Напомним, что в мае власти Израиля сообщили о кибератаках на объекты очистки водоснабжения страны, где целью злоумышленников были АСУ ТП и программируемые логические контроллеры управления клапанами, что могло привести к остановке процесса очистки. АСУ ТП имело подключение к сотовой связи для удаленного управления, и первой мишенью являлся маршрутизатор сотовой связи.
Интересно, что администрация президента США Дональда Трампа обвинила в кибератаке Иран. В то же время несмотря на то, что официальные лица редко берут на себя подобную ответственность, 8 июля Дональд Трамп в интервью газете The Washington Post признался, что давал указание совершить кибератаку на российскую компанию «Агентство интернет-исследований» в 2018 году. Возможно, это был шаг саморекламы в гонке за голосами избирателей (напомним, что демократы обвиняют его в использовании России для вброса голосов), однако вероятность правдивости высказывания также высока. Таким образом, он фактически подтвердил, что киберинструменты в США давно используются в политических целях.
Промышленные объекты являются привлекательной целью для подобных диверсий. Тем более что зачастую на них используется устаревшее программное и системной обеспечение, а вопрос обновления в рамках производственного процесса (даже для систем управления) связан со множеством рисков. С другой стороны, не редки случаи подключения Интернет-каналов разного рода (сотовые, спутник, Ethernet и т. д.) через не самые надежные сетевые устройства непосредственно в АСУ ТП сегменты для оперативного удаленного мониторинга.
Защите объектов АСУ ТП необходимо уделять максимальное внимание. И выполнять требования регуляторов не формально, а осознанно выбирать стратегию и средства защиты.
Промышленные объекты обладают свойствами, которые можно использовать при планировании защиты, в частности ограниченный перечень необходимого ПО и сетевых протоколов. Здесь эффективно может сработать принцип «белого листа», если его грамотно настроить. Ограниченный перечень необходимого оборудования и возможность работы с запретом и контролем внешних устройств (USB, PCI), контролем целостности, средствами мониторинга систем и сетевых протоколов. Напомним, что группа компаний Angara рекомендует применять специализированные средства защиты АСУ ТП, умеющие работать со специфичными протоколами и ПО Industrial Control Systems (ISC):
- Kaspersky Industrial CyberSecurity, который подразумевает:
o KICS for Networks – сетевой сенсор, осуществляющий в том числе мониторинг целостности технологической ЛВС, анализ прикладных технологических протоколов и хранение информации о сетевых событиях.
- Positive Technologies Industrial Security Incident Manager (PT ISIM) – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, включая инвентаризацию сетевых активов, контроль информационного взаимодействия, обнаружение и предотвращение кибератак на АСУ ТП, выявление неавторизованного управления системами и другие функции.
- Криптомодули ViPNet SIES Core & Pack, предназначенные для интеграции в автоматизированные системы управления и системы межмашинного взаимодействия для выполнения криптографических операций в виде набора простых команд для обработки пользовательских данных.
- Некоторые производители NGFW имеют поддержку технологических протоколов, например Palo Alto Networks, Check Point, ViPNet Coordinator IG. Вплоть до анализа конкретных команд в реализации протокола и гранулирования правил с учетом передаваемой в протоколе команды (Modbus Function Control).
