Современные АСУ ТП всё чаще оказываются уязвимы перед хакерами - однако вендоры и пользователи не торопятся признавать и исправлять опасную ситуацию. Это наблюдение стало основной темой для дискуссий на международном саммите по безопасности промышленных систем управления 4SICS, который прошёл в конце октября в Стокгольме.
"Несмотря на всю интернет-революцию, мы до сих пор недостаточно озабочены безопасностью, поскольку старая IT-парадигма говорит нам: мы функционируем автономно, ни к кому не подключены, у нас собственный хитрый софт, и никто не сможет нас атаковать. Но реальность давно уже изменилась", - так выразился один из ключевых спикеров мероприятия Стефан Лёдерс, руководитель отдела безопасности Европейского центра ядерных исследований (CERN).
Среди проблем "новой реальности", расстроивших Лёдерса, упоминались недостатки платформы Siemens SIMATIC WinCC Open Architecture - она используется для управления многими критическими объектами в разных странах мира, от аэропорта Цюриха до Большого адронного коллайдера (последним как раз и занимается CERN). Уязвимости в данной SCADA-платформе были найдены два года назад экспертами Positive Technologies, которые продемонстрировали возможность получения полного доступа к системе управления с помощью найденных уязвимостей.
На конференции 4SICS заместитель генерального директора Positive Technologies Сергей Гордейчик демонстрировал новые примеры техно-кошмаров, которые могут быть вызваны атакой на SCADA-системы. В докладе под названием The Great Train Cyber Robbery было показано, как уязвимости ИТ-компонентов АСУ ТП могут влиять на функциональную безопасность в различных индустриях. Сергей подчеркнул, что это не единичные случаи: эксперты компании регулярно обнаруживают уязвимостей нулевого дня в системах SCADA, исследуя безопасность решений разнообразных производителей, среди которых ABB, Emerson, Honeywell, Siemens и др.
Стоит заметить, что конференция проходила в столице Швеции как раз в то время, когда в территориальных водах этой страны упорно искали российскую подводную лодку. Хотя за последние 33 года шведы ищут эту таинственную субмарину уже не первый раз, нынешняя кампания вышла особенно шумной: благодаря СМИ и социальным сетям одна любительская фотография загадочного бурления воды разрослась уже до размеров космического корабля "Энтерпрайз". Неудивительно, что эти настроения нашли отклик и на конференции 4SICS.
Например, представитель шведской ИБ-компании Netresec делал доклад о троянце Havex, который использовался в этом году для многоступенчатой атаки на европейские АСУ ТП: хакеры взламывали сайты вендоров и заражали официальные дистрибутивы SCADA, которые затем скачивались клиентами и запускались в работу. В результате злоумышленникам удалось получить контроль над системами управления в нескольких компаниях Франции, Германии и других стран, где использовалось заражённое ПО.
В целом, доклад шведских ИБ-экспертов вышел очень информативным, и даже были раскрыты вендоры, которые распространяли зараженное ПО. Но при этом на первых же слайдах презентации можно было увидеть заявление о том, что хакерская группировка действует "с территории России, в интересах России, и вероятно, при поддержке российских властей":
"ENERGETIC BEAR is operating out of Russia, or at least on behalf of Russia-based interests, and it is possible that their operations are carried out with the sponsorship or knowledge of the Russian state".
Впрочем, были на конференции и такие докладчики, которые оценили вклад российских ИБ-специалистов в облагораживание Вселенной. Таковым оказался Джон Матерли, создатель проекта Shodan.io. Этот «поисковик по Интернету вещей» сканирует Интернет в поисках автоматизированных систем управления с онлайновым доступом, и отображает эти системы на интерактивной карте. Представляя результаты работы своего проекта на форуме 4SICS, Джон Матерли сказал большое спасибо команде экспертов по безопасности АСУ ТП из компании Positive Technologies, особенно Дмитрию Ефанову и Александру Тиморину.
В заключение конференции участники провели круглый стол, посвященный прогнозам в области безопасности промышленных систем управления на следующие 5-10 лет. Прогнозы оказались невесёлыми: наиболее серьезным вызовом безопасности ближайшего будущего назвали расставание с Windows XP, и в целом заключили, что улучшения ситуации не предвидится. Дейл Петерсон, основатель компании Digital Bond и бывший аналитик NSA, прокомментировал эти упаднические настроения очень лаконично: «Ну тогда просто расслабьтесь».