Промышленная автоматизация – это ключевое условие входа страны в следующий технологический уклад. Одновременно – это испытание на прочность, для экономики в условиях гибридной войны. Хотим мы того или нет, она сегодня ведется преимущественно не на поле боя, а в идеологических лабораториях и конструкторских бюро. Свой конвейер важно не только роботизировать и запрограммировать, но и защитить от глобального врага. В России это понимают «не только лишь все». Однако общая картина происходящего вызывает тревогу за будущее отечественной науки и производства.
Только за первое полугодие 2020 года, согласно данным мировой статистики, было выявлено 365 уязвимостей в автоматизированных системах управления технологическими процессами (АСУ ТП), причем более половины из них относится к объектам критической инфраструктуры. Уязвимости – это особенности программного обеспечения, которые содержат в себе потенциальную угрозу независимости пользователя. Этим пользователем может быть как отдельно взятая компания, так и целое государство. Также любопытно, что значительная часть этих уязвимостей (255) имеет удаленное управление, а 19% уязвимостей может быть использовано в объектах критической информационной инфраструктуры.
К числу уязвимостей принято относить и программные ошибки, которыми пользуются злоумышленники. Однако чаще всего – это специально заложенные разработчиком «закладки»: их можно использовать с целью дальнейшего проникновения в систему. Есть IT-компании, которые ведут реестр уязвимостей: их находят и обнародуют; после чего производители, по идее, вынуждены их закрывать и ликвидировать. Однако, в основном, производители ПО этого не делают даже после опубликования.
В американской New York Times открыто сообщается о том, что Штаты готовы проводить кибероперации против России. «Американская стратегия сместилась в сторону нападения, с размещением вредоносного ПО внутри российской системы, цитирует NYT слова высокопоставленного представителя американских спецслужб. <…> Она предназначена частично для предупреждения, частично – чтобы подготовить кибератаки, если между Вашингтоном и Москвой разразится крупный конфликт».
Внедрение вредоносного ПО на российские объекты критической инфраструктуры используется в качестве механизма сдерживания РФ. Интересно, что это происходит одновременно с шумными обвинениями в адрес Москвы в киберпреступлениях и даже вмешательстве в политические процессы международных партнеров. Однако против цифр не возразишь, и на воре шапка горит.
В оборонном бюджете США на 2020 год инвестиции в кибербезопасность составили $9,6 млрд. Из них $3,7 – на кибероперации. Это цифры из открыто заявленного бюджета, но, конечно же, есть и неявные расходы.
Коготок увяз в чужом софте
В России проблемой АСУ ТП является их редкое обновление. Обычно это связано с тем, что датчики уже установлены на полевом уровне. Таким образом, система может существовать с уязвимостями много лет.
Зачастую российская цифровизация бежит «впереди паровоза» и многие программные решения встраиваются в производственные цепочки без оглядки на то, как эти цепочки будут защищены. Заказчики информационных систем думают о функциональности, забывая о безопасности. Технологи, работающие на производстве, плохо понимают киберугрозы, либо относятся к ним с непростительным скепсисом. Чаще всего информационные продукты с «закладками» оказываются внедренными в конвейер постфактум, без предупреждения заказчика о перспективах и последствиях. Большинство таких «троянских» информационных технологий – иностранного происхождения.
Наталья Касперская, президент группы компаний InfoWatch, соучредитель «Лаборатории Касперского»:
– Внедрив систему в производственный процесс, пользователь только затем начинает искать средства защиты. К нам иногда обращаются компании, дескать, мы установили систему, а теперь нам ее надо бы защитить. Что, по правде говоря, невозможно сделать. Потому что средства наложенной безопасности в случаях АСУ ТП работают очень плохо. Они могут выборочно выявлять какие-то слабые места, но далеко не все. Особенно, если речь идет о внутренних уязвимостях или о заранее заложенном в систему функционале.
Чем дальше влез – тем больше дров
В итоге мы имеем печальную картину реального сектора российской экономики.
При доминирующем положении зарубежных IT-продуктов для российской энергетики, промышленности, транспорта, медицины, социальных услуг отсутствуют:
- – единые требования к информационной безопасности;
- – единые технические стандарты: «умные технологии» используют разные протоколы, архитектуру и ПО;
- – катастрофически мало реальной практики использования отечественного ПО и оборудования.
Производители средств АСУ ТП и промышленной автоматизации преследуют свои коммерческие цели, проводя так называемую «молчаливую цифровизацию». Условно говоря, закупая турбины, вы не в курсе, что в них установлен “интернет”, и узнаете об этом случайно, или не узнаете вовсе.
Потенциально, цифровой дистанционный контроль может быть использован не только для проведения технологических диверсий или шпионажа, но и с целью повышения эффективности производства. Интегратор ПО может видеть и анализировать состояние промышленных объектов и передать пользователю полезную информацию. Если таким интегратором является добродушное государство.
С другой стороны, если, например, компания не провела вовремя оплату или в зарубежной митрополии вдруг ввели санкции против экономической колонии, – то оборудование в колонии может быть дистанционно отключено. Многие уже успели позабыть опыт с австрийским оборудованием Газпрома, отключение которого стало болезненным уколом для имиджа национальной экономики.
Принято делить киберугрозы на три типа:
- Атаки на инфраструктуру: ГЭС, ТЭЦ, угроза генерации энергии, рукотворные аварии, катастрофы и ЧС; нарушение системы связи, приводящее к потере управления. Кража информации с целью шантажа, шпионаж с целью недобросовестной конкуренции или оказания политического давления на государственные институты.
- Удаленный контроль со стороны производителя ПО (отключение оборудования по причине несоблюдения условий эксплуатации, либо по внешним политическим причинам).
- Отказы внедренных IТ-систем, приводящие к сбоям в производстве, ущербу, простою и поломкам дорогостоящего оборудования.
Средства удаленного контроля могут использоваться интегратором ПО не только в политических, но и в чисто коммерческих целях – например, для того, чтобы удержать клиента и не дать ему уйти к интеграторам другого ПО или вытягивание из него как можно большего объема средств. Все больше распространена модель оплаты не за оборудование, а за сервисное обслуживание. Все эти случаи подразумевают использование удаленного контроля.
Позорные страницы истории
В августе 2008 года во время грузино-осетинского конфликта в один момент все немецкие, американские, японские автоматические линии с числовым программным управлением, завезенные в РФ и установленные в оборонно-промышленном комплексе, были дистанционно демонстративно остановлены производителями (Источник: протокол заседания Государственной Думы РФ № 23 от 27 января 2017 г.).
15 октября 2019 года австрийский поставщик отключил Газпрому компрессоры LFM дистанционно, через спутник. После инцидента Газпром решил закупить отечественные. В компании также применялись компрессоры американского и швейцарского производства, риск их отключения тоже не исключен (Источник РБК).
Наш ответ Чемберлену
В России вопросами кибербезопасности занимается специальное ведомство под названием ФСТЭК (Федеральная служба по техническому и экспертному контролю). ФСТЭК с 2014 года начала прорабатывать регуляторные меры, которые позволят предприятиям защититься от киберугроз. Благодаря деятельности службы в 2017 году был издан федеральный закон «О защите критических объектов информационной инфраструктуры», который является основным до сего дня. До конца 2020 года все объекты критической информационной инфраструктуры должны были пройти категоризацию. А 2021 станет годом проверок. Периодически ФСТЭК выпускает регуляторные разъяснительные документы. В одном из последних, в частности, говорится о том, что необходимо проверять исходный код приложений, которые устанавливают предприятия. Требование относится как к потребителям ПО, так и к его интеграторам. До 1 сентября 2023 года все объекты критической инфраструктуры должны быть приведены в соответствие с требованиями службы.
Цифровизацию необходимо проводить, прежде всего, регуляторным и образовательным методами. У цифровизации должны быть внятные цели, сроки и критерии эффективности. А еще у нее должны быть конкретные ответственные лица и фамилии. Ничего этого в РФ пока не наблюдается. Государству следовало бы, как минимум, показывать и разъяснять успешные примеры внедрения информационных технологий в промышленную сферу, формировать шаблоны с использованием отечественного ПО.
Обеспечение информационной безопасности закладывается сразу при построении системы, чтобы не перестраивать все с большими финансовыми и энергозатратами. В России имеется достаточно много эффективных решений в области информационной безопасности и промышленной автоматизации, заслуживающих комплексного применения. Стране, претендующей на то, чтобы иметь технологический суверенитет, жизненно важно использовать собственные программы защиты и сами АСУ ТП российского производства.
Автор: Виктория Сухорукова
Комментариев пока нет