Безопасность транспорта — вопрос, касающийся каждого. Все мы бываем пассажирами. Как сейчас обстоит дело с обеспечением кибербезопасности железных дорог в России? Об этом нам рассказал Борис Макаров, руководитель Центра кибербезопасности ОАО НИИАС РЖД.
PC Week: Обеспечение безопасности физического объекта — комплексная задача. Как она решается на железной дороге? В чем специфика РЖД?
Б. М.: На железной дороге различают три вида безопасности:
— Функциональная безопасность, задачей которой является недопущение опасных состояний систем управления, приводящих к крушениям и столкновениям.
— Информационная, необходима для обеспечения целостности, доступности и конфиденциальности информации.
— Кибербезопасность, при этом определяется как функциональная безопасность при недостаточной апостериорной информации. То есть, в условиях возникшей неопределенности при искусственном искажении информации должно быть обеспечено управление движением поездов.
Основная цель при решении проблем кибербезопасности в ОАО «РЖД» — сохранение способности различных программно-аппаратных систем автоматического управления обеспечивать безопасное и эффективное выполнение возложенных на них функциональных задач в условиях целенаправленных, умышленных, несанкционированно-деструктивных и, как правило, дистанционно-безуликовых воздействий различной физической природы. В первую очередь защищаются системы, при сбое функционирования которых есть угроза жизни и здоровью пассажиров, угроза утраты или порчи грузов.
Специфика РЖД — огромная инфраструктура. Железные дороги России занимают третье место в мире по протяженности после США — Канады, имеющих единую систему железных дорог, и Китая. Эксплуатационная протяженность Российских железных дорог — около 100 тыс. км, включающих около 5000 станций, 12 тыс. железнодорожных переездов, из которых 9000 — неохраняемые, соответственно доставляющие больше всего проблем.
Специфика заключается еще и в том, что одновременно используются оборудование и технологии, введенные в эксплуатацию еще в «царские» времена, так и самые современные, внедренные буквально вчера.
Кроме того, существующая технологическая информационно-коммуникационная сеть РЖД содержит более 250 тыс. программно-аппаратных портов для подключения компьютеров и разного рода программно-управляемого оборудования. В производственной деятельности используется более 233 тыс. цифровых и аналоговых радиостанций, 16 тыс. комплектов спутникового связного и навигационного оборудования, более 40 тыс. микропроцессорных систем управления (65 типов). Микропроцессоры начали использоваться с начала
PC Week: Трудно обеспечивать кибербезопасность такого большого разнообразия систем. Не планируется ли унификация автоматизированных систем управления РЖД?
Б. М.: В составе РЖД сейчас 16 железных дорог, которые строились в разное время. Используемые на них системы имеют разные архитектуры, разные протоколы. Они друг с другом не стыкуются. Нет совместимости со старыми решениями. Поэтому пока делать унифицированные программно-аппаратные решения не получается. Но такая задача стоит и будет успешно решена.
PC Week: Легко ли провести кибератаку на РЖД?
Б. М.: Некоторые считают, что провести атаку на железную дорогу очень просто. Когда президент РФ В. В. Путин приезжал в МИФИ, ему на факультете кибернетики показали модель успешной кибератаки на железную дорогу. Он поручил разобраться, и тогда выяснилось, что модель управления, взятая в МИФИ, была слишком далека от реально используемой.
Реальная система управления устроена так, что если даже хакер войдет в сеть верхнего уровня и даст команду, например, приводящую к столкновению поездов, то система нижнего уровня ее заблокирует. Но, тем не менее, проблемы есть.
PC Week: Какие?
Б. М.: В свое время, с целью снижения затрат, было принято непродуманное решение о сокращении обслуживающего аппарата, заменой его АСУ и микропроцессорными системами управления (МПСУ). Аппарат сократили, однако появились возможности удаленного воздействия на автоматизированные системы.
Кроме этого, в свое время наша радиоэлектронная промышленность умелыми руками реформаторов была угроблена, что привело к повсеместному использованию импортных систем. Около 90% оборудования, поставлявшегося на железные дороги, было импортной комплектации.
Сейчас в ОАО «РЖД» принята программа импортозамещения и сделаны первые шаги. Мы активно участвуем в этой программе. Оказалось, что во многих случаях использование импортного оборудования ничем не оправдано. Можно найти аналогичные системы внутри России, причем значительно дешевле и не хуже.
PC Week: Как вы относитесь к сообщениям об успешных атаках на АСУ ТП? Например, заражение вирусом Stuxnet центрифуг на заводе по обогащению урана в Иране или кибератака на компьютерные сети Прикарпатьеоблэнерго на Украине. Это хакеры или технологические ошибки?
Б. М.: Есть много инцидентов, которые внешне выглядят как кибератаки, а на самом деле являются следствием разгильдяйства и некомпетентности обслуживающего персонала. Такие инциденты составляют 30% от всех мировых кибератак. Их называют псевдокибератаками.
Однако в Иране кибератака была. В чем и призналась израильская разведка.
А вот на «Прикарпатьеоблэнерго» никаких кибератак не было — обычный бардак. Там более двадцати лет ничего не вкладывали в оборудование — все устарело и работает на живую нитку. Плюс, когда ушли Крым, Донбасс и Луганск, надо было все перекоммутировать, а ничего толком не сделали, так что чуть что не так — все валится.
PC Week: Что может являться целью кибератак на РЖД?
Б. М.: Объектами кибератак на железнодорожном транспорте могут являться системы диспетчерской и электрической централизации, формирующие безопасные маршруты движения поездов, системы обеспечения безопасного движения локомотивов и проезда железнодорожных переездов, системы защиты и регулирования электроснабжения, системы горочной автоматики, ответственные за сборку и расформирование поездов. Также с использованием летальных и нелетальных психофизических технологий могут проводиться атаки на операторов и обслуживающий персонал — диспетчеров, дежурных и машинистов.
Объектами, представляющими повышенную опасность, являются на верхнем уровне АСУ, а на нижнем уровне — АСУ ТП и МПСУ. На сегодняшний день в ОАО «РЖД» на верхнем уровне используется более 98 АСУ. Самая известная — АСУ продажи билетов «Экспресс-3». На нижнем локальном уровне управления используется примерно 40 тыс. МПСУ 65 типов.
Есть 10 видов МПСУ систем электрической централизации, отвечающих за безопасность движения, есть система маневровой автоматической локомотивной сигнализации, работающая на станциях. Есть два вида локомотивных систем обеспечения безопасности движения поездов. Например, одна из них не допускает превышения определенного значения скорости на повороте.
Есть 31 тип микропроцессорных систем управления локомотивами, четыре вида МПСУ перегонных систем интервального регулирования движения поездов, поддерживающие необходимые интервалы движения между поездами. Ведь у поезда есть тормозной путь, и, если вдруг что-то случится, поезд должен успеть затормозить. Тормозной путь у всех разный, он зависит от скорости движения и веса поезда. У «Сапсана» он может достигать 5 км.
На «Сапсане» система автоматического контроля технического состояния ревизует 76 параметров поезда. Автоматически сообщается, что впереди образовался затор, и локомотив автоматически начинает торможение. Более того, система контролирует и машиниста. Ему периодически подается сигнал бдительности, после чего машинист должен нажимать на кнопку. Если он не нажал — включается сирена и идет голосовое предупреждение. Если машинист не отключил сирену, значит с ним что-то произошло и поезд останавливается автоматически.
PC Week: А какие могут быть атаки?
Б. М.: Атаки могут быть прямые — инвазивные, непосредственно на программно-управляемые системы или комплексы (АСУ ТП, МПСУ). И косвенные — атаки на системы инженерного обеспечения (системы вентиляции — термостабилизации, системы автоматического пожаротушения, системы первичного и вторичного электропитания, шины заземления). Цель таких атак — нарушить работоспособность АСУ ТП или МПСУ.
PC Week: Существует ли какая-то устоявшаяся классификация кибератак на железную дорогу?
Б. М.: Да, вот перечень:
· кибершпионаж — несанкционированная передача данных, программ или географических координат (GPS или Глонасс) с помощью скрытых (незадекларированных) каналов связи;
· кибераудит — разработка сценариев кибератак, хакерские и дружественные кибератаки, поиск киберуязвимостей;
· кибермошенничество — «продажа» фальшивых электронных билетов, взлом автоматов продажи билетов и квитанций оплаты багажа, взлом счетчиков учета энергоносителей и автоматических расходомеров и заправщиков;
· киберхалатность — кибератаки, вследствие случайных ошибок или неквалифицированных действий персонала;
· киберсаботаж — снижение пропускной способности железной дороги вплоть до полной остановки движения;
· кибердиверсии — создание враждебных и опасных маршрутов следования (движения) поездов, особенно при перевозке особо опасных и социально значимых грузов, пассажирских и воинских перевозках.
PC Week: Можно подробней рассказать о кибердиверсиях?
Б. М.: Примерами кибердиверсий могут служить крушение подвижного состава в кривых и на спуске из-за нарушения скоростного режима, перевод железнодорожных стрелок под составом, создание враждебных маршрутов следования, приводящих к столкновению со встречным, стоящим или впереди идущим поездом. Другие примеры — нарушение процесса сборки и расформирования составов (маневровые и горочные технологии), отказ автоматики железнодорожного переезда, неконтролируемая имитация ложной занятости или свободности железнодорожных путей.
Кстати, атаки могут проводится и на системы инженерного обеспечения: системы вторичного электропитания, которые, как правило, управляются дистанционно, шины заземления, системы пожаротушения, охранные системы. Мы их называем многофакторные атаки.
PC Week: Насколько соответствуют истине слухи, что хакеры перевели стрелки и столкнули два товарных поезда?
Б. М.: На самом деле этого не было. Однако в лабораторных условиях, исследуя оборудование, поставляемое в Россию одной очень известной иностранной фирмой, мы получили такие результаты. На стенде был осуществлен перевод стрелки под движущимся составом. Причем никаких следов наша кибератака не оставила. Было принято решение о запрете покупки данного оборудования.
PC Week: Как хакер может зайти в вашу сеть?
Б. М.: В системе есть сотни тысяч программно-аппаратных портов — точек входа в локальную сеть. Часть этой сети является полностью закрытой, а часть — комбинированной и из нее можно выходить в Интернет. Если известны архитектура, порт, протокол и схема управления портами, в принципе можно «зайти» в некоторое оборудование, зная место его дислокации. Конечно, мы проводим работы и блокируем уязвимости. Но вы же понимаете, что каждый день появляются новые эксплойты.
PC Week: Какова ваша политика в области лицензирования и сертификации?
Б. М.: В основном у нас используются версии Windows, имеющие сертификат безопасности ФСТЭК. Если же обнаруживается система без сертификата безопасности, то она, как правило, уничтожается.
Бывают проблемы, когда не хотят покупать новое ПО, а старые версии не получают поддержки производителя и новые уязвимости не закрываются. Например, кое-где еще используется Windows XP, уже не поддерживаемая Microsoft. Бывает пользователи экономят и чтобы не покупать новое заимствуют никому не принадлежащее, брошенное ПО, в котором могут быть разные закладки. Бывают ситуации, когда сертификат безопасности ФСТЭК у программы есть, но он просрочен. Или система модифицирована, а пользователи не понимают, что после этого надо опять проходить сертификацию ФCТЭК, что является требованием государства.
PC Week: Когда даете свое заключение по кибербезопасности, вы проверяете исходный код на наличие закладок?
Б. М.: Есть свои сложности. Некоторые добросовестные поставщики дают исходный код и всячески содействуют, чтобы были выявлены разные недекларируемые возможности. Другие наоборот всячески препятствуют нашей работе. Они или не дают исходный код, или дают, но не полностью. Были случаи — нам дали исходный код, а он не собирается. Требуются еще файлы. И так по пять-шесть раз собираем, пока не получаем рабочую исполняемую версию ПО.
Общая беда для России — множество посредников при закупке. Кто-то из жадности или недомыслия не потребовал от поставщика ПО исходный код, а когда с посредников начинаешь спрашивать, выясняется, что закупали через фирму, которой уже нет. Так что получить исходные коды для исследования удается не всегда.
Сейчас разработано положение о порядке приобретения и хранения ПО, где четко прописано требование предоставления исходных кодов. Положение будет утверждено в ближайшее время. На Западе твердо требуют предоставления исходных кодов. Да, заключается соглашение о конфиденциальности, но, тем не менее, исходные коды должны быть. Ведь если их нет, то фирма-поставщик может использовать вас как «дойную корову». Например, если что-то нужно изменить, даже незначительное — придется обращаться к ним и не бесплатно. К сожалению, в РЖД такие ситуации встречаются достаточно часто.
PC Week: Закладки бывают только в продукции западных фирм?
Б. М.: В китайских системах мы такого не замечали. А в западных — были.
PC Week: Программы низкого уровня для контроллеров вы тоже тестируете?
Б. М.: Да, конечно. Причем в последнее время мы стали переходить на контроллеры и процессоры отечественного производства, такие как «Байкал» и «Эльбрус». У нас есть несколько своих разработок. Кроме этого, мы берем разработки других фирм и тоже проводим тестирование.
PC Week: Своему ПО доверия больше. Требуете ли вы от контроллеров возможности перепрошивки?
Б. М.: По-разному. В некоторых системах требуем, в некоторых нет. Было время, когда не было разнообразия поставщиков. Один, редко два. За последние пять лет положение изменилось. Появилась возможность выбора, можно ужесточать требования.
PC Week: Что еще можно сделать для борьбы с закладками?
Б. М.: В свое время был ГОСТ о порядке закупки для критически важных областей. Потом его отменили, мотивируя требованием прозрачности. Стало хуже в плане безопасности, потому что теперь всем понятно, куда и для чего закупается оборудование. А железнодорожный транспорт — критическая область. И туда могут засунуть закладки.
PC Week: Где вы проводите кибераудит? У себя в лаборатории?
Б. М.: С этим бывают проблемы. Иногда железнодорожные системы настолько громоздки, что к нам в лабораторию просто не помещаются. Приходится делать кибераудит на месте постоянной дислокации объекта. Особые сложности возникают, когда нужно делать кибераудит за пределами России.
Сейчас у нас идут переговоры с известной американской компанией. Представители этой фирмы предлагают проверять обрудование в их лаборатории. При этом просят предварительно передать им наше ПО, чтобы они могли его проверить на предмет закладок. Возможно, это делается для того, чтобы изучить наши методы исследования и так замаскировать свои уязвимости, чтобы мы ничего не нашли.
PC Week: Какие профилактические работы по кибербезопасности проводятся в РЖД?
Б. М.: Мы проводили и проводим тестирование систем МПСУ на кибербезопасность в соответствии с приказом ФСТЭК № 31 от 14 марта 2014 г. Нет ни одной системы, которая бы на 100% удовлетворяла требованиям. Разброс соответствия — в диапазоне от 16 до 75%. Многие поставщики, например Московский энергомеханический завод (МЭЗ), стали преобразовывать свои системы, устраняя выявленные недостатки. После выполнения этих работ мы будем проводить повторные исследования.
А иногда встречаем и непонимание. Говорят: «Да, вы нашли уязвимость, но она не в нашей зоне ответственности. Вы ее вскрыли через систему технологической связи, а за это связисты отвечают». Не понимают, что сами должны были предусмотреть возможность входа через эту сеть и принять меры по обеспечению безопасности.
PC Week: Какие уязвимости удалось выявить в системах РЖД?
Б. М.: За последние два года мы исследовали более 30 систем. Мы выявили уязвимости в МПСУ и определили возможные кибератаки:
· блокирование работоспособности систем. Например, при загрузке системы считается контрольная сумма, она не совпадает, начинается перезагрузка и так еще и еще раз. Перезагрузка идет, а система продолжает оставаться неработоспособной;
· блокирование систем контроля каналов визуализации. Исполнительный механизм передает информацию о своем состоянии в диспетчерскую. И человек должен что-то включить или выключить. Если эта информация искажается, правильные решения человек не принимает;
· неконтролируемая имитация ложной занятости и свободности железнодорожных путей;
· возможность несанкционированного изменения исполняемого ПО и последующего перевода стрелок под движущимся составом (то, что мы выявили при тестировании системы одной западной фирмы);
· несанкционированная передача по радиоканалу информации о текущем состоянии технических систем локомотива и путевых машин (ПМ);
· возможность дистанционно и несанкционированно изменять параметры управления локомотивом и ПМ;
· несанкционированный контроль географических координат локомотива и ПМ;
· возможность перехвата управления.
Например, в контроллерах, закупленных у одной западной фирмы, была обнаружена система программно-управляемых ключей, которые, получив команду, делали короткое замыкание на шину и платы выгорали. У спецслужб есть перечень фирм, замеченных в таких вещах. Причем фирма может быть не виновата. Все может делаться без ее ведома.
PC Week: Как выглядит организационная структура обеспечения кибербезопасности в РЖД?
Б. М.: Основным госрегулятором выступает ФСТЭК РФ. В ОАО «РЖД» создан и работает Экспертный совет по кибербезопасности, возглавляемый старшим вице-президентом ОАО «РЖД» — главным инженером компании. Экспертный совет определяет основные направления работы Центра кибербезопасности ОАО НИИАС. Кроме этого, есть аккредитованный ФСТЭК орган (центр) по сертификации ОАО НИИАС, а также аккредитованные на безопасность информации испытательные лаборатории. И еще пул из
PC Week: Какие нужно предпринимать меры для противодействия возможным кибератакам?
Б. М.: Нужно развивать отечественное производство, осуществлять легендирование и централизацию закупок. Желательно иметь альтернативных поставщиков комплектующих и ПО для критических компонентов МПСУ и соответственно, возможность альтернативной закупки, прежде всего в странах таможенного союза и БРИКС. Ну и необходимо обязательно обеспечивать входной контроль, тестирование комплектующих и ПО. Сейчас об этом практически забыли, а в советские времена входной контроль был 100%-ным. Но и сегодня есть организации, которые этим занимаются.
PC Week: Спасибо за беседу.