Безопасность АСУ ТП, медицинские устройства и случайный Богимен

Взломанные кардиостимуляторы, инсулиновые помпы, автомобили, промышленные объекты, спутники и взломали электросети ... В течение многих лет исследователи кибербезопасности предупреждали о возможности хакеров-черных шляп причинять вред или убивать людей своими действиями - часто с демонстрациями того, как они могут это сделать.

Но степень сенсационности, часто сопровождающая эту тему, может скрыть истинный уровень риска, в то же время мало что делает для подчеркивания уровня риска распространенных векторов атак и уязвимостей, таких как устаревшие операционные системы, непропатченное или ошибочное программное обеспечение, неправильно настроенные сети и тому подобное.

В целом уровень киберриска высок в случае промышленных систем управления, которые используются для множества приложений, от управления спутниками до нефтегазового оборудования и оборудования для автоматизации на заводах. Поступают сообщения о компьютерном саботаже, вызывающем хаос на протяжении десятилетий. Правда, сложно проверить, скажем, внедрили ли Соединенные Штаты вредоносную программу-троян на компьютерном оборудовании, используемом для управления потоком газа в Транссибирском трубопроводе, что привело к мощному взрыву. Томас С. Рид, бывший секретарь ВВС в администрации Рейгана, заявил об этом в книге «В бездне».

[ Мир Интернета вещей - это пересечение отраслей и инноваций Интернета вещей. Забронируйте абонемент на конференцию и сэкономьте 350 долларов, получите бесплатный пропуск на выставку или просмотрите Динамики безопасности Интернета вещей на мероприятии.]

Но сейчас атаки на подключенные промышленные системы стали обычным явлением. Ряд поставщиков кибербезопасности, от IBM Managed Security Services до «Лаборатории Касперского», в последние годы отслеживают рост атак на безопасность ICS. Только в марте Norsk Hydro, один из крупнейших производителей алюминия в мире, столкнулся с проблемой кибер-индуцированного производства как в Европе, так и в США.

Чтобы справиться с этой проблемой, промышленный гигант Siemens и международная фирма по тестированию, инспекции и сертификации TÜV SÜD объединили свои усилия для создания того, что они называют «новым подходом к цифровой безопасности». «Атаки на промышленные среды растут в геометрической прогрессии, - сказал Лео Симонович, вице-президент и руководитель отдела промышленной кибербезопасности и цифровой безопасности компании Siemens. «Однако, в отличие от ИТ, где основной проблемой является потеря данных, кибератаки, нацеленные на операционные технологии, могут привести к потенциальному отключению или худшему». Таким образом, две компании будут сотрудничать, чтобы предлагать то, что они называют «оценками цифровой безопасности», чтобы помочь потребителям энергии, в частности, оценивать киберриски и управлять ими.

Симонович указал на потенциально опасную вредоносную программу Triton, которую компания по кибербезопасности Dragos обнаружила в Саудовской Аравии в 2017 году. Исследователи недавно обнаружили код на втором предприятии.

«Что было замечательно в атаке [Triton], так это легкость, с которой злоумышленники переходили от ИТ к ОТ и системам безопасности», - сказал Симонович.

Действительно, это повторяющаяся тема во всех секторах, где нарушения кибербезопасности представляют собой потенциальный риск для безопасности. Несмотря на все исследования, демонстрирующие эзотерические и зачастую практически невероятные типы атак на событиях кибербезопасности, легко упустить из виду риск, связанный, скажем, с компьютером с Windows XP с воздушным зазором или устаревшим вредоносным ПО, таким как обнаруженный троян Kwampirs в 2015 году, или Conficker, впервые обнаруженный в 2008 году. Хотя хакеры могут, скажем, модифицировать компьютерную томографию для создания поддельных раковых клеток, как показали исследователи, более вероятно, что больница подвергнется атаке массового типа или пациенту с кардиостимулятором в конечном итоге станет целью кибер-киллера. «Люди всегда смеются, когда я говорю:« Несмотря на то, что я считаю себя экспертом по кибербезопасности, есть более простые способы причинить вред людям », - сказала Стефани Престон Домас, вице-президент по исследованиям и разработкам MedSec. «Все эти причудливые пользовательские эксплойты, разработанные против медицинских устройств, не указывают на настоящую проблему. Настоящая проблема в том, что такие вещи, как квампиры, все еще работают. Такие вещи, как Conficker, все еще работают ».

А еще есть WannaCry, атака с использованием программ-вымогателей в 2017 году, которая, по словам Европола, была беспрецедентной по своим масштабам. WannaCry затронул около 200 000 компьютеров на промышленных и медицинских объектах. Nissan пришлось остановить производство на заводе в Великобритании. Renault была вынуждена прекратить производство на нескольких объектах. Немецкая железнодорожная компания Deutsche Bahn стала жертвой. Подобная вредоносная программа Notpetya нанесла ущерб судоходному гиганту Maersk на миллионы долларов.

Но каким бы значительным ни был ущерб безопасности АСУ ТП, WannaCry также оказал огромное влияние на Национальную службу здравоохранения Великобритании, в результате чего был нанесен ущерб почти в 100 миллионов фунтов стерлингов, что привело к отмене 19 000 медицинских приемов.

Возможно, что WannaCry или аналогичная товарная атака может привести к смерти или травме, скажем, из-за отсрочки операции на сердце, хотя, как правило, трудно доказать прямую связь, сказал Леон Лерман, генеральный директор Cynerio.

Такие атаки, как WannaCry, также иллюстрируют риск утечки информации, разработанной национальными государствами, и непреднамеренно давая возможность противникам атаковать США и их союзников. WannaCry и NotPetya использовали эксплойт, известный как EternalBlue, который, вероятно, разработало Агентство национальной безопасности США. New York Times недавно сообщила, что агенты китайской разведки использовали «ключевые элементы арсенала кибербезопасности [Соединенных Штатов]» для проведения атак. Кстати, в статье также сообщается, что сложное вредоносное ПО Stuxnet, разработанное АНБ, используемое для нацеливания на иранские ядерные центрифуги, нанесло ущерб американским предприятиям, включая Chevron.

Домаса больше беспокоят обычные вредоносные программы или простая невнимательность, которые могут повлиять на кибератаки с последствиями для безопасности. «Я до сих пор вижу слишком много сенсаций, сфокусированных на плохих парнях, причиняющих вред пациентам», - сказала она. «Мне бы хотелось увидеть больше сдвига в сторону понимания того, что, если пациенту причинен вред [в результате кибератаки], это, вероятно, случайно. Вероятно, это побочный эффект чего-то еще, что они пытались сделать в системе ».

По словам Симоновича, исследователи, изучающие кибератаки на системы управления производством, видят аналогичную картину. «В большинстве случаев нарушение связано с человеческим фактором».

Кстати, неправильный программный код промышленных систем и медицинских устройств является предметом, тесно связанным как с безопасностью, так и с кибербезопасностью. Недавняя сага о Boeing 737 MAX подчеркивает это. Эксперт по безопасности Брюс Шнайер писал о проблеме:«Технически это безопасность, а не безопасность; нападающего не было. Но поля тесно связаны ».

Домас соглашается с этим мнением, ссылаясь, например, на случай с работником больницы, который вызвал аномальное заклинивание наркозного аппарата после подключения к нему мобильного телефона. Легко упустить из виду риск подобных повседневных происшествий, которые не связаны с кибератакой.

Аналогичным образом, заголовки статей о безопасности АСУ ТП и медицинских устройствах, которые, как правило, получают наибольшее освещение в СМИ, позволяют легко упустить из виду риск инсайдерской угрозы. Но «внутренняя угроза составляет подавляющее большинство [атак в промышленном секторе]», - сказал Симонович.

В конечном счете, чтобы помочь снизить риски во все более взаимосвязанных промышленных и медицинских средах, люди, которые работают в них, должны четко понимать риск, который могут представлять такие подключенные системы, независимо от того, используются ли они намеренно или случайно. «Я думаю, что люди, разбирающиеся в технологиях, становятся более осведомленными, но на самом деле я не вижу огромного всплеска понимания или признательности людей, которые этого не делают».

К тому же тема оценки управления рисками может быть чертовски сложной. Одно из моделирования угроз, которое является подмножеством управления рисками. «Но потому что в любой системе так много киберрисков, и вы не можете исправить их все», - сказал Домас. «Вот почему вы должны сочетать это с такими вещами, как моделирование угроз, и выяснять, о чем вам нужно больше всего беспокоиться», - добавила она. «Честно говоря, очень часто вы обнаруживаете вещи, которые просачиваются через вашу систему ранжирования, и вы говорите:« Знаете что? Я согласен с этим риском », и вы ничего не делаете, чтобы его исправить, хотя вы знаете, что здесь есть проблема кибербезопасности», - сказал Домас. «Вы должны разрабатывать стратегию. Все не исправить ».