Безопасность АСУ ТП в центре внимания из-за напряженности в отношениях с Ираном

Учитывая усиление напряженности между США и Ираном, организации с подключенной промышленной инфраструктурой следует быть начеку.

«Потенциальное кибер-воздействие убийства [иранского генерала Касема] Сулеймани очень велико, - предупредил Эяль Эльяшив, генеральный директор и соучредитель фирмы Cynamics, занимающейся сетевой безопасностью.

Отраслевые обозреватели говорят, что недавние разногласия между двумя странами повышают киберриск в целом. «Хотя у Trend Micro нет внутренней информации о конкретных планах атак, очевидно, что усиление политической напряженности приведет к кибератакам», - сказал Билл Малик, вице-президент Trend Micro по стратегиям инфраструктуры.

После убийства несколько экспертов по кибербезопасности, а также официальные лица правительства США предупредили об угрозе безопасности АСУ ТП, которую создают противники, связанные с Ираном.

Другие указывают на вероятность небольших кибератак, направленных на отвлечение, а не на ответные меры. Перспектива тотальной кибервойны между США и Ираном «не должна быть предположением по умолчанию», - сказала Андреа Литтл Лимбаго, доктор философии, главный социолог Virtru. «Киберактивность Ирана - от разрушительных атак до дезинформации - была широко распространена в течение довольно долгого времени. Это не ново и не связано с событиями этой недели », - сказала она.

За последнее десятилетие кибер-возможности Ирана значительно расширились. Эксперты по кибербезопасности приписали иранским игрокам серию атак на США и другие цели - от атак типа «отказ в обслуживании» на банки США до заказного вредоносного ПО, нацеленного на системы Saudi Aramco. Также в отношении безопасности АСУ ТП в 2015 году сообщалось, что иранские хакеры проникли в энергосистему США.

«Должностные лица в США должны быть очень обеспокоены кибер-возможностями и возможностями Ирана», - сказал Эльяшив.

В то время как некоторые отчеты указывают на ослабление напряженности между странами, предупреждение Министерства внутренней безопасности (DHS) от 4 января предупредило, что Иран может, как минимум, начать «атаки с временным разрушительным эффектом на критически важную инфраструктуру в Соединенных Штатах». P>

Аналогичным образом Агентство по кибербезопасности и безопасности инфраструктуры США предупредило о потенциально повышенном риске атак и кибершпионажа против стратегических целей в «финансовых, энергетических и телекоммуникационных организациях, а также о повышенном интересе к системам промышленного контроля и операционным технологиям».

Иранские актеры не раз атаковали сайты США. В 2016 году министерство юстиции США обнародовало обвинительный акт, в котором семь иранских подрядчиков Корпуса стражей исламской революции Ирана обвинили в кибератаках несколько банков и плотину в Нью-Йорке. Согласно предупреждению Министерства внутренней безопасности США, США также обвинили связанных с Ираном субъектов в «разведке и планировании действий против объектов инфраструктуры и кибератак на ряд объектов в США».

Такая нацеленность распространяется и на промышленную сферу. По данным Cyberscoop, хакерский коллектив, известный как Advanced Persistent Threat 33, связанный с Ираном, нацелен на оборонный, транспортный и энергетический секторы.

Лимбаго считает, что еще слишком рано предполагать, что Иран будет уделять приоритетное внимание использованию уязвимостей безопасности АСУ ТП в краткосрочной перспективе. «Если напряженность еще больше возрастет, это может измениться, но с учетом нынешнего уровня продолжающаяся киберактивность Ирана будет продолжаться в том, что считается серой зоной [не позволяя перерасти в войну]», - сказала она. «Хотя АСУ ТП, безусловно, вызывает беспокойство, Иран понимает, что разрушительные атаки на критически важную инфраструктуру, вероятно, приведут к эскалации конфликта и ответным мерам».

Точно так же Кэрол Ролли Флинн, бывший исполнительный директор Контртеррористического центра ЦРУ, ожидает, что Иран осуществит небольшие кибератаки. «Они не хотят, чтобы мы мстили им. Они чувствовали это раньше », - сказала она

Другая возможность, сказал Лимбаго, заключается в том, что иранские субъекты могут нацеливаться на организации частного сектора, не имеющие четкой связи с АСУ ТП. Такая тактика есть прецедент. В 2015 году Джеймс Клэппер, тогдашний директор национальной разведки, заявил, что Иран, вероятно, стоит за атакой на казино Sands, которая была ответом на антииранские комментарии его генерального директора Шелдона Адельсона. «То, что, вероятно, больше соответствует их предыдущим схемам, будет нацелено на организации частного сектора, связанные с исполнительной властью, которые могут причинить финансовые трудности, но не смогут сплотить общественность США и разделенное правительство на ответ», - сказал Лимбаго.>

Еще одним центральным элементом киберстратегии Ирана являются операции по дезинформации, которые Лимбаго охарактеризовал как «чрезвычайно плодотворные и глобальные». «Безусловно, эта деятельность будет продолжена - как внутри страны для создания проправительственной поддержки, так и во всем мире для создания антиамериканских настроений», - добавил Лимбаго.

Управление киберрисками

Независимо от недавней напряженности, ситуация дает организациям с промышленной инфраструктурой возможность провести инвентаризацию своих подключенных устройств. «Мы снова рекомендуем, чтобы владельцы и операторы систем управления производством проверяли свои технологические ресурсы, оценивали свои уязвимости, применяли такие меры контроля, которые могли бы уменьшить их профиль атаки», - сказал Малик.

Учитывая, что промышленные организации уделяют большое внимание времени безотказной работы, для промышленных сред, в том числе в критических инфраструктурных условиях, типично использование устаревшего аппаратного и программного обеспечения без исправлений. «Организации должны смотреть дальше устаревших систем, которые в настоящее время используются для защиты критически важной инфраструктуры, поскольку недавняя история ясно показывает, что они могут быть легко скомпрометированы», - сказал Эльяшив.

Несмотря на то, что кибергигиена имеет решающее значение, Дэвид Голдштейн, президент и генеральный директор AssetLink Global LLC, подчеркнул, что организациям следует также сосредоточиться на физической безопасности. «Ответ на вопрос безопасности [IIoT] заключается не только в аппаратном и программном обеспечении, - сказал Гольдштейн.

По иронии судьбы, тема физического доступа была центральным элементом атаки Stuxnet на ядерные центрифуги Ирана десять лет назад. В рамках кампании Stuxnet двойные агенты, якобы работающие от имени правительств США и Израиля, установили вредоносное ПО в закрытой центральной сети на заводе по обогащению урана в Натанзе. В результате примерно 1000 ядерных центрифуг на объекте были полностью уничтожены.

По словам Гольдштейна, сага о Stuxnet иллюстрирует важность не только контроля доступа, но и доверия в целом. «С кем вы работаете, кому вы доверяете, у кого есть учетные данные для входа в вашу систему, у кого есть физический доступ?» он спросил:«Доверие между участниками и партнерами со временем будет становиться все более важным, поскольку системы Интернета вещей пронизывают все», - пояснил он.

По мере того, как технологии Интернета вещей получают распространение в промышленных условиях, ощущается нехватка кибер-экспертов, знакомых с миром промышленных систем управления. «Большинство аналитиков и консультантов по безопасности применяют к [промышленным] IoT-системам те же методы, что и к обычным офисным ИТ-сетям», - сказал Гольдштейн. По словам Гольдштейна, с учетом количества проприетарных протоколов сложность обновления программного обеспечения в таких средах представляет собой «очень большую уязвимость».

Такие организации, как Министерство обороны США и MITER Corp., помогают преодолеть разрыв со структурами АСУ ТП, такими как структура MITER ATT &CK для АСУ ТП. «Этот документ дает возможность производителям, владельцам и операторам АСУ ТП обсуждать возможные сценарии атак и последовательно сообщать об уязвимостях во всех отраслях промышленности», - сказал Малик. «Любая организация должна серьезно рассмотреть возможность использования этой структуры, чтобы прояснить [ее] положение в области безопасности АСУ ТП».

Малик также подчеркнул, что осознает тот простой факт, что кибербезопасность - это больше путь, чем пункт назначения. «Если предположить, что такое усиление напряженности будет краткосрочным, производители АСУ ТП мало что могут сделать, чтобы быстро укрепить свое текущее производство [состояние безопасности]», - сказал он.

Малик отметил одну уязвимость, которую поставщики АСУ ТП должны устранить:они время от времени обращаются к своим технологиям в полевых условиях для операций по техническому обслуживанию и диагностики неисправностей. «Эти служебные ссылки могут служить вектором атаки», - сказал он.

Малик рекомендовал поставщикам принять различные меры для защиты данных клиентов. Другие важные соображения включают шифрование трафика, когда это возможно, и обеспечение безопасности обновлений программного обеспечения. «Было бы трагедией, если бы небольшая проблема у одного покупателя заставила производителя применить исправление для всей своей технологии, которая, как оказалось, содержала вредоносное ПО», - сказал Малик.