Евгений Баклушин, УЦСБ: Stuxnet стал «прививкой» для всей атомной отрасли

Евгений Баклушин, заместитель директора Аналитического центра УЦСБ, автор телеграм-канала BESSEC, рассказал порталу Cyber Media об особенностях обеспечения информационной безопасности в атомной отрасли, контурах защиты вокруг АЭС и уровне защищенности других компаний, которые работают с мирным атомом.

Cyber Media: Атомная отрасль представлена во множестве стран, от Африки до Азии. Насколько от географического фактора разнится уровень информационной безопасности таких объектов?

Евгений Баклушин: Сначала предлагаю посмотреть на картину чуть шире, чем только в контексте информационной безопасности. Это важно, т.к. позволяет взглянуть на ландшафт потенциальных кибератак и возможности защищающихся.

Во-первых, посмотрим на объемы «мирного» атома в мире. Лидерами производства ядерной электроэнергии являются США, Франция, Китай, Россия, Южная Корея. Первые четыре из них входят в топ-10 экономик мира, а Южная Корея в топ-15. Экономические возможности стран позволяют вкладывать бОльшие усилия в обеспечение кибербезопасности на АЭС. При этом, например, во Франции доля АЭС в общем объеме выработки электроэнергии превышает 65%, а в России – около 20%. Поэтому в каком-то роде остановка АЭС для Франции является более недопустимым событием, чем для России. Так сложилось в том числе потому, что из-за территориальных возможностей Франции невозможно географически разместить сопоставимое по мощности количество «ветряков» и ГЭС. В целом доля ядерной энергетики в Европе существенно выше, чем доли в Северной и Южной Америках, Азии или Африке, соответственно, и потенциальный ущерб для Европы крупнее. Также стоит учитывать, что с каждым годом вышеупомянутые соотношения меняются. Например, за последние 10 лет Китай построил 39 реакторов и строит еще, Россия увеличивает объем строек АЭС для других государств, в то время как Франция снижает зависимость от ядерной энергетики (с ~73% в 2015 году до ~67% в 2022 году).

Во-вторых, обязательно нужно посмотреть на «производителей» АЭС. Сейчас на мировом рынке присутствует несколько доминирующих компаний (% от общего рынка), которые осуществляют стройки АЭС: Росатом, Россия – 17%, Westinghouse Electric Company, США – 31%, AREVA, Франция – 30%. Т.е. на трёх поставщиков приходится почти 80% всех АЭС в мире! Соответственно, из этого предполагаем, что парк АЭС и АСУ ТП, которые обеспечивают их работу, не имеет бесконечного числа наименований. При этом важным моментом является тот факт, что в США и Европе в большей степени функционируют старые АЭС (20+ лет), а на Ближнем Востоке и в Азии появляется все большее количество новых АЭС (5- лет), для которых системы кибербезопасности идут в комплекте, by design.

Таким образом, сделаем некоторые выводы по этой части:

1. В мире три основных поставщика АЭС, страны которых являются и основными потребителями ядерной электроэнергии, и крупнейшими экономиками мира.
2. В совокупности с деятельностью МАГАТЭ это позволяет разработать и максимально широко распространить единые стандарты по кибербезопасности АЭС.
3. Новые АЭС строятся с учетом этих стандартов и системы кибербезопасности проектируются by design.
4. Для стран Европы и США останов АЭС является более недопустимым событием, чем для России или стран Азии.

Cyber Media: Если говорить о внешних нарушителях, которые атакуют объекты атомной энергетики, насколько их портрет отличается от злоумышленников из других отраслей?

Евгений Баклушин: Кибератаки на АЭС в силу закрытости ИТ- и ОТ-инфраструктуры требуют больших усилий, знаний и навыков от злоумышленников. При этом атаки на такие объекты из-за своей сложности часто занимают довольно много времени, иногда несколько лет. Такая подготовка может заключаться в необходимости детального исследования целевой инфраструктуры, поиске и эксплуатации очень узкого круга уязвимостей и возможности «засева» атакующего кода для его дальнейшей активации.

Базовые инструменты ничем не отличаются от тех, которые хакеры используют при атаках на менее сложные и закрытые инфраструктуры, но с большой долей вероятности, для таких атак создаются уникальные инструменты. Помимо этого, требуется понимание специфики промышленных систем управления и полного цикла технологических процессов на АЭС. Нередко для выяснения всех деталей c целью проведения успешной атаки необходим и промышленный шпионаж.

Важным моментом является мотивация при проведении таких атак. Так долго удерживать мотивацию над столь сложными «проектами» могут только идейные личности. Ни деньги, ни желание удовлетворить свой интерес, а именно идея. Идея может быть политической, экономической или даже террористической.

Если обратиться к Методике оценки угроз безопасности информации, утвержденной ФСТЭК России, то к нарушителям с такими возможностями, скорее всего, относятся нарушители с высокими и средними возможностями, т.е. специальные службы иностранных государств, либо хакеры, спонсируемые и поддерживаемые этими спецслужбами.

При этом очень важным моментом при атаках в атомной отрасли является работа с человеком. Основные векторы – вербовка или образцовая социальная инженерия. Вспомним ту же старую историю про Stuxnet и вклад человеческого фактора в успех этой атаки.

В итоге получаем высокомотивированного злоумышленника, а скорее всего группу, которая обладает большим запасом технических, финансовых, временных и человеческих возможностей, а также поддерживаемая со стороны спецслужб.

Cyber Media: в контексте ИБ в атомной отрасли чаще всего говорят об атомных энергостанциях и пяти контурах защиты вокруг них. Как это выглядит на практике?

Евгений Баклушин: После собственного опыта проведения аудитов и построения систем кибербезопасности в атомной отрасли, хочется отменить, что взгляд в разрезе трех или пяти контуров (уровней) АСУ ТП, наверное, не очень показательный. Не считая человека, в отношении производств всегда есть два узких места – это физический периметр и взаимосвязь между корпоративной и технологической сетью.

В этом плане технологический сегмент сети АЭС более закрытый, чем в других отраслях, где нередко присутствует прямая связь с корпоративным сегментом сети. Т.е. если мы говорим, что на условном металлургическом комбинате вся технологическая сеть связана воедино и имеет прямое соединение с корпоративным сегментом, то на атомной станции прямая связь между корпоративным и технологическим сегментом отсутствует. Нередко узлы технологической сети даже не знают о существовании друг друга, т.е. живут автономно.

При этом при появлении потребности передавать информацию из технологического сегмента в корпоративный используется сценарий однонаправленной передачи информации, который реализуют двумя способами:

1. Установка диода между корпоративной и технологической сетью.
2. Использование сервера или шлюза с двумя сетевыми картами (первая – прием из технологического сегмента, вторая – передача в корпоративный сегмент).

Физический периметр защищается гораздо сильнее, чем на других предприятиях, в том числе с привлечением сил национальной гвардии, ведомственной охраны Росатом и внутренних войск МВД России.

Cyber Media: Помимо самих энергостанций, к АО можно также отнести и исследовательские институты, и ряд других организаций (контрагентов), которые не находятся внутри этого контура. Насколько хорошо в них выстроена защита от хакерских атак?

Евгений Баклушин: В контексте России многие исследовательские институты, занимающиеся преимущественно прикладными исследованиями, довольно хорошо защищены, в т.ч. физически. Например, часть из них расположена в закрытых городах, и даже гостевое посещение таких организаций возможно только после проверки со стороны ФСБ России, а контрольно-пропускные пункты охраняются силами внутренних войск МВД России.

Часть институтов и университетов, расположенных в открытых городах, тоже довольно хорошо защищаются, т.к. на них в том числе распространяются стандарты кибербезопасности, разработанные внутри стен Росатома. Важно отметить, что в том же МИФИ очень сильная кафедра кибербезопасности, которая готовит очень хороших специалистов. Эти внутренние требования атомной отрасли в отношении кибербезопасности предъявляются и к поставщикам, в т.ч. услуг информационной безопасности (например, включают проверки поставщиков и организацию защищенного документооборота, запрос документов, подтверждающих уровень обеспечения кибербезопасности и т.д.).

Ну и ключевое. И атомная промышленность, и наука являются субъектами критической информационной инфраструктуры. Регулирующие органы особенно следят за выполнением требований по защите значимых объектов, которые функционируют в столь важной сфере деятельности, как атомная.

Cyber Media: С набившей оскомину многим безопасникам истории с вирусом Stuxnet прошло почти пятнадцать лет. На Ваш взгляд, насколько вероятно повторение такого сценария другой группой хакеров, учитывая то, как изменились средства защиты, регламенты и подходы к обеспечению ИБ в атомной отрасли?

Евгений Баклушин: Давайте здесь тоже немного вернемся к исторической аналогии. Вспомним аварию на Чернобыльской АЭС. Одним из ее результатов стало выявление фундаментальных недостатков в реакторе РБМК-1000, который применялся в том числе и на других АЭС. Обладание знанием об этом недостатке позволило провести исследования и работы по его устранению, не допустить подобных катастроф на других станциях, в других городах. Одним из усовершенствований реакторов было ограничение доступа к органам управления реактором, которые позволяют отключать системы безопасности. Сегодня около девяти модифицированных реактора типа РБМК все еще работают. Все они расположены в России.

Stuxnet стал своего рода Чернобылем в мире кибербезопасности атомной отрасли. Годы спустя существенно изменилось восприятие этого вопроса. Во-первых, специалисты по кибербезопасности теперь больше знают и понимают технологические процессы и специфику защиты АСУ ТП. Во-вторых, промышленники теперь больше уделяют внимания вопросам кибербезопасности своих систем.

Эти факторы и развитие систем кибербезопасности для защиты АСУ ТП снизили вероятность реализации подобных атак, или, как минимум, дали возможность вовремя среагировать и локализовать кибератаку. Сейчас акцент все больше смещается на проактивные меры защиты, подразумевающие не только реагирование на инциденты, но и предотвращение их возникновения через регулярное проведение пентестов, непрерывный мониторинг сетей и оборудования, обновление ПО и разграничение доступа. Еще одним результатом стало снижение количества узлов под управлением семейства Windows на АЭС, увеличение доли узлов с Linux в защищенном исполнении и более строгая сегментация технологических сетей АЭС.

Таким образом, оценивая вероятность повторения такого сценария, необходимо учитывать, что предпосылки для появления новых Stuxnet в каком-то виде остаются, но преодоление современных многослойных систем защиты требует значительно больше усилий и специализированных знаний, чем это было в 2010 году. Несмотря на улучшения в обеспечении кибербезопасности, нельзя недооценивать способности высокомотивированных и хорошо финансируемых злоумышленников, а также влияние человеческого фактора.