2018 г.
6) учитывать особенности исследуемой системы, не влиять на ее работу в процессе проверки;
7) иметь шифрованные данные (но судя по источникам получения информации, данные устройства могут быть ограничены в принятии более "сложных" команд)
Способы предотвращения кибератак
Перед тем как начать кибератаку, хакеры полностью изучают инфраструктуру электрической станции, заранее рассматривают каждую уязвимость и способ внедрения своей программы.
Для предотвращения кибератак также необходимо проводить мероприятия по
необходимости проверки компьютеров, устройств РЗ, и SCADA систем на функциональную работу.
Нужно придерживаться мнения, что системы остаются защищенными от кибератак до тех пор, пока вся технологическая структура держится в секрете от посторонних лиц. Можно предположить, что, не имея детализированных спецификаций, злоумышленники не смогут обмениваться данными с оборудованием (и даже, не станут пытаться это делать). Такой подход сокрытия информации заблокирует все возможности для проведения кибератак на отдельные устройства или сети [3].
Другим способом повышения безопасности и защиты от нелегального проникновения или намеренного искажения информации является:
- разработка стандарта предприятия по
_ 21
обеспечению информационной безопасности (серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии)
- создание выделенных сегментов коммуникационных сетей, использующихся для настройки и переконфигурирования микропроцессорных и коммуникационных устройств, которые должны быть нормально отключены (снято питание с коммуникационных устройств или разобраны разъемы) Кибербез-опасность объектов
- ограничение или исключение использования беспроводного и удаленного доступа в АСУ ТП без авторизации и аутентификации. В данном случае речь идет несанкционированном доступе в систему через протокол telnet, где можно авторизоваться и войти в систему имея доступ к внутреннему IP адресу и порту.
Мероприятия по организации защиты информационной безопасности промышленных предприятий.
Основной задачей является:
A) препятствование персоналу скачивать неизвестные файлы с посторонних ресурсов.
Б) создание плана по проведению информационно-разъяснительной работы по кибер-безопасности промышленных предприятий.
B) создание журнала учета по нестабильной работе компьютеров и SCADA систем.
Список литературы
1. Bryan L. Singer. Кибербезопасность промышленных систем, 2011. - 203 с.
2. Н. Кузнецов, Владимир Кульба. Информационная безопасность систем организационного управления., 2006.-440с.
3. Скляр В.В. Обеспечение безопасности АСУТП, 2018. - 384 с.
4. Чипига А. Р. Информационная безопасность автоматизированных систем, 2010. - 336 с.
