Книга: Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества

Новая реальность

Новая реальность

Нарушить стабильность функционирования производственной сети сегодня может не только отказ технологических узлов или ошибка оператора, но также ошибки в ПО, случайное заражение рабочих станций вредоносными программами или целенаправленные действия со стороны киберпреступников. А они в последние годы проявляют все больший интерес к инфраструктурным и промышленным объектам.

Например, с 2010 г. и по настоящее время продолжается кампания кибершпионажа, известная как Crouching Yeti или Energetic Bear. Более 2800 предприятий, значительная часть которых связана с энергетикой и машиностроением, уже пострадали от действий организаторов этой операции – предположительно похищена конфиденциальная информация, составлявшая коммерческую тайну. Большая часть предприятий-жертв находится в США и Испании, однако в их числе есть и некоторые российские объекты.

Другой пример: 2 января 2014 г. системный администратор японской АЭС Monju обнаружил многократные удаленные подключения к одному из восьми компьютеров в центре управления реактором. Причиной этого инцидента стала установка одним из сотрудников обновления бесплатного видеоплеера GOM Media Player. В результате инцидента злоумышленниками была украдена часть информации, в том числе конфиденциальной, хотя последствия исполнения злонамеренного программного кода в центре управления реактором могли бы быть куда более опасными.

Казалось бы, в этих условиях достаточно обеспечить сетевую изоляцию АСУ ТП. Но несостоятельность этой концепции продемонстрировал печально известный инцидент с Stuxnet: компьютерный червь размером 500 Кб проник в изолированные сети через USB-накопитель и инфицированные SCADA-проекты, заразил программируемые логические контроллеры и физически вывел из строя центрифуги на ядерном объекте в Иране. Более того, потом этот червь «вырвался на свободу» и затронул ряд других критически важных объектов.

В конце 2014 г. также была зафиксирована атака на одно из металлургических предприятий в Германии. При помощи фишинга и методов социальной инженерии, в частности посредством писем, содержавших вредоносные вложения, киберпреступники проникли во внутреннюю сеть предприятия и получили доступ к системам управления производством. Инцидент привел к тому, что сталеплавильную печь невозможно было остановить в штатном режиме, что привело к значительным убыткам. Это второй случай после Stuxnet, когда проникновение вредоносного ПО в АСУ ТП закончилось для предприятия реальным материальным ущербом.

Однако АСУ ТП критически важных объектов угрожают не только целенаправленные атаки со стороны кибертеррористов. Специфика этих систем такова, что они вполне могут пострадать и от самых обычных, «офисных» вирусов. Однако в промышленных сетях обычное вредоносное ПО способно причинить несравнимо больший вред, чем при заражении офисного или домашнего компьютера – например, заблокировать выполнение критически важных приложений, что приведет к сбою в работе оборудования. Например, червь Conficker сумел заразить производственную сеть только потому, что в ней не было своевременно установлено обновление ОС Windows.

Зловред посылал миллионы сетевых запросов, тем самым вызывая паралич производственной сети.

Даже средства автоматизированного проектирования могут использоваться для распространения вредоносного кода. Так, например, был зарегистрирован случай проникновения в производственную сеть вредоносной программы, написанной на языке AutoLisp (AutoCAD). Она внедрила вредоносный код в чертеж, открытие которого привело к массовому уничтожению данных.

Оглавление книги