В последнее время в СМИ стали часто появляться сообщения о хакерских атаках на физические объекты. В связи с этим возникает вопрос: насколько защищены наши атомные электростанции? Об этом и о других предметах, связанных с кибербезопасностью АСУ ТП атомных станций, мы расспросили Вадима Подольного, заместителя технического директора, директора департамента разработки ПО и кибербезопасности компании «Русатом — Автоматизированные Системы Управления».
PC Week: Может ли хакер проникнуть в одну из подсистем АЭС и, например, поднять стержни, вызвав расплавление активной зоны или аварию типа Чернобыльской?
Вадим Подольный: АСУ ТП атомной электростанции находится в изолированной сети и от Интернета отключена. Никто не может подключиться к АСУ ТП и начать нелегитимно управлять АЭС, например, отдавать команды на извлечение регулирующих стержней — за это отвечает система безопасности АЭС, работающая на строго заданных алгоритмах.
PC Week: Как выглядит архитектура кибербезопасности АЭС?
В. П.: У АЭС, как и у любого крупного промышленного объекта автоматизации, можно выделить логически пять контуров кибербезопасности. В первом находятся все датчики, подключенные к программно-логическим контроллерам (ПЛК).
Во втором контуре информация с ПЛК собирается и приводится в единообразный вид. Это так называемый шлюзовой контур, в нем находится шлюзовое оборудование. В нем же собираемая информация обрабатывается и передается в локальную сеть системы верхнего блочного уровня (СВБУ).
Третий — контур оперативного управления. В нем находится СВБУ, с которой взаимодействует оператор, управлящий технологическим оборудованием АЭС.
Четвертый — контур неоперативного управления. В нем автоматизированные рабочие места (АРМ) снабжены средствами визуализации технологических процессов, но лишены возможности управления. За данными АРМ работают технологи, отвечающие за конкретную подсистему АЭС. Связь технологов с операторами по месту обеспечивается по изолированным каналам в голосовом режиме.
И, наконец, пятый контур — контур внешнего доступа. Он предназначен для сопряжения с кризисным центром, в который поступает информация о состоянии АЭС через протокол удаленного доступа без возможности управления.
Все контуры изолируются друг от друга различными мерами.
PC Week: Но получается, что у АЭС есть внешний канал связи с кризисным центром?
В. П.: Да есть. Эта связь идет по автономным изолированным от Интернета каналам связи. Кризисный центр предназначен для мониторинга параметров работы АЭС в различных режимах эксплуатации систем.
PC Week: Недавно сообщалось, что отключение 23 декабря 2015 г. электричества в большей части Ивано-Франковской области Украины было вызвано хакерской атакой на компьютерные сети «Прикарпатьеоблэнерго». Четвёртого января аналитики американской iSIGHT Partners, занимающейся вопросами безопасности, получили примеры вирусного кода и подтвердили, что именно он стал причиной инцидента. Компонент KillDisk, использованный в атаке, включал в себя дополнительные функции, которые не просто делали перезагрузку компьютера невозможной, но блокировали АСУ производством электроэнергии, намного усложняя ее восстановление. Может ли подобное случиться на наших АЭС?
В. П.: Всегда легко во всем обвинить хакеров. Если произошёл какой либо технологический сбой, то конечно же удобно сказать, что это сделал хакер. Ведь кто такой хакер? Инженер, который решил стать злоумышленником. Хакер, способный осуществить какое-то реальное вредоносное воздействие и несанкционированный доступ к информации хотя бы на чтение — это инженер, который для того, чтобы получить доступ хотя бы к пятому контуру, должен отлично знать, как устроены механизмы подключения к нему. А значит, это внутренний нарушитель. Или он когда-то работал у нас и получил необходимую информацию. Мы считаем, что в случае АЭС потенциальный внешний нарушитель маловероятен. Этим мы руководствуемся при разработке моделей угроз, модели нарушителя и соответственно модели защиты.
PC Week: Ну а если сисадмин станции решил поработать удаленно и кинул к себе домой VPN-канал? А его домашний компьютер уже находится под внешним управлением...
В. П.: Начиная с третьего контура сетевая структура АСУ ТП АЭС — это обычная сеть. Обычные коммутаторы, маршрутизаторы. Просто их технологическое исполнение подразумевает, что они должны выдерживать больше нагрузок с точки зрения внешних факторов, чем бытовые устройства. Но с точки зрения коммутации — это обыкновенное сетевое оборудование. Все это оборудование полностью изолировано от внешних сетей подключения, так что VPN подключать просто некуда.
PC Week: А как же с разнообразной отчетностью для регуляторов? Данные по налогам, отчеты в пенсионный фонд. И должна же проходить на АЭС электронная почта?
В. П.: Да, на АЭС есть офисная сеть, например для документооборота и т. д. Там используется обычное бытовое оборудование. С промышленной сетью АСУ ТП она вообще никак не сопрягается. Они изолированы друг от друга на физическом уровне. Офисная сеть также изолирована от Интернета.
PC Week: А что насчет флэшек? Предположим, сотруднику АЭС пришло домой зараженное письмо, он его открыл и случайно заразил свою флэшку. А потом воткнул ее в компьютер в сети на работе. И таким образом перенес туда зловредный код.
В. П.: В контурах управления у нас используются сертифицированные операционные системы на базе Linuх. Исследовать Linux на уязвимости намного проще, чем Windows, как и проще выпустить дистрибутив с отключенными теми или иными функциями. То есть снизить число уязвимостей на этапе проектирования намного проще.
Флэшку в компьютеры на АЭС просто так не засунешь. Есть специальные помещения, в которых размещается оборудование, к которому можно получить доступ только согласно установленным процедурам. Когда станция работает в режиме эксплуатации, доступ к USB-порта отсутствует. Помещения и компьютеры защищены системами физической защиты, имеются специальные организационные процедуры, которые регламентируют все работы с точки зрения информационной безопасности.
PC Week: А если это не просто хакеры, а спецслужбы других государств, использующие закладки на уровне контроллера? Такие, как при кибератаке на ядерные объекты Ирана в
В. П.: Правильней говорить не «закладка», а «недекларированная возможность» (НДВ). Это может быть не просто закладка, приводящая к сбою, а код, проводящий к некорректной работе алгоритмов управления. Для нас важнее корректность работы программного обеспечения — платформы, прошивок контроллеров, коммутаторов, маршрутизаторов. Из-за их некорректной работы, например, может нарушиться работа промышленной сети.
АЭС — огромный объект с самым разнообразным оборудованием. Есть и иностранное, потому что не всё производится в России. Но все ключевые системы безопасности сейчас российской разработки, в том числе с использованием иностранной электронной компонентной базы.
НДВ могут быть везде. В процессоре, в контроллере, в сервере, в маршрутизаторе, коммутаторе и планшете. НДВ могут быть в более высокоуровневом ПО, в операционных системах, прошивках оборудования. Да, ПО сертифицировано, но ни один разработчик не в состоянии провести полную ревизию исходного кода. Есть ПО, которое осуществляет непосредственно управление. Мы понимаем, что и туда злоумышленник может внедрить НДВ, которые в самый ответственный момент активируются.
Страшно не то, что произойдет сбой, который приведет, например, к останову реактора, а когда специально подстроено, чтобы система неправильно себя вела таким образом, чтобы вывести из строя дорогостоящее оборудование. Когда НДВ будет завышать или занижать показатели, некорректно воспроизводить алгоритм управления. Предположим, реализована атака для занижения мощности реактора на 10%. На самом деле реактор уже достиг 100%-ной мощности, а алгоритм управления продолжает повышать её. Аварии при этом не произойдёт, реактор будет остановлен, но его простой стоит очень дорого. Падает КПД АЭС (коэффициент использования установленной мощности, КИУМ). Это фактически прямой удар по прибыли.
От НДВ можно защититься глубоким анализом исходного кода, который мы стараемся получать от производителей оборудования, а также умением самостоятельно прошивать все используемые контроллеры, коммутаторы и маршрутизаторы и прочее оборудование.
Абсолютно всё импортозаместить невозможно. Поэтому наша основная задача — сделать из недоверенных компонентов доверенную систему. Именно так ставится вопрос о кибербезопасности АЭС и подобных объектах во всем мире.
PC Week: И как можно этого добиться?
В. П.: Один из механизмов обеспечения кибербезопасности — собственная программная платформа, разрабатываемая нашей компанией для сопряжения всех устройств, транспорта данных и визуализации технологических процессов в виде мнемосхем, графиков и других графических примитивов, генерации отчетов и т. д. У нас есть и аппаратная платформа, разрабатываемая предприятиями ГК Росатом. С помощью нашей программно-аппаратной платформы мы и собираем из недоверенных компонентов доверенную систему, где есть все механизмы сопряжения оборудования, синхронизации данных, визуализации технологических процессов и т. д.
Основным плюсом является то, что нашу платформу мы можем верифицировать с помощью тренажеров и симуляторв. Кроме стандартных исследований исходного кода на кибербезопасность, статического и динамического анализа, тестов на проникновение мы еще и сравниваем в различных режимах эксплуатации реальную систему и её модель на симуляторе на предмет расхождения контролируемых параметров. Если злоумышленник захочет разместить в системе НДВ, то ему придется это сделать не только на рабочей платформе, но и на симуляторе. А они работают на разных принципах и на разном ПО. Это гораздо сложнее, чем взломать одну систему.
С точки зрения технологического развития решений мы исследуем возможность промышленного применения систем анализа большого объема структурированных данных, machine learning, систем искусственного интеллекта, предсказывающих динамику развития событий в АСУ ТП АЭС и подсказывающих оператору алгоритм действий в тех или иных ситуациях, например, экспертной системы поддержки принятия решения (СИПО).
PC Week: В чем специфика кибербезопасности АСУ ТП?
В. П.: Основная угроза кибербезопасности АСУ ТП — воздействие на технологический процесс. Если заранее знаешь, как он должен протекать, то защитить его идеологически намного проще, чем компьютер домохозяйки, которая не планирует своих действий.
Объект АЭС нельзя защитить внешней «нашлепкой». Система должна обладать естественной функцией внутренней защиты. Нельзя забывать, что технологический объект прежде всего должен работать, не должна падать скорость, снижаться эффективность из-за «нашлепок», обеспечивающих кибербезопасность. В отличие от офисных сетей никакие блокирующие воздействия на компоненты АСУ ТП подсистемы кибербезопасности осуществлять не имеют права, это может привести к аварии.
PC Week: Куда движется рынок кибербезопасности АСУ ТП?
В. П.: Рынок движется к разработке программных решений, позволяющих анализировать прошивку контроллера как черного ящика. Многие производители еще не готовы к тому, чтобы открывать исходный код прошивок своих контроллеров. Но мы обязательно придем к тому, что на критически важные объекты типа АЭС такие контроллеры покупать не будут. Хочешь поставить контроллер — покажи исходный код. Потребитель всегда должен иметь возможность прошивку перепрошить.
С точки зрения кибербезопасности программного обеспечения рынок движется к созданию систем, работающих в псевдореальном времени с такой же скоростью, с какой работает АСУ ТП, и располагающих средствами анализа промышленных протоколов. Не факт, что это спасёт, как с помощью анализа трафика понять, хороший это пакет или плохой? Тем не менее как дополнительная сигнализация такие системы могут быть использованы.
Услуги, которые сейчас могут потребоваться на атомном рынке — наработка кейсов, необходимых для включения в такие документы, как модель угроз и модель защиты. Мы должны иметь возможность до проектирования системы и закупки оборудования собирать все требуемые документы из разных кусочков — базы данных уязвимостей, инцидентов, угроз. И делать это на основе общемирового опыта. Именно это позволит автоматизировать процесс анализа требований к защищенности и разработке кибербезопасности критически важных объектов (КВО).
А кроме того надо понимать, что сама по себе система кибербезопасности АСУ ТП работать не может. Она должна иметь точки сопряжения, чтобы инженеры, разрабатывающие комплексные промышленные системы автоматизации, могли обеспечить глубокую интеграцию и взаимодействие с ней.
Еще один общий тренд — сопряжение большего количества подсистем КВО с АСУ ТП. Подсистема кибербезопасности будет плотно интегрирована с системами контроля и управления доступом, пожарной безопасности, видеонаблюдения и др. Перспективными являются системы комплексного анализа безопасности и сопряжения с компонентами защиты информации, глубоко интегрированными внутрь аппаратно-программной платформы АСУ ТП, такими как авторизация, идентификация, разграничение доступа, и разработка соответствующей комплексной политики кибербезопасности.
PC Week: Спасибо за беседу.