Уязвимости интеллектуальных энергосистем требуют от CIO новых подходов к персоналу, моделям и системам безопасности.
Возможность управлять энергетическим существованием является одним из замечательных качеств действующей на цифровой основе интерактивной интеллектуальной энергосистемы Smart Grid, объединяющей электроэнергетику, коммуникации и ИТ. В перспективе эта беспрецедентная возможность получать и реагировать на энергетическую информацию будет доступна не только на индустриальном уровне, но и каждому потребителю. Обратной стороной столь уникальных прав доступа являются уязвимости, и это требует, чтобы предприятия пересмотрели свои организационные структуры, модели и системы безопасности.
В последние полтора года много говорилось об уязвимостях критических инфраструктур в отношении действий хакеров. Ни один месяц не проходит без сигналов о дырах в системе какого-то крупного провайдера онлайновых сервисов, компании-поставщика средств безопасности или даже в привычно считавшихся “защищенными” системах управления. Однако сегодня — после внедрения новых технологий, предоставивших возможность удаленного управления ранее изолированным оборудованием — небывало уязвимыми стали и системы индустриального контроля, управления инженерным оборудованием зданий и управления коммунальными энергосетями. Вдобавок при повысившемся внимании к Smart Grid исследователей безопасности слабые места интеллектуальных энергосистем становятся публично известными.
Так, о ряде уязвимостей с целью повысить осведомленность владельцев и операторов критических инфраструктур предупреждала организация Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Потенциальный преступник может следить за сообщениями ICS-CERT и через поисковую систему находить уязвимую мишень. Объем публично доступной информации позволяет злоумышленнику прочитать об уязвимости, найти детальную информацию о возможностях ее использования и далее, даже не прибегая к традиционным средствам сканирования, отыскать через Интернет подходящую цель атаки.
Недавно мы протестировали этот сценарий, когда ICS-CERT выпустила рекомендацию 12-146-01 по поводу слабости парольной защиты, которая открывает брешь в сетевом оборудовании, используемом в системах контроля трафика, железнодорожных коммуникациях, на электростанциях, электрических подстанциях и военных объектах. Наша тестовая группа изучила текст рекомендации, подыскала скрипт для использования этого дефекта защиты через Интернет и с помощью несложной поисковой строки нашла в Интернете ряд уязвимых устройств. Хотите знать затраченное нами время от изучения уязвимости до возможности напасть на уязвимую платформу? Всего в пределах 10 минут. Автоматизировав выбор скрипта и поиск, мы теперь может повторить тот же процесс меньше, чем за 2 минуты. Это показывает, с какой легкостью могут осуществляться некоторые атаки.
“Почему же это возможно?”, — часто спрашивают CIO. Ответ не так прост. Правильный способ защиты ваших данных и другого имущества диктуют уровни сложности конкретной среды. Тем не менее существует ряд общих угроз, учет которых помогает усилить меры защиты, независимо от того, что защищается.
Присмотритесь пристальнее к вашей корпоративной ИТ-инфраструктуре, инженерным службам здания и персоналу обеспечения безопасности. При создании двунаправленной энергетической системы, связывающей корпоративную ИТ-систему с управлением инфраструктурой здания, может потребоваться нанять специалиста, умеющего безопасно выстроить новое соединение. Принимайте на работу правильные кадры — людей, привыкших постоянно учиться и понимающих, что вчерашняя мера защиты завтра может создать уязвимость. Такие работники могут у вас стать самыми ценными людьми. Нельзя, чтобы технические решения принимал не разбирающийся в них руководитель проекта или управленец; недопустимо и обратное, когда задачи управления программой или персоналом возлагаются на не умеющего ими заниматься технического специалиста. Чтобы сделать правильные назначения, возможно потребуется не только подобрать людей, но и обучить их руководителя, а также обучить персонал смежным профессиям. Кроме того, следует установить новую систему взаимодействия между разными сферами деятельности. Ценным кадром любой группы обеспечения безопасности Smart Grid или другой системы управления всегда будет опытный инженер-оператор, разбирающийся в функционировании системы и влиянии на него неблагоприятных событий.
Профинансируйте вашу программу безопасности и предоставьте этим людям больше финансовых возможностей. Затраты на безопасность должны составлять 15—20% вашего ежегодного ИТ-бюджета. Если вы по нескольку лет не обновляете оборудование и не делаете заявок на новые продукты, у вас что-то не так. Адекватное финансирование группы безопасности — явление нечастое. Во многих случаях такие группы имеют независимый фонд оплаты труда, но заказывают оборудование через ИТ-отдел или группу обслуживания сети. Зачастую это неплохо работает и даже помогает наладить лучшее взаимодействие между командами. Однако даже в этом случае группа безопасности должна иметь определенный контроль над закупками и возможность принимать решения по выбору наилучших технологий для защищаемой среды.
Вчерашние технологии — сетевые экраны, системы предотвращения вторжений, DMZ или периметровые сети, антивирусное ПО — нуждаются в дополнительной поддержке. Антивирусные программы необходимы, но полностью им доверяться нельзя. Если вы думаете, что постоянное обновление вирусных баз вас защитит, познакомьтесь с публикациями, рассказывающими о шифровальных и иных способах обхода защиты на базе сигнатур. Многие, хоть и основанные на хороших идеях ИТ-решения неудовлетворительны при работе в среде контролируемых систем. Главная причина в том, что эти решения зачастую не способны понимать соответствующие протоколы или наборы правил, а их функции не рассчитаны на требуемую важными системами степень готовности и устойчивости к внешним воздействиям. Помощь заключается в ваших людях — способные, знающие толк в безопасности сотрудники будут вашей лучшей защитой (о чем я все время тут говорю). Вышеупомянутая форма атаки использует слабость, заложенную в систему производителем, но угрозы можно ослабить, блокируя или тщательно отслеживая доступ к критичным устройствам, например, маршрутизаторам.
Абсолютной защиты не бывает
Ни один покупаемый продукт или сервис не дает абсолютной защиты, хотя некоторые производители и продавцы и заявляют об этом в рекламе. Я встречался с решениями для предупреждения потери данных, которые были беспомощны против архиваторов и даже стандартных функций форматирования. Перепроверяйте утверждения производителя, чтобы выяснить, нет ли скрытой возможности вытянуть ваши данные с тыла предлагаемого устройства. А еще лучше, организуйте тестовый цикл для всякого покупаемого продукта или сервиса, проверяя соответствие его качеств маркетинговым материалам.
Тестируйте вашу среду на реальных сценариях. Не перепоручайте эту задачу проверяющей организации, будь то нанятая внешняя фирма, созданная внутри группа для тестов на проникновение или экспериментальные атаки “красной команды”. Кроме того, надо четко понимать различия между оценками уязвимости, тестами на проникновение и использованием “красной команды”. У каждого вида тестов есть своя роль в зависимости от типов тестируемых систем. Так, метод “красной команды” дает наилучшее представление об атаках в реальном мире, но он не всегда приемлем, когда система находится в рабочем режиме. Его надо использовать с максимальным приближением к реальности, иначе вы не узнаете свой фактический статус и можете приобрести ложное ощущение безопасности. Получив отчет о тестах, примите меры по его рекомендациям. Отсутствие рекомендаций по обнаруженным уязвимостям означает, что вы привлекли к тестированию не лучших специалистов. Если вам вручили голый отчет или инструментальные выходные данные теста, то вы также наняли не тех людей.
В случае Smart Grid огромные возможности сочетаются с не меньшей ответственностью. Однако управление промышленным или коммунальным энергоснабжением дает весомый выигрыш, особенно при наличии персонала обеспечения безопасности и системы, отвечающих требованиям новой модели обслуживания интеллектуальных энергосетей.
