Кібербезпека

З розширеним зв’язком, що є результатом «Індустрії 4.0», необхідно захистити критично важливі промислові системи та виробничі лінії від кіберзагроз. Тому кібербезпека є незамінним елементом, без якого впровадження I4.0 не може бути успішним.

Трьома основними стовпами інформаційної безпеки є Конфіденційність**, **Цілісність і Доступність, також відомі як тріада CIA.

Конфіденційність (Confidentiality): Лише особам, які мають законні повноваження на доступ до необхідної інформації, має бути дозволено це робити. Метою конфіденційності є запобігання доступу до конфіденційних даних не тим людям.
Цілісність (Integrity): Цей принцип спрямований на забезпечення точності, достовірності та дійсності інформації протягом усього її життєвого циклу.
Доступність (Availability): Доступність стосується інформації, яка є доступною для уповноваженого персоналу завжди, коли вона потрібна.

У цьому сенсі компаніям необхідно прийняти моделі безпеки, які відповідають набору відповідних існуючих стандартів, зокрема IEC-62443. Прикладом є система Defense in Depth, яка базується на моделі безпеки на основі шарів, де кожен шар забезпечує додатковий рівень безпеки всієї системи. Іншим прикладом є концепція проектної безпеки (security by design), згідно з якою безпека враховується на ранній стадії проектування та концептуалізації нових продуктів, процесів, систем і послуг. Таким чином, запровадивши заходи та критерії безпеки з самого початку, можна мінімізувати та, значною мірою, уникнути ризиків і впливу від можливих майбутніх атак або нещасних випадків у міру зростання та розвитку всієї системи.

Сама по собі кібербезпека не приносить збільшення доданої вартості. Однак недостатнє серйозне відношення до кібербезпеки ставить на нівець впровадження інших технологічних рішень.

Нижче розглянемо основні поняття по кібербезпеці в автоматизованих систем керування технологічними процесами (АСКТП) які мають пряме відношення до промислового інтернету речей (IIoT).

Поширені міфи про кібербезпеку

Ще в 2000-х було поставлено питання про вразливість класичних систем керування. Не дивлячись на наявні інциденти, пов’язані з недостатнім захистом систем керування промисловими об’єктами (а частіше з повною відсутністю такого захисту), багато виробничників вважають, що проблеми кібербезпеки в автоматизованих систем керування для їх підприємств не є актуальними. Ось кілька типових міфів та їх спростування.

1. Кібератаки не сильно актуальні для промислових чи кіберфізичних систем. Звісно, що більшість атак стосуються традиційних комп’ютерних систем. Стосовно промислових систем, кількість атак значно менша. Але при цьому зловмисник має спеціальні знання про цільові системи та здійснює індивідуальну атаку. Ризики, пов’язані з кібербезпекою промислових систем, залежать від ступеня тяжкості пошкодження та ймовірності його виникнення. Для промислових установок чи атомних станцій збитки можуть бути катастрофічними та впливати на населення. У зв’язку з цим у світі впроваджуються та постійно розвиваються регуляторні зобов’язання, такі як LPM (Military Programming Act) у Франції, директива NIS (Network and Information Security) в Європі або Закон про захист критичних інфраструктур у США. З підключенням систем АСКТП до Інтернету, що характерно для промислового інтернету речей (IIoT) зявилися додаткові ризики.

2. Система ізольована від Інтернету, тому вона безпечна. Тривалий час вважалося, що відсутність підключення до Інтернету є достатнім обмеженням, щоб уникнути будь-якого ризику комп’ютерного піратства. Професіонали називають це міфом про “повітряний зазор”. Насправді є кілька факторів, які заперечують цей міф. По-перше, навіть якщо система не підключена до Інтернету, вона може стати жертвою технологічних зловмисних дій. Так, славнозвісний вірус Stuxnet був занесений через USB-флеш накопичувач. По-друге, часто мережа рівня процесу підключається до мереж верхнього рівня керування, що може стати жертвою атак та розміщувати шкідливі програми. Ті з часом можуть пошкодити мережі рівня процесу або навіть можуть забезпечити проходження атак безпосередньо через них. По-третє, у мережі рівня процесу можуть існувати тимчасові або постійні прямі підключення до Інтернету з метою обслуговування або конфігурування, і вони створюють реальну вразливість. Крім того, із зростанням потреби завантажувати дані в інформаційну систему підприємства або в хмару, із потребою оновлення систем із сайта виробника та потребою віддаленого обслуговування, ізоляція промислових систем стає все більш ілюзорною. З необхідністю використання усієї доступної сьогодні функціональності ізоляція немає сенсу, тому даний підхід нагадує “не ходити на вулицю щоб не захворіти”.

3. Рівень імовірного пошкодження надто низький, щоб перейматися кіберзахистом. Поширеною думкою є низький рівень ризиків у випадку, якщо виробниче обладнання не використовує небезпечні машини чи процеси. Зрозуміло, що шкода довкіллю та людям буде обмежена. Однак для компанії втрати можуть бути величезним, оскільки атака може призвести до відключення виробництва на тривалий період, до низької якості виробленої продукції або навіть до знищення виробничого обладнання. Необхідно проаналізувати економічні наслідки та провести аналіз витрат і вигід для визначення рівня заходів з кібербезпеки, яких слід вжити.

4. Робочі станції оснащені антивірусним програмним забезпеченням і брандмауером, тому система захищена. Використання антивірусу є тільки одним з базових кроків захисту, що може захистити робочі станції комп’ютера. Однак у промисловій системі є багато пристроїв, що працюють під операційними системами реального часу або спеціалізованих ОС, для яких, як правило, немає антивірусного ПЗ, і воно є вразливим. Окрім того, однією з проблем антивірусного програмного забезпечення для промислових робочих станцій є те, що воно не завжди оновлюється. Брандмауери також можуть не забезпечити необхідного захисту: по-перше, правила фільтрації не завжди добре налаштовані; по-друге, навіть якщо потоки даних добре фільтруються, це не запобігає проходженню всіх атак. Наприклад, система керування енергетичною станцією, яка була атакована в Україні у 2015 р, включала в себе брандмауери, які не змогли завадити атаці.

5. Використання віртуальної приватної мережі (VPN) убезпечує від несанкціонованого доступу. Це не є достатньою умовою захищеності. По-перше, значна кількість VPN використовує технології, які вважаються застарілими і тому вразливими. Проведені дослідження показали, що більшість тестованих мереж VPN все ще використовують протокол на основі старих методів шифрування, які зараз не рекомендуються для використання. По-друге, навіть при добре налаштованому VPN, при скомпрометованому одному вузлі (отримані захищених ключів та паролів), це може поставити під загрозу решту мережі.

6. Система інформаційної безпеки (ISS Information System Security) є дорогою і створює багато обмежень для ефективного функціонування. Поширена думка, що спеціалізовані системи ISS дорогі й накладають велику кількість експлуатаційних обмежень, несумісних із системами керування промисловими об’єктами. Насправді ISS промислових систем повинні бути адаптовані до викликів, тому важливо проаналізувати ризики та порівняти важливість цих ризиків із вартістю заходів щодо їх зменшення та обмежень, які вони накладають. Однак безпеку часто вважають джерелом витрат, що важко виправдати рентабельністю інвестицій. Більш релевантним є її вимірювання в термінах потенційних втрат, наприклад, щодо кількості виробленої продукції при тимчасовій непрацездатності системи, або витрат на реконструкцію, якщо система була пошкоджена.

Останніми роками було запропоновано багато стандартів та посібників у галузі безпеки інформаційних систем. Деякі з цих стандартів пропонують підхід до керування ризиками відповідно до ISO 31000: це стандарти ISO 27000. Стандарти безпеки інформаційних систем не підходять до АСТКП та до IIoT безпосередньо у зв’язку з рядом відмінностей між ними. Тому для сегмента OT спеціально розроблено ряд стандартів з кібербезпеки, такі як IEC 62443 або посібник NIST SP 800-82. Крім того, розроблено ряд галузевих стандартів, наприклад, розподілу та виробництва електроенергії та атомної енергетики.

Таблиця 1. Відмінності між ІТ та ОТ

	Information Technology (IT)	Operational Technology (OT)
Призначення	Використовується в бізнесовому або офісному середовищі для підтримки щоденних заходів, таких як облік, замовлення, керування персоналом, аналізу даних тощо	Використовується для моніторингу та керування процесами у промислових умовах, таких як заводські приміщення, нафтопереробні заводи, нафтогазові платформи, системи очистки води тощо
Приклади систем або устатковання	- Робочі станції користувачів. - Файлові, поштові, або web-сервери. - Бази даних. - Мережні пристрої (маршрутизатори, комутатори, брандмауери)	- ПЛК. - Distributed Control Systems (DCSs). - SCADA-системи. - Historian. - Конвертери протоколів
Інтереси кібербезпеки	Першочерговим завданням є конфіденційність даних, далі – необхідність цілісності даних, а потім доступність системи.	Першочерговим завданням є доступність системи, за нею йде цілісність даних, аж потім – конфіденційність даних. Але для OT цілісність та конфіденційність даних особливо важливі для логіки пристрою та файлів конфігурації, які використовуються в керуючих програмах.
Керування змінами	У рамках функції ІТ процеси керування змінами значною мірою є самостійними	Зміни в технології є частиною загального процесу керування змінами. Зміни та оновлення в системах OT можуть потребувати тимчасового виведення устатковання з обслуговування, що може бути проблематичним для деяких виробництв
Інші фактори	- Для доступу до бізнес-систем співробітники все частіше використовують власні пристрої, наприклад мобільні засоби. - Нові технології впроваджуються з недостатньою турботою про безпеку.	- Мережні протоколи та устатковання, як правило, є пропрієтарними та закритими, що ускладнює впровадження типових засобів кібербезпеки. - Базова технологія може застаріти і, отже, стати вразливою до атак. - Середовище устатковання майже завжди неоднорідне, і включає пристрої різного віку та походження.

В Україні в 2019 р. методом підтвердження прийнято стандарт ДСТУ EN IEC 62443-4-1:2019, який просувався в проекті aCampus як один з найважливіших міжнародних стандартів АСКТП. У цьому проекті випущено ряд матеріалів просвітницького змісту, зокрема біла книга “Кібербезпека індустріальних систем” tk185.appau.org.ua/cybersecurity, в якій представлено серію стандартів ISA99/IEC 62443, виклики щодо їх впровадження та єдиний каркас для кібербезпеки й функційної безпеки.

Основні поняття

Відповідно до Закону України “Про основні засади забезпечення кібербезпеки України” (від 5 жовтня 2017 року № 2163-VIII) [25], кібератака – це спрямовані (навмисні) дії в кіберпросторі, які здійснюються за допомогою засобів електронних комунікацій (включаючи інформаційно-комунікаційні технології, програмні, програмно-апаратні засоби, інші технічні та технологічні засоби і обладнання) та спрямовані на досягнення однієї або сукупності таких цілей: порушення конфіденційності, цілісності, доступності електронних інформаційних ресурсів, що обробляються (передаються, зберігаються) в комунікаційних та/або технологічних системах, отримання несанкціонованого доступу до таких ресурсів; порушення безпеки, сталого, надійного та штатного режиму функціонування комунікаційних та/або технологічних систем; використання комунікаційної системи, її ресурсів та засобів електронних комунікацій для здійснення кібератак на інші об’єкти кіберзахисту.

Хто атакує

Слід розуміти, що кібербезпека АСКТП та IIoT залежить не тільки від навмисних, цілеспрямованих нападів професійних хакерів. Інциденти з кібербезпекою можуть виникнути внаслідок нещасних випадків або ненавмисних дій уповноважених осіб (працівників, постачальників або підрядників). Багато загроз часто не є цільовими і можуть виникнути в тому числі й на невеликих підприємствах як побічний наслідок атак на інші об’єкти, або широкоспрямованих [26]. Серед типів джерел атак можна виділити такі:

хакери-початківці: маючи доступ до багатьох інструментів та ресурсів в Інтернеті (наприклад HackForums.net), кожен може знайти системи, підключені до Інтернету і втрутитися в їх роботу, часто для задоволення власних амбіцій чи престижу;
професійні хакери: хакери, що володіють більшою кількістю навичок та ресурсів, можуть проводити атаки з метою отримання прибутку від викупу (наприклад, розблокуванням попередньо заблокованих ними систем, або розшифруванням попередньо зашифрованих ними файлів);
активісти різного типу: групи можуть працювати з хакерами для порушення діяльності організацій, які, за їхнім переконанням, роблять шкоду суспільству або природі;
незадоволені працівники або підрядники: використовуючи знання про підприємство або/та привілейований доступ, можуть помститися зривом виробничих операцій або викрасти конфіденційну інформацію, щоб продати конкурентам; після звільнення з компанії людина, що володіє обліковими даними, може віддалено зайти в мережу підприємства для нанесення збитків компанії;
державні структури або терористичні організації: мають дуже великі ресурси для реалізації атак на організації критичної інфраструктури з метою створення нестабільності або для впливу на їхню волю (як вірус Stuxnet);
аварії чи ненавмисні дії: дії працівників чи підрядників можуть ненавмисно призвести до інциденту кібербезпеки.

Послідовність атак

Для проникнення в цільову систему та проведення атакуючих зловмисних дій можна поєднувати різні засоби. Цей процес може проходити через кілька етапів, наприклад:

етап розпізнавання: дослідження цільової системи, ідентифікація, вибір цілей та їх вразливості; цілі можуть бути технічними (сервери, PLC) або людськими (персонал компанії);
етап передачі зловмисного програмного забезпечення в цільову систему, зокрема: електронною поштою, через шкідливий WEB-сайт, переносний накопичувач або за допомогою вразливості в цільовій системі;
етап експлуатації: зловмисне програмне забезпечення приховано виконується в цільовій системі, шпигує або чекає команд від зловмисника; шкідливе ПЗ також може спробувати скопіювати себе на інші станції мережі.

Атаки можуть проходити також у кілька стадій. Первинна атака може мати за мету провести підготовчі засоби для наступної атаки іншого характеру. Це може здійснюватися до тих пір, поки зловмисник не досягне кінцевої мети або його дії будуть виявлені і знешкоджені.

Компрометація (compromise) – несанкціоноване розсекречення, зміна, заміщення або використання інформації (в тому числі криптографічних ключів до відкритого тексту та інших критичних параметрів безпеки). Якщо стосовно якогось засобу або користувача відбулася компрометація (отримання паролів, ключів і т. п.), то цей засіб або користувач називається скомпрометованим. Компрометація одних засобів у системі може стати проміжною стадією для доступу до інших.

Шкідливе ПЗ

Зловмисники (особи або навіть цілі організації) можуть використовувати різні категорії шкідливого програмного забезпечення.

Вірус – це шкідливе програмне забезпечення, яке встановлюється прихованим чином на комп’ютер чи обладнання та здатне копіюватися з одного комп’ютера на інший. Код вірусу є частиною іншого програмного забезпечення (носія), і коли воно запускається, то вірус також виконується і може скопіювати себе як частину іншого файлу. Запуск зараженої програми може бути ініційований людиною або автоматично, наприклад, якщо USB-накопичувачі виконують файл автозапуску. Хробак (worm) – це тип вірусу, який поширюється по мережі, часто використовуючи вразливість віддаленого виконання.
Троян – це програмне забезпечення, яке часто передається через вкладення в електронний лист та видається за доброякісне, але по факту встановлюється на машину та проводить певні приховані дії (шпигування, надсилання інформації користувача на піратський сервер і т. ін). Логічна бомба – це категорія зловмисного програмного забезпечення, яка встановлюється приховано, наприклад, через троян та запускає дії в певну дату, визначену хакерами.
Руткіт – це шкідливе програмне забезпечення, яке встановлюється прихованим способом, метою якого є надання зловмиснику доступу привілейованого користувача, який таким чином має можливість виконувати всі дії в операційній системі.
Шпигунське програмне забезпечення – це програмне забезпечення, яке шпигує за користувачами та записує їхню діяльність, наприклад, натискання клавіш (keylog), записування звуку та/або зображення.
Бекдор (Back doors) – це прихована особливість програмного забезпечення або операційної системи, яка найчастіше впроваджується на момент розроблення та дає можливість отримати доступ до певних опцій або обходити звичайну процедуру аутентифікації. Ця функція при розробленні може бути призначена як для благих цілей (наприклад, для відновлення втрачених паролів), так і для незаконних (крадіжка даних).
Ботнет (botnet, бот-мережа) – це мережа машин, підключених до Інтернету, кожна з яких виконує “бот”, тобто програмне забезпечення робота, відповідального за реагування на зовнішні команди або виконання попередньо означених дій. Бот поширюється одним із способів, згаданих вище, таких як віруси або електронні листи. Вони приховано встановлюються на цільових робочих станціях або пристроях і чекають замовлень. Це дає можливість створювати армії машин, оснащених шкідливим програмним забезпеченням. Ці зомбі-машини можуть бути комп’ютерами або іншими пристроями, що підключені до Інтернету, наприклад, камерами або засобами промислового Інтернету речей (IIoT), і використовуються для здійснення інших атак. Вони можуть надсилати спам або здійснювати розподілені атаки відмови в обслуговуванні (DDoS).
Програма-шантажист (Ransomware) – це тип зловмисного програмного забезпечення, яке перешкоджає або обмежує доступ користувачів до їх системи, блокуючи екран системи або файли користувачів. Для відновлення доступу необхідно виплатити викуп.

Шляхи атак (вектор)

По відношенню до цільової системи загрози кібератак можуть бути внутрішніми або зовнішніми. Внутрішні загрози базуються на наявності фізичного доступу зловмисника до цільової системи безпосередньо або через внутрішню мережу. Це може бути, наприклад, працівник підприємства або представник постачальника. У цьому випадку контрзаходи по суті є організаційними: обмежені права доступу, подвійна перевірка для адміністраторів, контроль прибуття та виїзду персоналу тощо. Зовнішні загрози використовують інші вектори нападу, такі як Інтернет або соціальна інженерія. Шлях або засоби, що використовуються для доступу до цільової системи, називаються вектором атаки.

Зловмисники можуть використовувати різні вектори атак:

мережа: внутрішні провідні та бездротові мережі; пристрої з кількома мережними портами; скомпрометовані пристрої в локальній мережі з підключенням до Інтернету; зв’язки з хмарними сервісами; з’єднані тунелі (наприклад, при одночасному доступі до захищених ресурсів через VPN та Інтернет); бездротові мережі пристроїв та IoT (Hart, Zigbee і т.п.);
фізичний доступ: переносні носії USB або інші USB пристрої (keylogger); послідовні та інші порти (SATA, порт дисплею, HDMI, і т. д.), RJ45 порти; прямий доступ до клавіатури/миші; карти пам’яті Flash;
засоби АСКТП: USB та інші порти; логічні порти відкритих мереж (http, ftp, і т. п.); конфігураційне або завантажувальне ПЗ, що завантажує дані/код на технічний засіб;
програмне забезпечення: логічні мережні порти (UDP, TCP і т. п); вікна входу користувача (локальні або через Web-інтерфейс); файли входу користувача; читання даних через бібліотеки; вразливість OS (наприклад, доступ до даних через інший застосунок);
персонал підприємства: соціальна інженерія (через електронну пошту, телефон); внутрішнє шахрайство
постачальник: постачання електронних компонентів, плат; оновлення або постачання застосунків, ОС або прошивок

Вразливі місця

Засоби (програмні та технічні) можуть бути атаковані через різні типи вразливостей.

Атака переповнення буфера (Buffer overflow) намагається розмістити більше даних в області пам’яті, ніж вона може містити. Це може пошкодити інші змінні, заблокувати систему або, коли область даних перекривається з областю коду, записати в стек виклик потрібної підпрограми і тим самим призвести до виконання шкідливого коду.
Атака грубою силою (brute force) – це метод проб і помилок, який використовується деяким програмним забезпеченням для декодування зашифрованих даних, таких як паролі або ключі шифрування даних. Подібно до того, як злочинець може “зламати” сейф, випробувавши безліч можливих комбінацій, програма для злому грубою силою проходить послідовно через усі можливі поєднання дозволених символів. Груба сила вважається безвідмовним підходом, хоч і займає тривалий час. Насправді програми, що виконують цей тип атаки, поєднують грубу силу та словниковий підхід: перш ніж систематично перевіряти всі комбінації, вони спочатку перевірять типові паролі, потім словникові слова, потім класичні варіанти наборів.
Атака нульового дня (zero day) – це атака, яка використовує вразливості, які не були виправлені або оприлюднені. Часто цей тип нападу включає атаки, спрямовані на вразливості, відомі широкій публіці, але ще не виправлені. Якщо ці вразливості виявлять хакери, вони можуть використовувати їх для встановлення атак, через фрагменти програм чи програми, які називаються експлойтами (exploits). Експлойти будуть зберігатися в таємниці якомога довше, їх можна продати на чорному ринку кіберзлочинності.
Атака сторонніми каналами – використовують витоки інформації, такі як час виконання, споживання електроенергії або електромагнітні витоки, що спостерігаються під час звичайного виконання криптографічного алгоритму для виведення секретної інформації, такої як ключі шифрування. Певним чином цей спосіб схожий на відкриття сейфа за допомогою стетоскопа.
При WEB-доступі також можуть бути використані атаки з ін’єкцією SQL, при якій зловмисний код вставляється в рядки, які потім передаються екземпляру SQL-сервера для аналізу та виконання. Якщо на сервері не стоїть попередня обробка та фільтрація запитів, таким чином, наприклад, можна отримати перелік усіх користувачів.
Атака міжсайтових сценаріїв (XSS) – це тип атаки, при якому зловмисник вводить дані, такі як шкідливий сценарій (як правило, Javascript), у контент (наприклад сторінку) з надійних WEB-сайтів. Атаки на міжсайтові сценарії трапляються у випадках, коли ненадійному джерелу дозволено вводити власний код у WEB-застосунок, і цей шкідливий код включається в динамічний вміст сторінки, що передається браузеру жертви. Так може відбуватися, наприклад, на форумах, якщо вміст, введений користувачами, не валідується. Включений сценарій може використовуватися для крадіжки ідентифікаційних даних або інформації з файлів cookies.

Для засобів АСКТП (ПЛК, засоби розподіленого введення/виведення тощо) також наявні особливі вектори атак. Наприклад, багато ПЛК різних виробників працюють на базі ОС VxWorks, яка має вразливості, що дозволяють через проблему неперевіреного переповнення цілих чисел дозволити користувачеві виконувати довільний код або зробити атаку DoS. Якщо ПЛК не передбачає захисту програми користувача від змін (наприклад, за паролем або спеціальним фізичним ключем), це надає можливість вставляти зловмисне програмне забезпечення в цільову програму, що може виконувати шкідливі дії або навіть створювати DoS. Існують експерименти, в яких у ПЛК був прописаний хробак, який поширювався по промисловій мережі на інші ПЛК. Інший тип атаки стосується класичного OPC DA, що базується на COM/DCOM. OPC дає зловмиснику змогу перелічити властивості системи або використовувати вразливості шляхом переповнення буфера. Протокол OPC був замінений стандартом OPC UA, який є набагато безпечнішим.

Атака через мережу

Принцип атаки людини посередині мережі (атаки МіМ або MitM) полягає в передачі зв’язку між двома станціями через проміжний вузол зловмисника без відома цих станцій.

DoS-атака (Denial of service, відмова в обслуговуванні) – це атака, призначена для виведення системи чи служби з нормального режиму роботи. Вона може використовувати відому вразливість у конкретному застосунку чи операційній системі або використовувати певні вразливості в конкретних протоколах або сервісах. Під час DoS-атаки зловмисник намагається не допустити доступу авторизованих користувачів до конкретної інформації або до комп’ютерної системи чи самої мережі. Це може бути досягнуто несподіваним вимкненням (наприклад, через переповнення буфера) щоб затопити службу мережними запитами (наприклад ботнетом). Атака DoS також може застосовуватися разом з іншими діями для отримання несанкціонованого доступу до комп’ютера за допомогою атаки MitM. У контексті АСКТП, DoS-атака системи, що відповідальна за керування фізичним устаткованням, може мати серйозні наслідки. Якщо атакованою системою є СПАЗ, то можуть постраждати люди або довкілля. DoS-атака, що проводиться мережею комп’ютерів або підключених об’єктів, називається DDoS атакою (Distributed DoS). Атаки DoS/DDoS можуть бути проведені, наприклад, з використанням вразливості SYN-затоплення, коли створюється багато напіввідкритих TCP -з’єднань, що унеможливлює або ускладнює створення нових підключень.

Якщо засоби використовують стек TCP/IP, то вони можуть очікувати вхідних повідомлень по одному з портів TCP або UDP. Наприклад, порт 21 використовується для зв’язку FTP, порт 80 – для WEB-сервера, 102 – для ISO-TSAP (для S7 протоколу), а 502 – для Modbus. Якщо контроль та керування доступом до цих портів не проводиться, це може давати зловмиснику багато можливостей для несанкціонованих дій. Під час спроби вторгнення, сканування портів може дати зловмиснику інформацію про існування пристрою за адресою, а потім визначити його функціональні можливості та вразливості. Це може включати такі етапи:

перевірка активності пристрою;
перевірка, чи знаходиться хост за брандмауером;
виявлення ОС або типу обладнання;
сканування доступних портів;
пошук вразливості.

Спроба вторгнення виконується шляхом тестування відомих вразливостей на ідентифікованих портах. Наприклад, для порту 80, який використовується для WEB-сайтів, автоматичне програмне забезпечення надсилає запити для спроб ін’єкцій SQL, атак міжсайтових сценаріїв або спроб переповнення буфера. Для порту 22, який використовується SSH, спроби з’єднання можуть бути здійснені грубою силою. В Інтернеті можна знайти велику кількість утиліт для сканування мережі. Наприклад програмне забезпечення nmap дає змогу “сканувати” комп’ютерну мережу та відкриває порти; утиліта PLCSCAN – виявляти ПЛК, наявні в мережі. Виявлення активності сканування портів є важливим захисним процесом щодо знаходження спроби нападу і може запобігти інциденту.

Атака повторного відтворення (Replay attack) – це атака, яка передбачає перехоплення пакетів з мережі (наприклад, за допомогою механізму MiM), а потім використання їх для повторного пересилання одержувачу. При цьому пакети слід обов’язково інтерпретувати чи розшифровувати. Наприклад, відправник може надіслати зашифроване ім’я та пароль, щоб ідентифікувати себе, після чого зловмисник, повторно використовуючи ту саму послідовність, може отримати права відправника. Атака такого типу можлива проти певних типів вразливих ПЛК: зловмисник, що має доступ до мережі керування процесом, може вкрасти номери сеансу та додати довільні команди, щоб зупинити або перезапустити ПЛК.

Фізичні атаки

Якщо зловмисник отримає фізичний доступ до мети, то можлива низка додаткових атак. По-перше, зловмисник може знищити або пошкодити пристрої. Крім того, він може:

підключити пристрої для шпигування даних (включаючи крадіжку паролів), таких як кейлогер, який підключається до кабелю клавіатури та фіксує всі записування користувачів;
вкрасти картки пам’яті для копіювання або заміни;
вкрасти пристрої для здійснення зворотної інженерії та, можливо, виявлення вразливих місць, які можна використовувати віддалено;
використовувати існуючу клавіатуру або мишу пристрою, щоб спробувати змінити щось, або екран, щоб вкрасти необхідну інформацію.

Фізична атака може також бути здійснена на викинутому обладнанні з метою викрадення даних або паролів.

Атаки з використанням людського фактора

Однією з найслабших ланок безпеки ІТ-системи є людський фактор. Окрім ненавмисних (необережності) чи навмисних (свідоме недотримання правил) людських помилок, користувач може стати жертвою так званих методів соціальної інженерії. Ці методи ґрунтуються на брехні, хибному представленні, шантажі чи жадібності. Наприклад, зловмисник може зв’язатися з системним адміністратором і прикинутися авторизованим користувачем, попросивши отримати новий пароль. Ще одна загальна стратегія – представити себе членом персоналу постачальника, якому потрібен тимчасовий доступ для проведення аварійного обслуговування.

Ці методи також значною мірою покладаються на фішинг-афери, які мають на меті зловживати “наївністю” користувачів для отримання своїх облікових даних. Фішинг — один з різновидів соціальної інженерії, заснований на незнанні користувачами основ мережної безпеки. Зокрема, багато хто не знає простого факту: сервіси не розсилають листів з проханнями повідомити свої облікові дані, пароль та ін. Існує два типи фішингу: масовий (mass phishing) – використання загальних електронних листів, а також цільовий (Spear phishing), який проводиться після дослідження цілі та компанії. Виявлення останнього може бути набагато складнішим. Атака подібного плану може включати в себе такі етапи:

отримання жертвою електронного листа з використанням логотипу та кольорів компанії, яка надає якісь послуги (наприклад, постачальника або виробника);
запит до жертви на виконання такої операції, як оновлення персональних даних або підтвердження пароля;
підключення жертви до підробленого підконтрольного зловмиснику сайта;
відновлення зловмисником логіну/паролів (або будь-яких інших конфіденційних даних), введених жертвою на підроблений сайт.

Іншим типом людського фактора є внутрішнє шахрайство, коли уповноважений користувач свідомо використовує свій доступ з метою шкоди безпеці організації, в якій він працює. Користувачем може бути працівник, консультант або субпідрядник. Його слід відрізняти від користувача, який надає свої дані для доступу через необережність або через те, що він був введений в оману.

Основні вразливості в системах АСКТП

Успіх атаки на комп’ютерну систему залежить принаймні від однієї вразливості, що експлуатується. Слід розуміти, що це може бути вразливість не тільки технічного характеру, а й пов’язана з людським фактором чи недоліками в організації захисту. Технічні вразливості пов’язані з недоліками в технічному (апаратному, програмному) забезпеченні АСКТП. Однак для забезпечення надійного захисту необхідно в межах підприємства розробити політики безпеки, продуманість яких буде не меншою мірою впливати на це. Ступінь дотримання правил політик персоналом якраз і є людським фактором. Організаційними питаннями, зокрема формуванням та контролем виконання політик безпеки, повинні займатися спеціалісти з інформаційної безпеки, з компетенціями у сфері АСКТП. Розробники систем керування повинні реалізовувати ці політики в технічному плані, тому далі подано деякі аспекти, які стосуються налаштування засобів АСКТП.

Слід розуміти, що наведена нижче інформація з часом втрачає свою актуальність. Зловмисники постійно знаходять нові способи та засоби для проведення атак. Спеціалісти з кібербезпеки повинні постійно моніторити актуальну інформацію про нові вразливості та способи їх усунення як на спеціалізованих онлайн-ресурсах, так і в базах постачальника рішень та засобів автоматизації. Огляд вразливостей, наведений нижче, варто розглядати як приклад.

При аналізі вразливості системи використовують термін поверхня атаки (Attack surface) – це перелік та опис усіх вразливих місць (вхідні точки), перелік заходів безпеки та перелік цілей, на які слід орієнтуватися. На рис.1 наведено приклад поверхні атаки для Інтегрованої автоматизованої системи керування (ІАСК) підприємства, де червоним показано джерела атак. Слід зазначити, що більшість цілей є проміжними на шляху досягнення кінцевої мети зловмисника, тому зрештою вони також можуть стати джерелами атак.

Вхідними вразливими точками, що показані на рис.1, можуть бути такі:

погано налаштовані міжмережні екрани;
WEB-сервери демілітаризованої зони (DMZ), до яких можна отримати доступ із зовнішньої мережі або мережі ІТ для впровадження зловмисного ПЗ; вони можуть використовуватися як проміжні вузли для цільової атаки;
усі робочі станції за межами мереж OT (виробництва та процесу), які підключені до них через віртуальну приватну мережу (VPN), або взагалі напряму, що гірше; якщо ці робочі станції скомпрометовані, вони стають точками входу;
USB-ключі та знімні пристрої пам’яті;
мобільні комп’ютери (ноутбуки) або робочі станції, які можуть бути скомпрометовані під час знаходження за межами мережі OT;
робочі станції в мережах OT, які можуть отримати доступ до Інтернету чи зовнішньої мережі і можуть бути скомпрометовані;
робочі станції в мережі ОТ, що отримують електронні листи;
ПЛК та інші пристрої, які підключаються до недостатньо захищених сайтів для оновлення;
робочі станції, пристрої та програмне забезпечення від ненадійних постачальників;
устатковання з порушеннями безпеки через несправну конструкцію чи реалізацію;
незахищені фізичні точки доступу.

Рис. 1. Приклад поверхні атаки інтегрованої автоматизованої системи керування підприємства