Как цифровая трансформация сделала электростанции уязвимыми для атак

Цифровая трансформация операционных технологий (OT) для мониторинга и управления физическими процессами привела к появлению новых слепых зон и усилению других, что сделало системы промышленного управления (ICS) уязвимыми для атак со стороны государства.

Мы уже были свидетелями террористических атак, в которых приоритет отдается прорыву на электростанцию, а не густонаселенным районам с применением военного оружия. Возьмем, к примеру, атаку на энергосистему в декабре 2015 года, в результате которой более 230 000 человек на западе Украины оставались в неведении более шести часов. Страна обвинила в нападении Россию. Двенадцать месяцев спустя энергосистема снова подверглась атаке, на этот раз затронув большую часть столицы Киева. Распределитель электроэнергии в Пуэрто-Рико в июне этого года подвергся кибератаке с отказом в обслуживании, в результате чего отключились электричество для сотен тысяч жителей, прежде чем пожар разрушил подстанцию.

Нет ничего удивительного в том, что нападение на национальное государство может вызвать недельное отключение электроэнергии в таком большом городе, как Нью-Йорк. На самом деле, эксперты считают, что что-то в этой сфере вполне вероятно.

Отчет Ponemon Institute, спонсируемый Siemens, показал, что 56% опрошенных профессионалов в области безопасности OT сообщили как минимум об одной атаке, связанной с потерей частной информации или отключением их среды OT за последние 12 месяцев.

Как эти типы атак стали такими популярными? И что нужно сделать, чтобы создать более безопасную среду ОТ?

Четвертая промышленная революция

Коммунальные предприятия модернизируются в поисках повышения эффективности и производительности. Достижение этих целей означает оцифровку и автоматизацию многих процессов, которые ранее выполнялись собственными силами и вручную. Этот переход происходит так быстро, что о безопасности думают второстепенно.

Быстрая цифровая перестройка промышленных процессов, широко известная как Четвертая промышленная революция, приводит к появлению в сети большего количества систем и процессов. Это по своей сути создает больше потенциальных точек входа для злоумышленников, и, поскольку так много отраслей делают это одновременно, появляется больше возможностей для более последовательной атаки.

В предыдущие десятилетия центры обработки данных и мэйнфреймы, на которых выполнялись компоненты АСУ ТП, находились в «воздушном зазоре», что означало, что ИТ-системы находились в локальной сети, но не были подключены к Интернету. Многие предприятия ошибочно полагали, что это обезопасило их системы от атак, но они по-прежнему были уязвимы для локальных атак, таких как атака «кролик bash», которая могла скомпрометировать систему с помощью вируса через USB-устройство.

Так было в Иране, когда атомная электростанция в Бушере подверглась атаке с использованием червя Stuxnet. Представленный в сети через флэш-накопитель, Stuxnet затем распространился, чтобы заразить другие активы в сети, такие как центрифуги, используемые для обогащения уранового газа.

По мере того, как все больше коммунальных предприятий и предприятий OT стремятся вывести свои системы в оперативный режим, они не выделяют надлежащих ресурсов для обеспечения безопасности как одного из этапов этого процесса. Чем больше подключено устаревшего оборудования и добавлено устройств Интернета вещей (IoT), тем выше поверхность атаки для потенциальных злоумышленников.

Источники угроз постоянно развиваются

Проблема слабой безопасности усугубляется тем, что все более творческие и изощренные способы эксплуатации организаций злоумышленниками. На самом деле, они не всегда проникают в сеть.

Согласно исследованию Ponemon Institute, внутренние угрозы составляют большинство атак OT. Один из самых заметных событий произошел еще в 1999 году в тогдашнем австралийском графстве Маручи. Недовольный рабочий, управлявший канализационными трубами, ушел в отставку и вскоре после этого воспользовался системой с помощью пиратской копии программного обеспечения системы управления.

Внутренние угрозы - не всегда злоумышленники; нерадивые пользователи часто становятся жертвами фишинговых атак, используют слабые пароли и переходят по ссылкам, открывающим доступ хакерам. Другой распространенный вектор - это третья сторона или подрядчик, открывающая дверь в сеть и ведущая к эксплуатации. В ходе атаки на цепочку поставок Kaseya банда вымогателей REvil получила доступ к сотням компаний через обновление программного обеспечения. Третьи стороны обычно небезопасны, и компаниям не следует предполагать, что это так.

Gartner настроен оптимистично в отношении безопасности ОТ и забил тревогу, что промышленные организации изо всех сил пытаются определить соответствующие системы контроля. Gartner также заявляет, что к 2025 году злоумышленники «будут вооружены средой ОТ, чтобы успешно причинять вред или убивать людей».

Слишком много компаний настолько глубоко укоренились в своих процессах за последние несколько десятилетий, что не видят в этих взломах, взломах и атаках из заголовков как угрозу для себя. Они не хотят исправлять то, что, по их мнению, не сломано. Фактически, они даже не видят возможности его поломки, пока он не сломается.

Новый подход к защите OT

Компании нуждаются в надлежащей видимости своих сетей и всестороннем понимании вплоть до уровня отдельных активов, включая то, как эти ресурсы и пользователи связываются друг с другом и с сетями в целом. Часто те, кто наконец вникает в детали своих сетей, обнаруживают призрачные активы, о которых они не подозревали. Это проблемы безопасности, которые необходимо устранить, прежде чем они будут использованы.

Первый шаг, который компании могут сделать для лучшей защиты, - это просто обучить сотрудников надлежащей гигиене безопасности с помощью всестороннего обучения безопасности. Слишком часто компании, которые проливают свет на вопросы безопасности, делают это бессистемно, предлагая краткую презентацию и не сообщая сотрудникам о важности того, что они только что узнали.

Главным приоритетом всегда будет эффективность и функциональность машин ОТ, но если они подвергаются атаке, что в них хорошего? Обучение сотрудников тому, что нужно искать и насколько распространены атаки, может иметь большое значение.

Наблюдательный сотрудник предотвратил катастрофу в марте 2021 года, когда система водоснабжения в Олдсмаре, штат Флорида, была взломана, и уровень гидроксида натрия увеличился до опасного уровня. К счастью, инженер был в курсе ситуации, заметил изменение и быстро понял, что это была атака, а не просто неисправность.

В октябре станции по всему Ирану были вынуждены закрыться. В стране заявили, что виновата кибератака и нацелены на выпущенные правительством электронные карты, которые субсидируют цены на топливо для иранцев.

Для защиты от подобных атак компаниям необходима полная видимость своих сетей, позволяющая им видеть все подключенные и уязвимые активы. Но это только первый шаг. Доступны комплексные инструменты безопасности OT, которые предупреждают оборудование ICS не только о действиях безопасности, но и о тревожных признаках производительности. Надлежащие меры безопасности обеспечат видимость и возможности реагирования для сети OT, не влияя на повседневные операции и не внося существенных изменений в сеть.

Пассивные технологии могут отслеживать активность, никоим образом не затрагивая чувствительные сети ОТ, в отличие от разрушительных, «встроенных» платформ. Правильная пассивная платформа сможет обеспечить высокую пропускную способность и минимизировать количество ложных срабатываний.

Использование новых инструментов может быть сложной задачей для профессиональных руководителей ОТ, которые не хотят менять проверенные процессы, но лучше быть готовым, чем жить в страхе перед потенциальной атакой, которая нанесет масштабный ущерб как компании, так и ее потребителям.

Элад Бен-Меир - генеральный директор SCADAfence.