CC BY
116
УДК 004.4.056; 620.9
Защита инфраструктуры ТЭК от новых средств
кибернетического нападения. Опыт борьбы с дистанционным терроризмом
А. В. Корнеев,
Центр проблем энергетической безопасности Института США и Канады РАН,
руководитель, кандидат экономических наук
В настоящее время риск кибернетических атак значительно возрос. Данный аспект коснулся и энергетической отрасли. Современные компьютерные вирусы способны вывести из строя объекты топливно-энергетического комплекса, в том числе и АЭС, что может привести к самым серьёзным последствиям. В статье описываются современные вирусные угрозы, опыт в деле защиты энергетической инфраструктуры от дистанционного кибертерроризма.
Ключевые слова: кибернетическая угроза, ТЭК, производственная безопасность, терроризм, методы защиты, компьютерные вирусы.
Кибернетические угрозы в ходе модернизации топливно-энергетических систем
В связи с общим ростом уровня террористической угрозы и увеличением числа попыток диверсионных действий, направленных на энергетические объекты, всё более актуальным становится совершенствование комплексных мер по обеспечению повышенной надёжности их эксплуатации.
За последние годы основное внимание в этой сфере уделялось разработке новой отечественной концепции безопасности предприятий энергетической и нефтегазовой инфраструктуры, изменению и ужесточению нормативных требований к их проектированию, строительству и эксплуатации с учётом активизации террористической деятельности; внедрению новых технических средств физической защиты, дистанционного мониторинга и контроля вскрытия технологической аппаратуры, маскировке охраняемых объектов, формированию и совершенствованию дополнительных ведомственных и частных охранных структур; изменению законодательной базы и принятию новых правовых актов, регламентирующих защиту инфраструктуры ТЭК.
Так, в рамках принятого Госдумой РФ Федерального закона «О безопасности объектов топливно-энергетического комплекса» более чётко определены современные принципы обеспечения безопасности предприятий топливно-энергетического комплекса, установлены дифференцированные требования к обеспечению безопасности с учётом степени угрозы совершения акта незаконного вмешательства и его возможных последствий, предусмотрены кодификация и охранная паспортизация объектов.
Активно разрабатываемая в последнее время новая отечественная доктрина энергетической безопасности также предусматривает необходимость постоянного совершенствования мер защиты энергетических объектов в ходе их последовательной модернизации.
Вместе с тем набирающее темпы интенсивное внедрение автоматизированных компьютерных систем дистанционного контроля и управления производственными процессами на предприятиях и объектах инфраструктуры ТЭК способствует появлению дополнительных угроз кибернетических атак нового типа не только в форме несанкционированного доступа к закрытой информации, но и в виде неизвестных ранее возможностей для осуществления диверсионных действий на расстоянии, в том числе организуемых с территорий других государств [1].
Заметно участившиеся случаи возникновения разнообразных труднообъяснимых аварийных ситуаций свидетельствуют о том, что современные предприятия нефтегазовой и электроэнергетической инфраструктуры становятся всё более уязвимыми в отношении сетевых террористических внедрений и актов высокотехнологичного саботажа. Так, например, одной из окончательных версий, выдвинутой ФБР в ходе расследования пожара и многочисленных взрывов в марте 2004 г. на крупном американском нефтеперерабатывающем заводе компании British Petroleum Amoco в г. Техас-Сити, стала возможность замаскированного дистанционного изменения технологических температурных режимов ректификационного оборудования по сети Интернет [2]. Одним из наиболее потенциально опасных из множества подобных инцидентов стало одновременное нарушение работы сразу двух американских АЭС компании Entergy Corp, в ноябре 2010 г. Во всех отмеченных случаях регистрировались сбои компьютерных систем управления и несанкционированный удалённый доступ к программному обеспечению [3].
Новое поколение компьютерных вирусов диверсионного назначения
К настоящему времени в мире выявлено несколько десятков новых компьютерных вирусов модульного типа, скрытно внедряемых в промышленные,
энергетические и финансовые сети с целью несанкционированного доступа к конфиденциальной информации, либо для дистанционных вредоносных действий. Наиболее опасным из них был признан троянский червь Win32/Stuxnet, которому в ноябре 2010 г. было посвящено специальное экстренное заседание американского сенатского Комитета по внутренней безопасности и обеспечивающей правительственной деятельности.
Stuxnet относится к не имеющему аналогов новому классу программного обеспечения, разработанного для диверсионных кибернетических атак. Программа использует для несанкционированного внедрения различные неизвестные ранее комплексные уязвимости в защите операционных систем (типа «zero-day exploits» с открытой датой внешней активации), скрытно полученные подлинные сертификаты для легализации встраивания своих кодов в разнообразные операционные системы и особые механизмы с элементами «искусственного интеллекта» для самостоятельного многоэтапного распространения вредоносных файлов.
Первоначальное заражение промышленных компьютеров с операционными системами MS Windows происходит путём внедрения вируса с обычных USB флеш-карт и его последующим переходом в программное обеспечение типа Siemens SPS Step 7 для
промышленных систем диспетчерского управления. Вирус также использовал неизвестную ранее уязвимость в защите от подсоединения посторонних иБВ-устройств, независимую от версии операционной системы. Начиная с середины 2010 г. было зафиксировано проникновение БШхпе! в производственные компьютерные системы по всему миру.
Особенностью БШхпе! и его производных является сложная система внутреннего шифрования компонентов, скрывающая их структуру и конкретное целевое назначение. Вирусный код способен выполнять свыше 4000 специализированных команд, меняя их последовательность в зависимости от ситуации. Разработчиками были обеспечены скрытность его работы, маскировка всех этапов внедрения и распространения, а также запуск целевой миссии вируса только в случае чёткого подтверждения того, что он проник именно в ту управляющую систему, на которую был изначально нацелен. БШхпе! использовал для внедрения не одну, а сразу четыре прежде неизвестных системных брешей, включая уязвимость «спулера печати» и две «ЕоР-уязвимости». Сразу после попадания в корпоративную сеть БШхпе! самостоятельно увеличивал свои системные привилегии для того, чтобы получить беспрепятственный доступ ко всем другим подключённым ПК. Основные особенности алгоритма внедрения вируса показаны на рис. 1.
Удалённый Web-сервер обновления Stuxnet
Удалённые компьютеры диспетчерского контроля и автоматизированного управления производством
иБВ-носители для переноса БШхпе! в закрытую сеть производственного управления без доступа в Интернет
н
Рис. 1. Внедрение вируса Win32/Stuxnet в закрытые сегменты управления промышленными и инфраструктурными объектами
Захватив эти системы, вирус применял скрытно полученный внутренний закрытый пароль для перехвата управления программным обеспечением производственного контроля. В качестве следующего шага вирус самостоятельно перепрограммировал ключевой блок P.L.C.1, для того чтобы диктовать всем управляемым SCADA-системой механизмам новые команды. Код атакующего вируса для каждой заражённой операционной системы выглядел полностью легитимным, так как впервые в известной практике был дополнительно снабжён двумя подлинными цифровыми сертификатами компаний Realtek Semiconductor и JMicron Technology, беспрепятственно проходившими все стандартные проверки защитных подсистем. Для минимизации риска обнаружения вируса в каждом периферийном USB-устройстве, с которого поступал Stuxnet, был предусмотрен программный самоуничтожаемый счётчик, не позволявший инфицировать более трёх компьютеров первичной контактной зоны с целью ограничения масштабов распространения вируса только ближайшим главным объектом атаки. Хотя функционирование червя Stuxnet рассчитано на полностью автономную работу, возможен запуск его действий по ручной команде или специальному триггерному (запускающему) событию в заражённой системе. Вирус впервые дополнительно оснащён используемым на практике «рутки-том P.L.C.», скрывающим вредоносный программный STL-код.2 По сути это специальный внедряемый модуль ядра операционной системы, который устанавливается при взломе сразу после получения повышенных прав «суперпользователя»; он включает в себя разнообразные средства для «заметания следов» вирусного вторжения. Особенностью универсального «руткита» вируса Stuxnet является возможность дополнительно замещать и основные утилиты операционной системы UNIX.
В процессе своего распространения Stuxnet ищет специфические установочные параметры целевой системы. Среди специфических шагов, которые способен выполнять Stuxnet при обнаружении цели, оказались блокирующие и замедляющие изменения во фрагментах программного кода корпорации Siemens, известных как оперативный «Блок 35». Этот компонент занимается мониторингом критических производственных операций, требующих срочной реакции автоматического управления в пределах 100 миллисекунд. Целенаправленно вмешиваясь в работу «Блока 35», Stuxnet может гарантированно вызвать сбой, ведущий к саморазрушению опасного промышленного процесса с катастрофическими последствиями [4]. Как только Stuxnet выявляет заданную критически существенную функцию в модуле P.L.C., он берёт управление атакованной производственной системой на себя. Конкретная приро-
1P.L.C. - Programmable Logic Controller, программируемый логический контроллер исполнительных производственных механизмов. «Руткит» (англ. rootkit) - набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в операционной системе.
2STL - Standard Template Library, стандартная библиотека шаблонов языка программирования.
да повреждений, вызываемых червём, остаётся неизвестной операторам атакуемой системы до момента его срабатывания. В результате оборудование периодически незаметно выходит за пределы допустимого режима работы и начинается накопление внутренних усталостных повреждений конструкционных материалов без срабатывания датчиков аварийной защиты и уведомления обслуживающего персонала. До начала своих целевых модификаций вирус незаметно записывает сигналы нормального режима работы и затем посылает их на экраны диспетчерских систем управления для обмана дежурных администраторов.
Таким образом, БШхпе! обозначил появление принципиально нового программного обеспечения для целенаправленных кибернетических атак, нацеленных на диверсионное уничтожение определённых реальных физических промышленных процессов за пределами компьютерных сетей. В будущем по описанной схеме могут создаваться гораздо более сложные и эффективные модульные инструменты вредоносного кибернетического воздействия, являющиеся высокоточным оружием избирательного назначения, нацеленным на сознательную дезорганизацию техногенной среды.
Методы организации антивирусной защиты энергетической инфраструктуры
С учётом появления новых угроз обязательным условием обеспечения бесперебойной работы предприятий ТЭК становится системная организация их активной защиты не только от обычных средств нападения, но и от быстро развивающихся компьютерных средств сетевого вторжения. При этом должны осуществляться комплексные меры по совершенствованию стандартов и процедур обеспечения производственной безопасности. Основные приоритеты такого подхода связаны с разработкой и использованием более безопасного технологического оборудования с надёжной охраной производственных территорий и транспортной инфраструктуры, непрерывной профессиональной переподготовкой персонала, регулярными тренировками и учениями специализированных корпоративных, муниципальных и федеральных служб безопасности по проведению спасательных и контртеррористических операций.
Выделяют семь основных типов возможных локальных и дистанционных атак на производственные компьютерные системы:
1. Дискредитация и потери данных при осуществлении скрытого несанкционированного доступа к файловой системе компьютеров.
2. Отказ в предоставлении информационных ресурсов пользователям в результате вывода из строя аппаратных и программных компонентов.
3. Блокирование каналов рассылки электронной почты или изменение функциональных свойств компьютеров в результате вирусного заражения.
4. Промышленный или военный шпионаж в ходе взлома компьютерных сетей и скрытой установки программ для перехвата данных.
5. Использование программных вирусов, троянских червей и специальных кодов с целью получения прав дистанционного управления операционными системами и технологическими процессами, хищения паролей и модификации записей контроля состояния вычислительных систем.
6. Скрытое использование взломанных компьютеров для проведения распределённых массовых сетевых атак, осуществления террористических актов или отвлечения внимания сетевых администраторов от защиты определённой части компьютерных сетей.
7. Ложные утечки информации и фальсифицированные данные об аварийных ситуациях и новых видах уязвимостей операционных систем для отвлечения внимания служб безопасности от направления «главного удара» [5].
Такая классификация позволяет облегчить первичное распознавание признаков скрытного нападения.
Обеспечение общей кибернетической безопасности преследует три основные цели:
а) гарантированная конфиденциальность - защита закрытой производственной информации от любых видов несанкционированного доступа;
б) контролируемая целостность - охрана программного обеспечения и данных от несанкционированных модификаций;
в) избирательная доступность - гарантированная выдача ограниченной персонально санкционированной информации для каждого идентифицированного пользователя в нужное время.
Наиболее уязвимым элементом производственных систем является недостаточно мотивированный и плохо подготовленный к критическим ситуациям персонал. В США основным способом обеспечения кибернетической безопасности в настоящее время является формирование на каждом предприятии постоянно действующей «Группы реагирования на нарушения работы компьютерных систем» (Computer Security Incident Response Team -CSIRT). Главными задачами таких групп являются мониторинг всех имеющихся компьютеров на рабочих местах, внутренних локальных сетей и их соединений с Интернетом, устранение уязвимостей программного обеспечения путём регулярного обновления его компонентов, ликвидация вирусных заражений, восстановление вредоносно модифицированных программ, аудит информационных угроз и атак взломщиков, совершенствование политики внутренней информационной безопасности, обучение персонала необходимым действиям с доведением их до автоматизма.
Одной из главных задач сотрудников групп CSIRT является контроль соблюдения десяти обязательных правил компьютерной безопасности, установленных NIPC для всех предприятий государственного и коммерческого секторов: 1) использование изменяемых в неодинаковые промежутки времени и неповторяющихся надёжных длинных паролей машинной генерации; 2) идентификация и непрерывный мониторинг доступа всех пользователей к компьютерам; 3) ежесуточное резервное копи-
рование данных на защищённые удалённые носители; 4) регулярное обновление баз данных постоянно действующих программных средств антивирусной защиты; 5) применение часто обновляемых защитных сетевых экранов программного и аппаратного исполнения; 6) регулярное обновление общего и специализированного программного обеспечения для быстрого закрытия новых уязвимостей; 7) физическое отключение компьютеров от сетей при авариях и длительных перерывах в работе; 8) полная фильтрация и строгий контроль вложений электронной почты; 9) применение на всех компьютерах съёмных жёстких дисков магнитной памяти со встроенной внутренней криптографией для раздельного защищённого хранения и дублирования данных; 10) создание многоконтурных зон физической защиты оборудования и систем постоянного контроля вскрытия аппаратуры [6].
В состав групп реагирования на нарушения безопасности работы компьютерных систем обычно входят координатор группы, администратор защитных сетевых экранов, главный системный администратор, менеджер по выявлению внешних и внутренних компьютерных атак и несанкционированного доступа к системным ресурсам, администратор систем антивирусной защиты, администратор контроля электронной почты, веб-мастер внутренних и внешних сайтов. Важным условием предотвращения угроз информационной безопасности и ликвидации коррупционных утечек данных является недопустимость совмещения выполнения указанных функций одними и теми же сотрудниками.
Каждый из администраторов при этом должен нести личную персональную ответственность только за свой участок работы и не иметь доступа к закрытой информации других членов группы. Применяются также составные пароли, изменяемые части которых хранятся у разных сотрудников и срабатывают только при коллективном одновременном или разнесённом по времени вводе в строго определённой нелинейной последовательности. Эффективным методом профилактической защиты является создание фрагментов ложных диспетчерских компьютерных сетей для выявления инсайдерской агентурной активности, внутренней коррупции и избирательного вирусного заражения. Группа быстрого реагирования всегда действует в тесном контакте с директором информационной службы предприятия, службой внутренней безопасности, внутренними и внешними экспертами, менеджерами функциональных систем производственного управления, юридическими консультантами и специалистами по связям с общественностью. Доклады по каждому выявленному инциденту служат основанием для привлечения к его расследованию местных и федеральных правоохранительных органов. Принятая унифицированная система мер государственного управления для обеспечения энергетической безопасности гарантирует постоянное циклическое обновление и адаптацию используемых защитных мер к новым видам угроз с учётом внутреннего и международного опыта.
Выводы и рекомендации
Для реализации наиболее результативного подхода к отражению кибернетических атак необходимы новые независимые структуры, осуществляющие постоянный мониторинг возможного внедрения нового вредоносного ПО во все промышленные системы, аудит установленных защитных систем, а также независимый контроль качества обучения и переподготовки персонала. Актуальность этого направления была дополнительно подчёркнута недавним решением Правительственной комиссии по высоким технологиям и инновациям РФ, которая в апреле 2011 г. возложила координацию соответствующих
работ в нашей стране в рамках технологической платформы «Интеллектуальная энергетическая система России» на Российское энергетическое агентство [7].
Важное значение в данной сфере имеет многостороннее международное сотрудничество, которое желательно развивать на базе взаимного укрепления коллективной технологической безопасности, организации многосторонней региональной охраны международных и внутренних топливных трубопроводов, привлечения экспертов из разных стран для прогнозирования и профилактики перспективных угроз.
Литература
1. Blechschmidt Р. Nato rustet sich fur Computer-Kriege // Sueddeutsche Zeitung. - 2010. - Oktober 1.
2. Oil Hits New High After Refinery Blast // Reuters. - 2004. - August 13; Texas City put on edge by BP explosion // Texas City Sun. - 2004. - March 30.
3. Malik N. S. Entergy Ends Effort to Sell Vermont Nuclear Plant // The Wall Street Journal. - 2011. - March 30.
4. Falliere N., Murchu L. O., Chien E. W32. Stuxnet Dossier. - Washington: Symantec Corporation, February 2011. - 69 pp.
5. Корнеев А. В. Если для нефтянки прозвучит сигнал «мэйдэй»: американские новации в борьбе с угрозой террористических актов в нефтяной отрасли // Нефть России. - 2004. - № 6. - С. 114-116.
6. Handling Cyber Security Alerts and Advisories and Reporting Cyber Security Incidents, DOE № 205.4. -Washington: U.S. Department of Energy, March 2002. - 8 pp.
7. Протокол заседания Правительственной комиссии по высоким технологиям и инновациям РФ от 1 апреля 2011 г. № 2.
How to protect infrastructure of fuel and energy complex from new cyber attacks.
Experience in combating with remote terrorism
A. V. Korneev,
Center of Energy Safety of USA and Canada Institute of Russian Academy of Sciences, Ph.D.
The present day risk of cyber threats has increased significantly. Increased risk affects the energy sector. Modern computer viruses can disable any objects fuel and energy complex, including nuclear power, which can lead to very serious consequences. In this regard, ensuring cyber security is one of the key tasks of the international community. In this paper describes the current virus and the experience of USA in protecting the fuel and energy complex from the remote terrorism.
Keywords: cyber-threats, fuel and energy complex, industrial security, terrorism, protection techniques, computer viruses.
VJ. IJUKIiaiKWI ГЛМН ОС МЯ И «>Х РАН МИ М РЛИ А
Комментарий эксперта:
Рекомендации по повышению защищенности промышленных систем от кибератак
Фрейдман Андрей Витальевич,
научный центр «Науцилус»
Рекомендации по повышению защищенности промышленных систем от кибератак зависят от следующих факторов:
1) имеется ли соединение сети АСУТП с Интернет;
2) используется ли в системах АСУТП ответственного назначения операционная система MS Windows;
3) используется ли в системе автоматизации процесса SCADA WinCC, шина Profibus и ПЛК S7-315.
Снизить риск от возможной атаки можно, отказавшись от WinCC/S7-315. Если контроллеров достаточно много и их замена обойдётся слишком дорого, можно ограничиться заменой лишь программы SCADA. Существуют коммерческие пакеты SCADA от независимых разработчиков, поддерживающие работу с контроллерами Siemens S7-315. Можно рекомендовать, например, пакет Wizcon Supervisor от компании Elutions. Несмотря на то, что она работает также под Windows, эта замена серьёзно затруднит хакерам возможность использовать код Stuxnet и с помощью заплаток направить его атаку на те же ПЛК, поскольку связь по шине Profibus в Wizcon^, как внешней системе по отношению к SIMATIC, организована иначе, чем в WinCC.
Другой фактор риска - использование в системе АСУТП компьютеров на базе ОС MS Windows. Большинство программных SCADA-продуктов в настоящее время работает на этой весьма уязвимой платформе. После появления операционной системы Windows NT в середине 1990-х началась массовая миграция SCADA-систем на эту плат-
форму, а проекты под другими ОС (UNIX, OS/2, QNX) стали закрываться.
Все меры защиты должны быть направлены на то, чтобы максимально затруднить вредоносным программам проникновение, разведку и атаку. Наиболее уязвимыми являются те системы, которые имеют подключение к Интернет. В системах АСУТП подключение к Интернет используется для удобства взаимодействия с удалёнными подразделениями предприятия (склады, сбытовые подразделения и т. п.). Кроме того, сеть АСУТП часто оказывается подключённой к Интернет опосредованно, через общекорпоративную сеть, поскольку данные АСУТП необходимо регулярно передавать в системы производственного планирования, бухгалтерского учёта и финансового менеджмента предприятия. Отсутствие подключения к Интернет часто используется для защиты ответственных участков производства стратегического назначения и снижает риск проникновения вредоносных программ в систему. Но, как показал случай со Stuxnet, не исключает его. Передача данных из интернет-зоны в АСУТП и обратно через сменные носители должна быть регламентирована и осуществляться с ответственным тестированием носителя - желательно с помощью средств, работающих в иной ОС (подобных Rescue Disk под ОС Linux от Лаборатории Касперского).
См. также:
www.daily.sec.ru/publication.cfm?pid=28286
www.phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf
