29 января, 2016
Таблетка для завода.
Ура! Мы выпустили KICS (Kaspersky Industrial CyberSecurity) – специальную «таблетку» от кибер-неприятностей для заводов, электростанций, больниц, аэропортов, отелей, складов, вашей любимой пекарни и тысяч других видов предприятий, использующих компьютерные системы управления. А поскольку редкое современное предприятие обходится без таких систем, то, да, мы выпустили решение для миллионов больших, средних и малых производственных и сервисных бизнесов по всему миру!
Что такое KICS? Зачем это нужно? И для чего конкретно?
До начала 2000-х возможность кибер-атак на промышленные объекты была источником вдохновения для научных фантастов. А 14 августа 2003г. на востоке США и Канады неожиданно случилось вот такое:
Из-за неких неполадок в электросети 50 миллионов человек остались без электричества на срок от нескольких часов до нескольких дней. Обсуждалось много причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и … версия побочного эффекта от атаки компьютерного червя Slammer (Blaster).
Насколько я понимаю, там было совмещение всех этих факторов. Т.е. случилась нештатная ситуация (ёлки-белки) и одновременно червяк порушил систему оповещения. ЧП местного масштаба, которое не смогло быть отработано на центральном уровне, из-за чего ситуация веерно накрыла весь регион.
Наверняка подобные инциденты случались и до этого, ведь компьютеры вошли в практику управления производствами уже давно, да и компьютерные сети родились не вчера. Но инциденты эти либо умалчивались, либо навешивались на некие другие причины. Впрочем, важно другое – с тех пор новости про кибер-атаки на промышленные объекты посыпались одна за другой и чем дальше, тем больше. А атака Stuxnet против иранской ядерной программы в 2010г. показала, что у проблемы есть ещё и военный аспект.
Вывод: промышленные объекты также уязвимы перед кибер-атаками, причём последствия игнорирования этого факта могут быть ой какими неприятными, иногда даже катастрофическими.
Понятно, что защищать надо, но как?
Обычные endpoint-решения могут прикрыть только часть инфраструктуры предприятия – то, что принято называть корпоративной сетью. Защита производственных процессов (индустриальная сеть) требует совершенно другого подхода. Здесь вообще всё другое – объекты защиты (PLC, SCADA, HMI…), окружение, а главное – задачи и их реализация.
В отличие от обычной офисной IT-инфраструктуры здесь важно обеспечить непрерывность производственного процесса. То есть классический принцип «конфиденциальность, целостность, доступность» в порядке приоритетности звучит как «доступность, целостность, конфиденциальность». Поэтому мы и сделали KICS.
Что хочу отметить особенно: это не продукт, а проектное решение.
Простой установкой софта не защитить индустриальную сеть – нужно проанализировать внутренние процессы, технологии и оборудование, разработать модель угроз и стратегию защиты, адаптировать софт под специфические требования сети, обучить специалистов и много всего другого, чтобы обеспечить ту самую непрерывность. Мы внимательно изучили все эти требования, много консультировались с заказчиками, смотрели на мировой опыт и у нас уже есть два успешных внедрения в нефтяной и логистической компаниях.
Самое любопытное – это первые результаты внедрений.
К сожалению, мы (по понятным причинам) не можем рассказать обо всех находках – только в общих чертах, чтобы представить масштабы и градус открытий. В течение нескольких дней после начала работы KICS один заказчик выявил сразу несколько серьёзных нарушений, в том числе несанкционированное подключение ноутбука одним из сотрудников (опс!). Можно себе представить сколько «открытий чудных» приносит KICS каждую неделю и какие неприятности он помогает предотвратить.
В некоторой степени индустриальные сети даже менее защищены, чем обычные корпоративные IT-инфраструктуры.
Бытует мнение, что на промышленных объектах главное правило — «работает – не трогай». Конечно, не повсеместно, но такое правило действительно есть и оно, увы, превалирует. Т.е. если есть налаженный производственный цикл, то пусть он крутится хоть на ни разу не обновлённом софте 20-летней давности. Пусть объект «торчит» в Интернет. Пусть всё что угодно, главное НЕ ТРОГАТЬ. Потому что слишком радивый сотрудник, решивший озаботиться безопасностью будет немедленно уволен с волчьим билетом, если установленный патч хоть на минуту остановит процесс. И это вполне логично!
Но обречённо ждать неприятностей в угоду непрерывности тоже не выход! («пока гром не грянет — мужик не перекрестится»).
В конце прошлого года мы провели открытое кибер-соревнование для изучения векторов атак против критической инфраструктуры на примере стенда реальной электрической подстанции, построенной по современным технологиям и в соответствии со стандартом IEC61850.
И что бы вы думали? На подстанции устроили короткое замыкание взломом уже через 3 часа, причём сразу двумя способами! Всего за 2 дня стенд «ломанули» 26 раз (несколько раз был даже остановлен технологический процесс), «ломанули» абсолютно все устройства и даже нашли зеродей уязвимость. Но самое важное в этом испытании, что все атаки были отловлены KICS – т.е. в реальной сети наше решение сможет предотвратить нападение, причём следать это без остановки производства!