Отчет Лаборатории Касперского о Кибератаках на системы АСУ ТП в энергетике Европы за первый квартал 2020 года говорит о том, что на 20,4% компьютеров АСУ в энергетике было заблокировано 1485 модификаций вредоносного ПО. Причем большинство атак было зафиксировано через Интернет и электронную почту. Но даже там, где не было выхода во всемирную паутину, зафиксированы атаки через съемные носители и корпоративную сеть.
Отчет Positive Technologies описывает векторы кибератак на промышленные предприятия. Хакеры легко могут получить доступ к вашей системе если:
· есть ошибки в конфигурации оборудования,
· нет сегментации сетей,
· не закрыты уязвимости ОС,
· применяются простые или старые пароли,
· используется устаревшее ПО на любых уровнях объекта.
Общее о цифровой подстанции
Цифровая подстанция отличается от традиционной тем что в ней:
· Заменили большинство физических аналоговых и дискретных связей на цифровые;
· Любое микропроцессорное устройство теперь располагает некоторым вычислительным ресурсом;
· Появились цифровые и оптические трансформаторы тока (ТТ) и напряжения (ТН), которые преобразуют аналоговые параметры в цифровую форму.
Цифровая подстанция обеспечивает глубокий мониторинг и управление всех систем за счет внедрения цифровых связей. Они же могут быть подвержены кибератаке с последующим нарушением функционирования цифровой подстанции. Атака может быть направлена на:
· Внешние цифровые каналы, по которым осуществляется технологическая и оперативная связь с энергообъектами;
· Локальные коммуникационные сети энергообъекта, включая коммутаторы и маршрутизаторы;
· Шины процессов и шины объектов в соответствии с протоколом МЭК 61850;
· Цифровые устройства управления и мониторинга электрооборудования.
Таким образом, именно коммуникационные сети и каналы являются узким местом цифровой подстанции. Для сравнения отметим, что в традиционных подстанциях таким узким местом являлись системы оперативного постоянного тока (СОПТ). Отказ СОПТ приводил к полной утрате управляемости энергообъекта. Все остальные подсистемы управления были достаточно независимыми друг от друга, поэтому отказ одной подсистемы не влиял на функционирование другой.
К чему может привести кибератака
Если все устройства системы управления оборудованием будут выполнены на цифровой базе и будут объединены в единую информационно-управляющую систему, то результатом кибератаки может быть полная потеря управляемости всего энергообъекта.
В качестве примера можно привести инцидент, случившийся в декабре 2015 года с ПАО «Прикарпатьеоблэнерго». Тогда таргетированная фишинговая email-атака привела к отключению электроэнергии в 5 регионах Украины на 6 часов. Кроме того, возникли деструктивные последствия на самих подстанциях: были изменены прошивки RTU, выведено из строя удаленное управление. Одновременно с этим подверглись DDoS атакам call-центры компании.
17 декабря 2016 года ПО Industroyer, которое позволяет контролировать устройства релейной защиты и автоматики (РЗА) на подстанциях, вывело из строя на час энергоинфраструктуру Киева.
В марте 2019 года DoS-атака вызвала сбой в работе электростанций ряда районов штатов Калифорния, Юта и Вайоминг.
В конце октября Индия признала факт атаки хакерской группировки Lazarus на инфраструктуру АЭС «Куданкулам».
Законы в России
В России кибербезопасности уделяют большое внимание, на уровне законов и приказов министерств компании обязаны внедрять технологии защиты данных и инфраструктуры значимых объектов.
Основным документом, регулирующим вопросы обеспечения защиты от компьютерных атак на автоматизированные системы промышленных объектов, является Федеральный закон от 26 июля 2017 г. No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Кроме того, есть приказы ФСТЭК, Министерства энергетики РФ, ФСБ о специальных требованиях к созданию систем безопасности на значимых объектах России.
Как защититься
Если не знаешь, как организована система безопасности и какое оборудование установлено, то систему тяжелее взломать. Поэтому детальных подробностей никто не раскрывает. Но специалисты по безопасности предлагают следующие мероприятия по повышению кибербезопасности цифровых подстанций:
· разделить информационные потоки различных подсистем на физически не связанные сегменты коммуникационных сетей передачи данных внутри подстанции, т.е. предлагается создать независимые друг от друга шины процессов и шины объектов для каждой функции управления;
· отказаться от монотехнологичности в коммуникационных сетях передачи данных внутри подстанции, чтобы Ethernet и TCP/IP не были единственными коммуникационными технологиями цифровой подстанции;
· применять симплексные каналы с односторонней передачей информации там, где это достаточно для выполнения прикладной функции, например, односторонняя передача информации от цифрового ТТ (ТН) к устройствам РЗА, исключающая возможность кибератаки на сам ТТ (ТН) от неисправного устройства РЗА;
· создать выделенные сегменты коммуникационных сетей для настройки и переконфигурирования устройств, причем в процессе эксплуатации данные сегменты должны быть нормально отключены (снято питание с коммуникационных устройств или разобраны разъемы);
· применять межсетевые экраны для разделения сегментов коммуникационных сетей на физическом (аналоговом) уровне, чтобы исключить выполнение несанкционированных функций. Сегодня межсетевые экраны обычно реализуют на уровне программного обеспечения;
· применять специальные межсетевые экраны для передачи GOOSE-сообщений между физически разделенными сегментами коммуникационных сетей с возможностью физического вывода из работы любого сигнала (аналог традиционного ключа/накладки для традиционной подстанции);
· применять для ответственных функций упрощенные узкоспециализированные протоколы обмена информации, которые не позволяют передавать несанкционированную информацию. Например, Ethernet и TCP/IP не подходят, потому что поддерживают передачу любой информации;
· учитывать при проектировании систем человеческий фактор;
· сохранять в минимальном объеме средства защиты и управления, выполненные без использования цифровых технологий. Например, газовые, дуговые и прочие подобные защиты оборудования могут легко быть построены на независимой от цифровых подсистем базе, и напрямую действовать на отключение выключателей, минуя цифровые системы управления;
· создавать системы комплексной безопасности и оперативного реагирования - SOC-центры (Security Operations Center) и осуществлять постоянный мониторинг информации и событий в сфере безопасности SIEM (security information and event management);
· регулярно обновлять ПО, менять пароли, ограничивать доступ пользователей, использовать шифрование;
· создавать фрагменты ложных диспетчерских компьютерных сетей для выявления инсайдерской агентурной активности, внутренней коррупции и избирательного вирусного заражения;
· исключать использование беспроводного и удаленного доступа в АСУ ТП без авторизации и аутентификации.
Как противодействовать кибератакам
Заключение
Процесс цифровизации энергетических систем, использование интеллектуальных технологий, сложного технического, информационного и коммуникационного оборудования повысили риски в области кибербезопасности энергетических предприятий.
Потеря и недостоверность информации вследствие кибератак на информационно-коммуникационную подсистему могут привести к развитию аварийных ситуаций как самой цифровой подстанции, так и в целой системе подстанций. Поэтому проблема киберустойчивости объектов энергетики является критически важной и должна решаться как техническими средствами, так и организационными, включая повышение квалификации оперативного персонала.
Вступайте в группу Эксперты Промышленной Автоматизации Вконтакте, задавайте вопросы, общайтесь с коллегами!
