Как избежать хакерских атак на производстве

Промышленные предприятия регулярно становятся мишенями хакеров. Так, в Kaspersky ICS CERT (проект «Лаборатории Касперского») подсчитали, что в прошлом году заблокировали вредоносные объекты почти на каждом втором компьютере защищаемых автоматизированных систем управления технологическим процессом (АСУ ТП). По нашему опыту, руководители предприятий зачастую считают, что их промышленные системы находятся под надежной защитой. Однако на деле эта неприступная крепость легко сдается из-за халатности людей. Рассмотрим шесть самых распространенных ее проявлений.

1. Запрет интернета на производстве. Руководители часто уверены, что отсутствие интернета само по себе защищает их промышленные системы. Однако это не так. Например, при обследовании автоматизированной системы диспетчерского управления энергоподстанциями в одном российском городе мы обнаружили, что ее оператор, живший через дорогу, использовал интернет в рабочее время и протянул на площадку сетевой кабель из дома. Если бы рабочая станция заразила АСУ вирусом-шифровальщиком, часть города могла лишиться электричества на несколько дней, а энергокомпания понесла бы серьезные финансовые потери.

Уменьшить риск возникновения подобных инцидентов поможет комплекс мер: использование антивирусной защиты, регулярное создание резервных копий, повышение сознательности персонала. Для контроля состояния системы полезно раз в полгода проводить ее аудит.

2. Запрет на пронос съемных носителей. На многих предприятиях запрещают проносить на производство съемные носители, но это не спасает. Нередко сотрудники проносят флеш-накопители, спрятав их в кошелек, пачку сигарет и даже в носки. Например, в ходе аудита АСУ ТП на нефтеперерабатывающем заводе мы выяснили, что для подключения к интернету сотрудник пронес на территорию завода и впаял в компьютерную мышь GSM-модем, а также установил программу для его использования на рабочую станцию. При заражении системы вирусом нерадивый сотрудник попросту не смог бы продолжать выполнять поставленные задачи.

Избежать подобных ситуаций помогает разграничение прав доступа на рабочих станциях АСУ ТП и расположение технических средств в закрытых коробах для блокировки подключения к ним несанкционированных носителей. Нелишним будет также отключить на устройствах неиспользуемые интерфейсы.

3. Сегментирование сети и использование межсетевого экрана. Многие компании подключают технологический сегмент сети к корпоративному для предоставления информации бизнес-подразделениям и часто считают, что АСУ ТП защищены. Однако неправильная настройка оборудования грозит атакой из корпоративного сегмента сети в технологический. Нередко на их границе можно встретить установленное, но не настроенное средство защиты, например межсетевой экран (МЭ). Например, для руководства одной из энергокомпаний стало большим сюрпризом, когда при обследовании площадок мы обнаружили за информационной стеной устройство, объединявшее корпоративную и технологическую сети.

Избежать подобных проблем помогает актуализация проектной документации и паспортов объектов, а также периодическая инвентаризация и аудит безопасности АСУ ТП.

4. Техобслуживание и мониторинг АСУ ТП. Подвести могут и производители оборудования, обслуживающие промышленные системы. При настройке устройств инженеры вендоров АСУ ТП не всегда уделяют должное внимание вопросам информационной безопасности. На нефтегазовом предприятии производителю АСУ ТП настроили защищенный удаленный доступ к автоматизированной системе через шлюз. Специалист вендора должен был согласовывать каждое действие по обслуживанию системы с ее администратором и получать доступ к ней только по заявке. На деле инженер решил сэкономить время и установил в один из промышленных коммутаторов GSM-модем для бесконтрольного подключения к АСУ ТП, что могло потенциально привести к человеческим жертвам. Служба информационной безопасности предприятия вовремя заметила отклонения в работе систем и инициировала проверку.

5. Безопасность устройств на уровне архитектуры. Часто считается, что программируемые логические контроллеры (ПЛК) и датчики хорошо защищены. Однако большинство функционирующих АСУ ТП были разработаны и введены в эксплуатацию более 10 лет назад, а при проведении модернизации компании сокращают расходы и не устанавливают дополнительные модули безопасности. Поэтому ПЛК и датчики уязвимы. На одном предприятии все ПЛК вышли из строя в результате вирусного заражения, и руководству пришлось остановить производство до решения проблемы. Так как у IT-отдела были резервные копии программ управления ПЛК, а на складе имелись резервные устройства, устранить инцидент удалось оперативно.

Для предотвращения подобных случаев не забывайте о ПЛК и датчиках и учитывайте их при разработке системы обеспечения безопасности.

6. Антивирусная защита. Заражение устройств с установленной антивирусной защитой вовсе не редкость. При проведении аудитов и анализа конфигураций мы регулярно выявляем некорректно настроенные правила антивирусных средств и отсутствие обновлений их баз данных. Несвоевременное обновление баз данных делает антивирус практически бесполезным.