Илья Карпов, BI.ZONE: В промышленности даже незначительное воздействие может вывести оборудование из строя и приостановить все производство

Илья Карпов, руководитель экспертной группы в области безопасности АСУ ТП, BI.ZONE, рассказал порталу Cyber Media о специфике проведения проектов по анализу защищенности в промышленности, своем опыте проведения проектов по анализу защищенности промышленных предприятий.

Cyber Media: В чем специфика проведения пентестов в промышленной отрасли, если сравнивать с другими популярными направлениями, например, банками или ритейлом?

Илья Карпов: Пентест в промышленной отрасли имеет свои особенности, отличные от пентеста в ритейле и банковской сфере. В первую очередь это связано с различиями в конечной цели и специфике архитектуры сетей — от PLC до MES. В банках и ритейле основное внимание уделяется защите данных, которые могут находиться как в корпоративной сети, так и в отдельных защищенных сегментах.

Компоненты АСУ ТП часто находятся в изолированных или защищенных сегментах сети, но на практике мы по сей день встречаем технологические компоненты в корпоративных сетях. Кроме того, в банках и ритейле существуют системы управления технологическими процессами: жизнеобеспечением, электропитанием, автоматизацией управления зданиями, СКУД и пожарными системами. Защита этих систем часто является вторичной задачей, хотя их компрометация может замедлить или приостановить бизнес-процессы. 

В производстве, где существует множество технологических процессов, воздействие на любой из них, даже незначительное, может вывести оборудование из строя и приостановить все производство.

Cyber Media: Какие цели ставятся перед атакующими в рамках пентеста промышленных объектов? Всегда ли это получение доступа к системам управления предприятием?

Илья Карпов: Основная цель — выявить все компоненты и протоколы АСУ ТП и смежных систем, определить их назначение и по согласованию с заказчиком попытаться воздействовать на них, оценивая риски остановки производственных процессов. Это требует большого количества внутренних согласований, поскольку воздействие может быть как простым и контролируемым, так и угрожающим работоспособности. Отдельным компонентом работ может стать проведение разведки в целях предварительного сбора данных о поверхности атак в технологической сети.

Технологические сети могут быть физически изолированными или труднодоступными из корпоративного сегмента, что требует социотехнических навыков и обхода систем защиты информации (СЗИ). Могут понадобиться социотехнические навыки, навыки обхода СЗИ и по дополнительному согласованию поиск уязвимостей нулевого дня, включая координацию закрытия выявленных уязвимостей с вендором. 

Воздействие на производственные процессы может осуществляться через системы ERP, MES, OPC, а также отдельные системы мониторинга, такие как лаборатории, системы обнаружения утечек, экологический и сейсмомониторинг. Эти системы важны, но не всегда напрямую влияют на технологический процесс. Тем не менее для оптимизации производства компании сегодня централизуют все больше систем, и искажение данных может воздействовать на технологические процессы.

Cyber Media: Если анализировать инфраструктуру промышленных организаций в комплексе, какие слабые места вы могли бы выделить?

Илья Карпов: Для промышленных организаций вопрос обеспечения кибербезопасности крайне важен, поэтому ему уделяется повышенное внимание. 

Среди сложностей в обеспечении защиты, с которыми они могут сталкиваться:

1. Недостаточное представление обо всех сетевых активах на производстве.
2. Нехватка ресурсов на предприятии для проведения комплексного аудита безопасности.
3. Недостаточная структуризация сети.
4. Недостаточное категорирование.
5. Сложности с соблюдением всех требований регуляторов.
6. Трудности при создании системы обеспечения информационной безопасности из-за отсутствия единой политики защиты АСУ ТП. 
7. Отсутствие информации о масштабах инфраструктуры и текущих угрозах.
8. Неэффективное использование существующих средств защиты информации.
9. Отсутствие ресурсов и эффективных инструментов для расследования киберинцидентов.
10. Отсутствие шифрования каналов связи.

Cyber Media: С какими типовыми проблемами в обеспечении ИБ вы сталкиваетесь в ходе анализа защищенности промышленных объектов?

Илья Карпов: От компании к компании мы сталкиваемся с разными трудностями в обеспечении, но основными являются:

1. Отсутствие актуальных данных об инвентаризации технологического сегмента, а также непонимание специфики архитектуры технологического сегмента.
2. Невыполнение регламентов кибербезопасности в полной мере.
3. Ошибки конфигураций, которые могут привести к несанкционированному доступу к важным компонентам системы автоматизации и управления технологическими процессами.
4. Отсутствие двухфакторной аутентификации, особенно для удаленного доступа.
5. Наличие актуальных уязвимостей в программном и аппаратном обеспечении.
6. Использование оборудования с заводскими или неизвестными настройками аутентификации.
7. Использование небезопасных и нешифрованных сетевых протоколов.
8. Использование устаревшего программного обеспечения и сервисов, в том числе без аутентификации или с простыми методами обхода защиты.
9. Наличие незадокументированного оборудования, особенно с возможностью удаленного доступа.
10. Наличие вредоносного ПО и использование нелицензионного контента, включая ПО, патчи и т. д.

Cyber Media: Насколько популярен в промышленности физический пентест, когда специалисты выезжают на объект?

Илья Карпов: Физический пентест в промышленности не является популярным видом работ из-за высоких рисков для всех участников. Однако некоторых заказчиков интересует возможность добраться до информационной системы или отдельной АСУ ТП физически и получить доступ, часто строго режимный. 

Более востребованы аудиты безопасности с выездом специалистов на место, например проверки по приказам № 31 или 239 ФСТЭК России. Для проверки доступа эффективнее проводить пентест из внешней сети. В случае физического доступа достаточно смоделировать ситуацию, при которой любой сотрудник может потенциально стать внутренним злоумышленником, и оценить все возможные риски.

Cyber Media: В 2022 году российская промышленность столкнулась с возросшим количеством кибератак. Тогда некоторые эксперты предлагали пойти по пути «децифровизации» с целью сохранения работоспособности. Как удалось преодолеть этот кризис?

Илья Карпов: Точный ответ на этот вопрос могут дать только конкретные предприятия или НКЦКИ, обладающие полной статистикой по киберинцидентам. Публичной информации мало, но отчеты компаний по кибербезопасности свидетельствуют о росте числа атак на промышленные предприятия. Эксперты прогнозируют, что их количество будет расти, а сами атаки будут становиться все более точными и целенаправленными, поскольку компетенции злоумышленников увеличиваются.

Децифровизация может оказаться неэффективной, если злоумышленник уже проник в систему или уже присутствуют закладки в АСУ ТП. Даже изолированные системы могут быть атакованы — например, через инженерный ноутбук.

Cyber Media: На вашем счету немало найденных уязвимостей в промышленном оборудовании. С точки зрения исследователя безопасности, в чем специфика таких устройств, какие специфические навыки требуются для их анализа?

Илья Карпов: Я и мои коллеги находили множество уязвимостей, иногда даже случайно во время тестирования совместимости и аудитов. Главное для нас — публиковать результаты, чтобы донести информацию об уязвимостях до каждого пользователя, при условии, что это не закрытые от вендора исследования, в которые можно интегрировать процессы SDLC, если таковые имеются. Промышленные системы автоматизации оснащены разнообразными технологиями. Проблемы безопасности, с которыми мы сталкиваемся, подобны тем, что встречаются во встраиваемых системах. Однако поиск уязвимостей, связанных с особенностями работы АСУ ТП, требует специальных знаний в этой области либо опыта работы с такими системами.

На сегодняшний день встроенная безопасность некоторых компонентов АСУ ТП остается недоработанной и зависит от конкретного вендора. Часто используются сторонние технологии «из коробки» без дополнительных настроек и усовершенствований. Технические требования для производителей, публикуемые различными сообществами или институтами, часто имеют рекомендательный характер. В последнее время хорошей практикой стала внутренняя сертификация на безопасность систем, используемых крупными заказчиками в промышленной отрасли.