СИСТЕМИ ПОПЕРЕДЖЕННЯ, АНАЛІЗУ ТА ЗАПОБІГАННЯ КІБЕРАТАКАМ НА КРИТИЧНУ ІНФРАСТРУКТУРУ
15.11.2022 17:34
[1. Інформаційні системи і технології]
Автор: Романюк Дмитро Олегович, здобувач вищої освіти Фізико-технічного інституту Національний технічний університет України «Київський політехнічний інститут» ім. Ігоря Сікорського; Гальчинський Леонід Юрійович, кандидат технічних наук, доцент, Національний технічний університет України «Київський політехнічний інститут» ім. Ігоря Сікорського
Інформаційні технології стали справжнім мейнстрімом нашого життя. Зараз важко назвати сферу людської діяльності, де вони б не грали ключову роль. Не оминули вони, звичайно, і об’єкти критичної інфраструктури, такі як енергетика, водопостачання, транспорт та інші. В цілому ці складні системи об’єднують як технологічні, так і людські підсистеми. Логіка розвитку інфраструктури потребувала удосконалення управління її об’єктами, причому спочатку за рахунок механізації, а далі автоматизації технологічних процесів, які лежать в основі функціонування цих об’єктів. Стрімкий розвиток інформаційних технологій, комп’ютеризація привели до створення певної уніфікової системи забезпечення роботи в реальному часі шляхом збору, обробки, відображення та архівування інформації про об'єкт контролю або керування – SCADA(Supervisory Control And Data Acquisition). SCADA-системи використовуються у всіх галузях господарства, де потрібно забезпечувати операторський контроль за технологічними процесами в реальному часі. Система SCADA включає наступні компоненти:
• Датчики на периферії;
• Людино-машинний інтерфейс (HMI, англ. Human Machine Interface);
• Система логічного керування;
• База даних реального часу;
• Генератор звітів;
• Зовнішні інтерфейси;
• Диспетчерська система (головний термінал) (MTU Master Terminal Unit);
• Абонентський кінцевий блок (віддалений термінал) (RTU Remote Terminal Unit);
• Програмований логічний контролер (PLC англ. Programmable Logic Controller);
• Комунікаційна інфраструктура (CS англ. Communication System)
Така розвинена система, компоненти якої працюють на цифровій основі, дозволяє органічно інтегрувати систему в загальну систему управління і підвищити ефективність інфраструктури, зокрема і критичної. Системи SCADA, які використовуються в енергетичному секторі, охоплюють збір інформації через RTU, передачу її назад на центральний сайт, проведення необхідного аналізу та контролю, а потім відображення цієї інформації в HMI. Протокол зв'язку SCADA є стандартом для представлення даних і передачі даних по каналу зв'язку на основі головного/підлеглого. IEC60870–5–104 і DNP3 є двома найбільш часто використовуваними протоколами зв’язку SCADA в енергетичній промисловості. Іншим широко використовуваним протоколом SCADA є Modbus. Modbus широко використовується в багатьох галузях промисловості, наприклад, на заводах з обробки води та стічних вод.
Для нормальної роботи систем управління необхідний певний обмін інформацією. Зазвичай, інформація зі SCADA потрапляє до тих чи інших баз даних, і долає деякий мережевий шлюз між комерційною та промисловою підмережами. Шлях для обміну інформацією може бути вразливим до атак, особливо трму, що ці протоколи тепер містять розширення для роботи через TCP/IP. Хоча використання звичайних мережних специфікацій, таких як TCP/IP, по суті підвищує функціональність, але прокладає шлях вразливостям, що були зовсім не властиві для систем SCADA, які користувалтсь проприєтарними протоколами. Про серйозність кіберзагроз свідчить сумна статистика, накопичена за останні роки. Варто тільки згадати атаку 2015 року на комп'ютерні системи управління трьох енергопостачальних компаній України, в результаті якої була виведена з ладу підстанція «Північна» енергокомпанії «Укренерго», без струму залишились споживачі північної частини правого берегу Києва та прилеглих районів області, а також постраждали близько 230 тис. споживачів «Прикарпаттяобленерго».
Пізніший аналіз показав, що вразливим місцем був шлюз протоколів - невеликий пристрій, що забезпечує критично важливу трансляцію команд між датчиками, різними виконавчими механізмами та комп'ютерами, на яких працюють електростанції та розподільча система. Зловмисники отримали доступ до центру управління електромережами та відключили шлюзи протоколів на підстанціях, завантаживши на них пошкоджену прошивку. Це заблокувало всі спроби інженерів енергосистеми відновити роботу, оскільки команди від систем управління на замикання автоматичних вимикачів не могли бути передані.
Ця атака відбулась на основі удосконаленої версії трояна BlackEnergy, який проник в мережу енергокомпаній через необережне використання документу Microsoft Word.
Захист від такого роду кіберзагроз має носити системний характер, де першими кроками, які кожна організація має зробити для захисту своїх систем SCADA, не відрізняються суттєво від профілактичних дій, вжитих для захисту інших рівнів внутрішніх мереж, такі як надійні паролі та оновлення операційних систем. Однак, на наш погляд цього замало. Потрібна система попередження, розпізнавання та запобігання кібератакам. Такою системою має бути спеціалізована SIEM, яка працює на основі порівняння надійних базових практик і трафіку в реальному часі з шаблонами, а також мати проактивну здатність реагування на атаки нульового дня і оперативно повідомляти про можливу загрозу персоналу об’єкта критичної інфраструктури.