Современные, появляющиеся и используемые в ходе реконструкции сетей корпоративной и технологической связи и систем релейной и противоаварийной автоматики (РЗА) ПАО «Россети» и ПАО «ФСК ЕЭС», объекты, системы, оборудование и аппаратура становятся все более сете- и компьютернозависимыми, подпадающими под действие статьи 6 Федерального закона от 18 июля 1999 г. N 183-ФЗ "Об экспортном контроле" и Указа Президента РФ от 17 декабря 2011 г. N 1661 "Об утверждении Списка товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль" (Раздел 1, Категория 5, Часть 1, Примечание 2; Раздел 4, Категория 4, пп.4.5.7.4, 4.5.7.9-10, Категория 5, п. 5.1.2.1.1 и п.5.5), во многих случаях доверенными. При этом в отношении связи до 95% и до 70% в отношении РЗА систем строится на оборудовании импортного производства с использованием импортных идеологий и импортного программного обеспечения для проектирования, управления, конфигурации и мониторинга.
В целях защиты национальных интересов и во исполнение Приказов Минпромторга России №653 от 31 марта 2015 года "Об утверждении плана мероприятий по импортозамещению в отрасли энергетического машиностроения, кабельной и электротехнической промышленности Российской Федерации", №93 от 01 апреля 2015 года «Об утверждении плана импортозамещения программного обеспечения», № 645 от 31 марта 2015 года "Об утверждении плана мероприятий по импортозамещению в отрасли нефтегазового машиностроения Российской Федерации" и № 662 от 31 марта 2015 года "Об утверждении отраслевого плана мероприятий по импортозамещению в радиоэлектронной промышленности" просим Вас рассмотреть предоставленные материалы и помочь в решении одной из проблем ТЭК России: переоснащении технологических и РЗА каналов связи ПАО «ФСК ЕЭС» и ПАО «Россети», выполненных на импортном оборудовании, оборудованием российского производства.
Ценность современных технических устройств за редким исключением определяется их интеллектуальностью, которая может составлять от 5 до 95 % их стоимости.
Начавшееся 15-25 лет назад движение в направлении интеллектуализации вещей увлекло все слои инженерного и научного сообщества, потому что позволяло прежде всего изменить / расширить функционал и точность существующих средств техники, и одновременно давало возможность заметно нарастить объемы их продаж за счет оснащения их привлекательными «умными» потребительскими свойствами. Продажа, приобретение и владение современными устройствами и системами стало престижным. И выгодным для производства, ведь цена, а не стоимость производства такой техники возросла в 2-4-10 раз.
Спустя 5-10 лет стало активно продвигаться новое потребительское свойство техники: возможность ее дистанционного управления, а потом и подчинение себе интеллекта работающих систем всех уровней. Первоначально безусловно полезное свойство техники, привлекло к себе внимание криминальных и силовых структур. Для одних - это стало возможностью получения дополнительной прибыли и ведения недобросовестной конкуренции, инструментом интеллектуального терроризма. Для других – одним из приемов ведения кибер- и комбинированной войны. В последнее десятилетие из-за сравнительной доступности эти механизмы все больше используют для развлечения или проявления собственного «Я» хулиганы, гики, да просто школьники и студенты, приобретающие новые для себя знания.
Уязвимость современных средств техники разделилась на два подкласса: собственно, ошибки и уязвимости встроенного программного обеспечения, и уязвимости систем управления и конфигурирования. Трендом нескольких последних лет является перенос интеллектуальности устройств и систем техники в IT-сети-облака, что породило ещё два класса уязвимостей: поражение дата-центров или хранилищ данных и поражение каналов и сетей связи (это без учета уязвимости технических систем, которые принципиально работают с использованием каналов и систем связи).
Также произошло изменение методологии нанесения ущерба или вреда пользователям технических систем. Если раньше усилия недоброжелателей были направлены на нарушение или прекращение функционирования систем, то есть вызывание их отказов, которые при знании существования подобной проблемы устранялись несложными (но дорогими) техническими приемами, например, резервированием, мониторингом и диагностикой в реальном времени, то в последнее время усилия недоброжелателей стали направляться на изменение самой сути функционирования систем, которое в большинстве случаев до наступления фатальных событий обнаружить вообще невозможно. Например, разгон центрифуг в Ираке и Корее, стрельба снайперской винтовки по дистанционно указанным целям (не тем, на которые происходит прицеливание стрелком); направление управляющих воздействий на другие, чем требующие регулирования объекты; дистанционное отключение системы торможения автомобиля или направление его к другим целям по другим дорогам, изменение значений контролируемых параметров технических систем и т.д.
Сейчас нет областей жизни или деятельности человека, которые не подвержены этим деструктивным воздействиям. И, если на бытовом уровне они приносят некоторое неудобство, то на уровне промышленности, особенно в таких стратегических отраслях промышленности как энергетика (включая атомную), последствия несанкционированного вмешательства могут быть катастрофическими не только для отдельно взятой страны, но и для человечества в целом. Связано это с тем, что поражению могут равно подвергаться как локальные устройства, механизмы, системы, так и глобальные всеобъемлющие системы, такие как, например, системы точного времени или связи.
По данным компании Positive Technologies в 2014 году 94% исследованных систем содержали уязвимости, позволяющие получить полный контроль над теми или иными критически важными ресурсами. При этом в 67% систем получение полного контроля над критически важными ресурсами возможно от лица внешнего злоумышленника, действующего со стороны сети Интернет. Для 44% исследованных компаний возможно получение полного контроля над всей информационной инфраструктурой организации. Еще в 39% организаций для получения такого уровня доступа достаточно иметь доступ к внутренней сети. Статистически результаты 2014 года близки к результатам 2013 года. Однако в 2014 году внешнему злоумышленнику для проведения атак требуется более низкая квалификация: низкой квалификации теперь достаточно для успешной атаки на 61% систем, тогда как в 2013 этот показатель составлял 46%.
В 73% систем внешний нарушитель, действующий со стороны сети Интернет, способен получить доступ к узлам внутренней сети без использования методов социальной инженерии. Если же атакующий использует и технические методы, и социальную инженерию, то доступ к сети извне можно получить в 87% случаев. В 80% случаев, когда атака осуществляется из внешних сетей, злоумышленник может получить максимальные привилегии в тех или иных важных для бизнеса системах, а в 53% систем — получить полный контроль над всей инфраструктурой компании. При проведении атаки без использования методов социальной инженерии в 74% случаев достаточно иметь среднюю или низкую квалификацию.
В целом различные уязвимости веб-приложений были обнаружены в 89% исследованных систем. Общий уровень защищенности в этой области, как и в предыдущие годы, остается очень низким. Одной из самых распространенных уязвимостей является использование словарных идентификаторов и паролей - она была обнаружена на сетевом периметре в 87% исследованных систем, причем в 67% компаний простые пароли использовались и для привилегированных учетных записей.
Большинство крупных компаний оперативно устанавливают обновления и заплатки. Однако эти действия носят выборочной характер: устаревшее ПО было выявлено в 78% систем. Средний возраст неустановленных обновлений по системам, где такие уязвимости, в том числе используемые сетевым червем Conficker и хакерами, были обнаружены, составил 73 месяца (в 2013 году – 32 месяца).
В 78% случаев внутренний нарушитель, находящийся в пользовательском сегменте сети, может получить полный контроль над всей информационной инфраструктурой организации. Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей (100%). Следующие по распространенности уязвимости (88%) - недостаточный уровень защиты привилегированных учетных записей, хранение важных данных в открытом виде, недостатки антивирусной защиты, открытые используемые сетевые протоколы.
Уровень защищенности внутренних сетей понизился по сравнению с 2013 годом: в 56% случаев внутреннему атакующему достаточно низкой квалификации для получения доступа к критически важным ресурсам. В среднем, при наличии доступа во внутреннюю сеть для получения контроля над критическими ресурсами злоумышленнику требуется эксплуатация трех различных уязвимостей, что хуже показателя 2013 года, когда атака насчитывала в среднем 5 этапов.
Несмотря на то, что средний уровень сетевой безопасности повысился, применяемых мер защиты недостаточно для противодействия злоумышленникам. При этом, как правило, для успешной атаки достаточно использовать широко распространенные и давно известные типы уязвимостей.
Проведенные Positive Technologies исследования интересны тем, что их предметом были: 44% - промышленные предприятия, 28% - банки и 11% - информационные компании; более половины исследованных систем были территориально распределенными и включали множество дочерних компаний и филиалов, расположенных в разных городах и странах. В большинстве систем количество активных узлов, доступных на сетевом периметре, исчислялось сотнями. Особое внимание уделялось безопасности систем АСУ ТП и связи.
Работа современной энергетики без связи в принципе невозможна. И речь не идет о корпоративно-административном или коммерческом управлении. Речь идет о системах релейной защиты (более 60% импортное оборудование и системы), противоаварийной автоматики, автоматизации технологических процессов .
Быстрый рост количества организаций, внедряющих АСУ ТП, при ограниченном числе производителей приводит к состоянию, когда одна и та же SCADA-платформа используется для управления критически важными объектами в самых разных отраслях промышленности, транспорта, водоснабжения, энергетики (включая атомную), научных центрах и учебных организаций. К примеру, эксперты Positive Technologies выявили множественные уязвимости только в одной системе (NI), которая управляет Большим адронным коллайдером, несколькими аэропортами Европы, атомными электростанциями Ирана, крупнейшими трубопроводами и установками водоснабжения в разных странах, поездами и химическими заводами в России. Всего в Интернете видны (в общедоступных поисковиках Shodan, Sonar, Google, Bing) 146137 компонентов АСУ ТП систем. Будучи однажды найдена, любая уязвимость позволяет злоумышленникам атаковать множество разных объектов по всему миру. Причем каналами атак являются: kiosk mode и облачные сервисы, сенсоры, измерители, физические порты, индустриальный и обычный Wi-Fi, USB-носители, сайты производителей ПО и АСУ ТП систем и, даже, CD-диски с дистрибутивами систем (таким образом были подавлены и взяты под контроль хакерами системы управления нескольких европейских стран) и т.д.
Из-за специфики функционирования систем АСУ ТП их защищенность растет значительно медленнее, чем умение хакеров и число уязвимостей (14% уязвимостей устраняется за три месяца, 34% - за период от 3 месяцев до одного года, 52% - никогда, в 2012 году большинство уязвимостей устранялось за один месяц). Появились механизмы автоматического поиска способов взлома АСУ ТП систем. Однажды только за два дня школьниками было взломано сразу несколько промышленных АСУ ТП систем в разных странах мира. Поскольку в индустрии принято скрывать информацию о нештатных ситуациях, можно утверждать, что реальная ситуация с уязвимостями систем АСУ ТП гораздо хуже, чем приведена в данных Positive Technologies.
Большинство вскрытий систем АСУ ТП (около 11% от числа работающих систем) выполняется с помощью протоколов SNMP (240) и HTTP (113), около трети атак (230) выполняется с помощью промышленных протоколов Modbus, DNP3, S7 и т.д. В среднем каждый год возникает 180-190 новых уязвимостей АСУ ТП, причем 58% из них имеют высокую степень опасности, а 39% процентов – среднюю. За рубежом наиболее уязвимы нефтегазовая и космическая индустрии, продукты компаний Siemens (124), Schneider Electric+Invesys (96), Advantech (51), GE (31); наибольшее количество доступных компонентов - PLC/RTU, на втором месте системы мониторинга и управления, на третьем - сетевые устройства и HMI/SCADA-компоненты.
Не стоит думать, что за рубежом все так плохо, а в России хорошо. Просто систем АСУ ТП там гораздо больше.
На рисунке выше показаны «видимые» из Интернет системы АСУ ТП, рисунок, который абсолютно совпадает с картой работающих в мире АСУ ТП систем. Поэтому, если смотреть «плотность повреждений», то окажется, что в России дела намного хуже.
В абсолютных цифрах сейчас наибольший рост уязвимостей / аварийности наблюдается в Европе, в Азии распространены малоизвестные локальные производители, поэтому в большинстве случаев их нельзя даже идентифицировать (разве кто-нибудь поверит, глядя на карту, что в Японии, Тайване, Сингапуре или Китае нет работающих АСУ ТП систем?).
Более 95% систем связи в энергетике построено на импортном оборудовании . Только в областях связи, не имеющих импортных аналогов, процент ниже. Причем, там, где импортного оборудования вообще не должно быть, долгие годы российская научно-техническая школа и нормативная документация ломаются и замещаются таким образом, чтобы допустить использование чуждых российским техническим концепциям иностранные системы.
По данным SecurityLab на сетевом периметре наиболее распространены следующие уязвимости:
доступные извне и удаленно интерфейсы управления сетевым оборудованием и серверами (93%), словарные пароли (87%), открытые и стандартные протоколы передачи данных (Telnet, FTP, HTTP и др.) (82% / 52%), дефекты операционных систем (67%), открытые и стандартные протоколы доступа к данным (60%), SNMP (47%).
Наиболее доступны извне следующие сетевые службы: SNMP, FTP и SMTP (по 80% каждая), Telnet (53%), POP3 (53%), MySQL (40%), HTTP (33%), IMAP (33%). Наиболее защищены HTTPS (13%) и Х11 (20%).
Доля уязвимостей, связанных с доступностью интерфейсов управления серверами и сетевым оборудованием из сети Интернет, возросла за последний год с 82 до 93%. Заметно увеличилось (с 64 до 80%) количество систем, на сетевом периметре которых доступна для подключения любому пользователю сети Интернет служба SNMP.
Несколько снизилась доля систем, где были выявлены доступные для подключения из сети Интернет интерфейсы управления оборудованием по протоколам SSH (с 73 до 60%) и Telnet (с 64 до 53%). Однако, при этом возросли доли доступных интерфейсов MySQL (c 27 до 40%), LDAP (с 18 до 27%); интерфейс X11, не фигурировавший в прошлогоднем отчете, занял долю в 20%.
Как и прежде, использование открытых протоколов передачи данных остается распространённой уязвимостью в корпоративных информационных системах и занимает третью строчку рейтинга уязвимостей сетевого периметра. По сравнению с 2013 годом доля уязвимых систем остается на прежнем уровне и составляет 80%. Выявлено множество систем с доступными службами FTP, Telnet и другими открытыми протоколами. Благодаря им потенциальный злоумышленник получает возможность перехвата передаваемой информации, в том числе учетных данных привилегированных пользователей. Отсутствие защиты и фильтрации различных служебных протоколов, приводящее к перенаправлению и перехвату сетевого трафика, а также к раскрытию важных данных, выявлено в 83% рассмотренных систем.
Для проведения атак в большинстве случаев достаточно использовать все те же уязвимости и атаки, которые были распространены в предыдущие годы. Базовые меры защиты (межсетевое экранирование, сложные пароли, обновления для других компонентов системы) по-прежнему применяются редко.
С защитой периметра связан один из самых распространенных мифов: «У нас закрытая сеть, она недоступна из Интернета», «У нас всего одна точка выхода в Интернет» или «Все оборудование находится внутри периметра и надёжно защищено». На деле, как сами файерволы имеют уязвимости, так и защищают они очень малую часть работающего оборудования и систем – IT и ИБ сотрудники понятия не имеют о реальной структуре защищаемого объекта.
Внутри сети наиболее распространены следующие уязвимости:
словарные пароли (100%), доступность привилегированных учетных записей (88%), открытость использования и хранения данных (88%), открытость протоколов (83%), легкость подключения к ЛВС стороннего оборудования (67%), уязвимость операционных систем (50%), использование SNMP (44%).
Наибольшее число web-уязвимостей высокого уровня риска имеют банковая отрасль (89%), телекоммуникационная отрасль (80%), промышленность (71%) и IT (67%). По среднему количеству уязвимостей на одну систему лидируют промышленность (18) и банковский сектор (13.1).
Полученные в 2014 году результаты отражают общее повышение доли уязвимых систем по всем видам уязвимостей по сравнению с предыдущими периодами исследования. За исключением оборудования на границе сети, где уровень защищенности приблизился к средней отметке (хотя практически все маршрутизаторы пропускают XSS-атаки и не противостоят бэкдору SYNful Knock (в США обнаружено 25 таких маршрутизаторов CISCO 1841, 2811 и 3825, в России – 8, всего - 79. CISCO и Juniper предупреждают, что так могут поражаться любые маршрутизаторы)), в других областях защищенность понизилась значительно или, в лучшем случае, не изменилась. По-прежнему распространены недостатки защиты служебных протоколов, позволяющие перенаправлять и перехватывать сетевой трафик. При этом сложность проведения атак как для внешнего, так и для внутреннего атакующего оказалась заметно ниже, чем в предыдущие годы.
В 2014 году в 63 из топ-100 организаций России произведен опрос, в результате которого обнаружено, что 58% из них имели крупные ИБ-инциденты. Причинами инцидентов были: 44% - внешние атаки, 30% - ошибки и злоупотребления персонала; 14% - вирусы и вредоносное ПО; 7% - внутренние атаки. Источниками угроз были: 40% - персонал; 31% - киберпреступность; 11% - поставщики и конкуренты; 9% - ИБ. 26% компаний сообщили, что основной проблемой ИБ является несовершенство нормативно-законодательной базы. Причем, 55% компаний заявили, что для них решающим фактором в вопросах обеспечения ИБ является мнение собственных экспертов, 50% - международные стандарты и рекомендации; 21% - зарубежные отраслевые стандарты и рекомендации, 38% - Российские отраслевые стандарты и 33% - ГОСТ. Российскую нормативную базу считают слабой и устаревшей. Но это не совсем так. По многим позициям приказ ФСТЭК №31 от 2014 года гораздо более современный, чем NERC CIP, ISA/IEC 62443, NIST SP 800-82 и NIST SP 800-53 документ. Тем не менее в нем отсутствуют некоторые важные положения: прямое требование разделения корпоративных и технологических сетей (в приказе №31 есть только требование о сегментации сетей); разделение АСУ ТП на уровни безопасности; инвентаризация компонентов АСУ ТП для реализации риск-ориентированного подхода к построению систем ИБ; проверка персонала перед предоставлением допуска к работе с АСУ ТП. В части технических требований российские СТО так же более современны, чем зарубежные. Исключение составляют СТО специально принятые для разрешения применения в России импортного оборудования и систем. Тем же объясняется такое частое использование в России зарубежных стандартов.
Наибольшее распространение в сетях связи ПАО «Россети» и ПАО «ФСК ЕЭС» имеет оборудование компаний АВВ, Alcatel-Lucent, TTC Marconi, RAD, ECI, Juniper и Cisco. Если на транспортном уровне проблема решаема: мультиплексоры всех зарубежных компаний могут быть заменены аналогичным доверенным оборудованием компаний Alcatel-Lucent RT и T8; маршрутизаторы Juniper и Cisco могут быть замещены оборудованием Alcatel-Lucent RT, с оговорками Huawei, или более перспективным SDN оборудованием на базе программных роутеров и маршрутизаторов российских производителей (подобных ВММ, Tellus, Antares компании «Эмзиор»). На уровне доступа ситуация более сложная.
В 2011 году впервые (и далее каждый год) ПАО «ФСК ЕЭС» выполняла тесты, показывающие несоответствие российским техническим требованиям, низкую информационную безопасность и доступные злоумышленнику без специального образования методики вскрытия импортного оборудования и сетей связи (они имеют все описанные здесь уязвимости). Позднее Департамент информационной безопасности и специальных проектов ПАО «ФСК ЕЭС» провел собственные испытания, подтвердившие истинность представленных материалов. При проведении этих испытаний дополнительно были вскрыты факты существования активных (с возможностью дистанционного управления) «зеркал» систем связи России в Швейцарии, Германии и США.
К сожалению, 2011-2014 года были периодом второго этапа реконструкции ПАО «ФСК ЕЭС», и полученным данным большого значения не придали. Наоборот, объемы закупок подобного оборудования увеличили. Происшедшие позднее множественные технологические нарушения все-таки заставили ПАО «ФСК ЕЭС» в 2014 году ввести частичное ограничение на использование импортного оборудования в новых проектах. Процедуры, позволяющие перейти к полному замещению, были проигнорированы.
С учетом того, что стоимость импортного оборудования выше, чем стоимость другого оборудования, а для устранения системных недостатков своего оборудования импортные компании вынуждены дополнительно устанавливать на объекты оборудование поддержки (стоимость проектов при этом возрастает в 1,5-3 раза), они значительно замедляют темпы модернизации и развития ЦСПИ ТЭК, «сжигают» инвестиционные средства.
До сих пор как оборудование связи (цифровое) рассматривается только импортное оборудование компаний АВВ. TTC Marconi, RAD, Natex/Sagem и т.д.. Это оборудование ничем не отличается друг от друга (так как построено на одинаковых принципах и на одинаковых стандартах): не соответствует российским требованиям (отраслевым стандартам ПАО «ФСК ЕЭС» и ПАО «Россети») и принятым в России нормам эксплуатации и обслуживания, не позволяет разграничить зоны ответственности и обслуживания служб РЗА и СДТУ, не контролируется службами РЗА, не может быть интегрировано в системы АСУ ТП объектов, имеет аппаратные (неустранимые) дефекты, вызывающие формирование ложных и излишних команд РЗ и ПА, не обеспечивает мониторинг целостности каналов передачи информации между устройствами РЗА и не имеет сигнализации об отказе каналов технологической связи, не имеет энергонезависимые нередактируемые регистраторы событий, сигнализаций и передаваемых сигналов. По данным Департамента информационной безопасности и специальных проектов ОАО «ФСК ЕЭС» все оборудование имеет проблемы с кибербезопасностью.
По факту, в настоящий момент времени в России в работе находится несколько тысяч единиц импортного оборудования. О том, что где-то есть понимание существующей опасности, говорит то, что это оборудование на время проведения Олимпиады отключалось. Замены импортного оборудования имеются: лицензированное ФСТЭК и соответствующим требованиям, предъявляемым к средствам защиты информации, составляющей государственную тайну оборудование ЗАО «ДАТАТЕЛ» линейки DT, РКСС, Т8, НТЦ ВСП «Супер-ДАЛС», ELTEX, ROTEK, Зелакс, НПП Полигон, ОАО «Супертел», «Юнител Инжиниринг» и др.). К 2015 году ПАО «ФСК ЕЭС» и ПАО «Россети» накопили большой опыт работы и обслуживания смешанных импортно-российских ЦСПИ.
Отдельного упоминания заслуживают новейшие требования ПАО «ФСК ЕЭС» и ПАО «Россети» к построению технологических, в частности РЗА , каналов связи (поддерживающие применение импортного оборудования РЗА и связи):
- внедрение стандарта 61850 ,
Надо сказать, что за последние 10 лет российские энергетики вообще разучились думать по-русски. Оно и понятно: где и на каком оборудовании они учились, где их дети учатся или работают, куда они уходят на работу при выходе на пенсию, кто им обеспечивает большие материальные ценности, в какие дали принудительно раскидало носителей российской энергетической школы (уволены), и т.д.? Вред энергетике нанесен огромный. Аварийность и дефектность возросли. Расходы - на порядок.
Эти 10 лет - вообще время большой фальсификации статистики в РЗА. Основными причинами неправильных действий устройств РЗА стали считать: виновность персонала и несвоевременная замена устройств и кабелей (в основном из-за отсутствия необходимого финансирования), отработавших установленный срок службы (старение оборудования) – все средства шли на заигрывание с импортными производителями. Чтобы статистически оправдать внедрение МП импортной техники в ошибки персонала стали включать ошибки вышестоящих и всех вновь созданных РЗА служб (а их, на самом деле, очень много), а в аварийность по причине старения, например, все невыясненные случаи аварийности, отсутствие запчастей, не работа персонала со старым оборудованием (нет финансирования), дефекты оборудования и т.д. На самом деле виновность персонала все время снижается, а старение оборудования – это статистически постоянная величина примерно с 60-х годов. Также фальсифицируются данные учета неправильных действий РЗА – в абсолютных величинах. Например, сообщается, что в 2013 году было 234 случая неправильного действия старой техники и 128 – новой МП РЗА, и делается вывод, что МП РЗА более надежна. Однако не указывается, что новой МП РЗА техники эксплуатируется в 3 раза меньше, чем старой (70540 против 224311). То есть, фактически, отказы / неготовность новой техники в 2 раза выше, чем у старой!!! Более того, сюда включен еще один трюк: подсчет новых устройств ведется не по физическим устройствам, а по выполняемым функциям. Реально новых РЗА устройств не 70540, а лишь 14578. При этом неправильных действий новой техники оказывается в 9 раз больше, чем неправильных действий старой!!! В частности, отказы новой МП РЗА только по причинам: ошибки монтажно-наладочного персонала, заводов - изготовителей, проектных организаций и разработчиков РЗА, увеличились более, чем в 5 раз, по сравнению со старой техникой. Новая техника: 75% находится в эксплуатации не более 4 лет, 42% - не более 2 лет. Старая техника: 50% устройств находится в эксплуатации более 25 лет, 35% - до 35 лет, 15% - более 35 лет. Практические сроки эксплуатации старых устройств составляют 25-35 лет, а новых – по данным США и Европы – 5-7 лет (потом опять реконструкция).
Доля новой импортной РЗ техники в ЕНЭС в 2008/2011/2013 годах составляла 71/76/65% соответственно. Чтобы разбавить эти цифры (до 66/72/56%) в отчетность включили оборудование, у которого нет иностранных аналогов (ПА, регистраторы и т.д., и стали все это называть РЗА). При этом, если рассматривать большую пятерку поставщиков РЗА, окажется, что доля импортного оборудования составляет 79,5/74,2/73,2% соответственно, то есть положение с импортом много хуже, чем сообщается. Аналогичную операцию сейчас проделывают с учетом/статистикой оборудования связи.
Кто ответит за такую модернизацию и реконструкцию Российской энергетики?!
61850
Связь-ориентированный стандарт РЗА. Разработан в США. Очень старый и никому не нужный вплоть до подъема Европы и России. За 25 лет существования в США его доля не стала выше 6-9%. В России навязывается с 2005 года. Российские производители отброшены в развитии на 4-8 лет, так как использование этого стандарта сделали в России обязательным. Цены на устройства возросли на 25-75%. Проекты подорожали на 150-300%. Все российские специалисты называют это не техническим, а БИЗНЕС процессом. Модным и очень дорогим словом ЦП – цифровая подстанция. И конца этому не видно… Германские специалисты говорят, что 61850 они внедряют/используют в основном в странах 3-го мира, России и Китае… Кстати в ФСК любят говорить о том, что вот мол в Китае уже тысячи ПС - цифровые, только не говорят о том, что в Китае этим занимаются, в основном, лаборатории и кафедры учебных заведений с исследовательскими целями, на низком, редко среднем, напряжении и на отдельных фидерах, а не на объектах в целом...
Кроме чисто финансовых и времени потерь (комбинированная с элементами техногенности диверсия США против России, Китая и Европы), 61850 делает Российскую энергетику чрезвычайно уязвимой для внешних воздействий. Как было показано ранее ЛВС (а 61850 это не что иное, как ЛВС) могут быть вскрыты кем угодно и когда угодно - очень удобный для недоброжелателей механизм: один раз вскрываешь ЛВС и отключаешь ВЕСЬ объект. За рубежом 61850 чаще используется на малых объектах, когда его реализация еще не дотягивает до понятия полноценной ЛВС, и поражение всего объекта невозможно. В России же 61850 и ЦП внедряются на больших федеральных объектах: если уж отключать, так город, область или атомную станцию…
- дистанционное управление технологическим оборудованием и
По данным Positive Technologies уровень защищенности систем дистанционного управления и обслуживания (ДУО) достаточно низок. Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах позволяют внешнему злоумышленнику проводить несанкционированные операции, действия или даже получить полный контроль над системой.
Две трети исследованных систем (67%) являлись собственными разработками (использовались Java, C# и PHP), остальные были развернуты на базе платформ известных вендоров. Уязвимостей высокой степени риска оказалось больше в системах ДУО, купленных у вендоров - 49%, и 40% - в системах собственной разработки. Системы, поставляемые профессиональными разработчиками, в среднем имеют в 2,5 раза больше уязвимостей на уровне кода приложения, чем системы собственной разработки.
44% уязвимостей систем ДУО имеет высокий уровень риска, 26% - средний и 30% - низкий. В целом, уязвимости высокого уровня риска были выявлены в 78% исследованных систем. 42% уязвимостей связана с ошибками реализации механизмов защиты систем ДУО, заложенных разработчиками. В частности, к данной категории уязвимостей относятся недостатки механизмов идентификации, аутентификации и авторизации. На втором месте — уязвимости, связанные с ошибками в коде приложений (36%). Остальные уязвимости в основном связаны с недостатками конфигурации (22%). 54% систем имеют уязвимости, позволяющие реализовать атаки на сессии ДУО в реальном времени. Отказ в обслуживании системы ДУО может быть вызван в 52% систем. 89% систем имеют уязвимости, позволяющие кражу конфиденциальных данных, и 46% систем позволяют дистанционное управление.
Наиболее распространенным недостатком механизмов идентификации систем ДУО является предсказуемость формата идентификатора учетной записи (64% систем). Зная несколько существующих в системе идентификаторов, злоумышленник может вычислить механизм их формирования и подобрать нужный. 32% исследованных систем раскрывали информацию о существующих в системе учетных записях, возвращая различные ответы в зависимости от существования введенного идентификатора; в 20% случаев системы ДУО содержали обе вышеупомянутые уязвимости идентификации.
58% рассмотренных систем имели недостатки реализации механизма аутентификации: слабую парольную политику, недостаточную защиту от подбора учетных данных, возможность обхода механизма повторного ответа или отсутствие обязательной двухфакторной аутентификации при подключении. 79% систем содержали различные недостатки авторизации и защиты действий. При этом в 42% случаев злоумышленник мог получить несанкционированный доступ к служебной информации, а в 13% систем нарушитель мог напрямую осуществлять ДУО от лица других пользователей.
Так же часто встречаются уязвимости, связанные с небезопасной передачей данных (73%), недостаточной защитой сессий (55%) и небезопасном хранении данных (41%).
Здесь надо специально указать, что все рассматриваемые системы не работали в темпе реального времени, и у них имелся временной ресурс для реализации механизмов защиты. Промышленные технологические системы временем не располагают и должны действовать в темпе 1-100 мс. Это предполагает очень высокую стоимость реализации ДУО, и вряд ли позволит выполнить полноценную защиту дистанционного управления без использования механизмов криптографии (какой после этого станет стоимость оборудования, и насколько успешной будет защита ДУО при реализации неспециалистами?), что в свою очередь полностью исключает использование в ДУО импортного оборудования.
- интеграция систем связи в АСУ ТП через SNMP протоколы.
Ранее уже говорилось о уязвимостях АСУ ТП / РЗА систем и глобальности проблем безопасности. Причем все исследованные системы соответствовали или соответствуют всем выдвигаемым требованиям к обеспечению информационной и функциональной безопасности и имеют все необходимые международные и государственные отраслевые сертификаты. Например, недавно сотрудники компании Positive Technologies исследовали ПО серверов Experion PKS R311.2 фирмы Honeywell, которые используются в США на атомных станциях (контроль), в Китае на газопроводах, в России на нефтепроводах и нефтеперерабатывающих заводах и во многих других странах. Были обнаружены более 30 уязвимостей, позволяющие вмешиваться в технологические процессы, например, ухудшать качество нефтепереработки, изменять показания датчиков атомных реакторов, вызывать аварии на газо- и нефтепроводах и т.д.
Нормативное обеспечение, даже лучшее: семейство стандартов ANSI/ISA-62443, адаптированное в качестве ГОСТ Р МЭК 62443, стандарты NERC CIP, документы ФСТЭК России страдают описательностью, и написаны в духе концепции обеспечения «целостности», «доступности» и «конфиденциальности» информации в ИБ, что не совпадает с основными задачами и способами реализации промышленной безопасности.
Наиболее перспективным сейчас видится Миссиоцентрический подход обеспечения безопасности технологических систем, с учетом функций ими выполняемых. Это позволяет анализировать угрозы и уязвимости информационной системы не в контексте обеспечения «целостности, доступности и
конфиденциальности» ИБ, а в терминах предметной области, для которой используется система. При этом должны совокупно использоваться методические аппараты дисциплин: промышленной безопасности, функциональной безопасности, информационной безопасности (функциональная безопасность связана с непреднамеренно вызванными отказами в выполнении отдельных функций системы и не учитывает целенаправленных угроз. Информационная безопасность направлена на обеспечение целостности, доступности и конфиденциальности данных, напрямую не связанных с задачами промышленной безопасности).
Основой обеспечения безопасности при Миссиоцентрическом подходе является корректное обнаружение / предупреждение угроз в соответствие с классификацией:
1. Нарушение промышленной безопасности: реализация угроз непосредственно влияет на промышленную безопасность, может стать причиной техногенной катастрофы.
2. Снижение эффективности производственного процесса: реализация угроз явно снижает количественные экономические показатели процесса, автоматизируемого с помощью АСУ ТП.
3. Нарушения функциональной безопасности и надежности: реализация угроз непосредственно не влияет на промышленную безопасность и оказывает влияние на качественные или количественные показатели эффективности, надежности и безопасности.
При этом, кибербезопасность АСУ ТП или РЗА можно определить, как процесс обеспечения функционирования, при котором исключены опасные отказы и недопустимый ущерб, поддерживается высокий уровень экономической эффективности, функциональной безопасности и надежности и принимается во внимание возможность целенаправленного антропогенного воздействия на компоненты системы. Это позволяет при анализе кибербезопасности строить частную модель угроз, исходя из, в первую очередь, обеспечения требований функциональной безопасности, выдвигаемых к данному классу систем, используя те или иные механизмы обеспечения промышленной и информационной безопасностей.
Решения могут быть неожиданными. SmartGrid, в частности системы солнечной и ветрогенерации настолько легко доступны и могут быть атакованы / разрушены (сейчас суммарной мощностью 8 ГВт), и их число так быстро растет, что в рамках инициативы SCADASOS всех желающих призвали обнаруживать, защищать и сообщать об этом производителям и пользователям. Сейчас по-другому защитить SmartGrid невозможно.
SNMP
- небезопасный протокол работы с сетевым оборудованием, позволяет получить доступ к критически важной информации (имена локальных пользователей, их пароли (при этом несмотря на то, что в конфигурации пароли зашифрованы, через SNMP они часто указывается в открытом виде), тип шифрования пароля, уровень привилегий, которым обладает пользователь), и проникнуть в корпоративные сети компаний и технологические сети связи. Если пароли в SNMP указываются в зашифрованном виде, как правило, это делается с помощью алгоритмов AES256 или DES. В схеме с алгоритмом DES на всех устройствах используется одинаковый ключ шифрования (CVE-2012-4960). В результате пароль может быть легко дешифрован (сообщение компании Emaze Networks в 2012 году). В настоящее время дешифрование AES256 так же не представляет особой проблемы. После того, как учетные данные локальных пользователей получены, к устройству можно подключиться через SSH, Telnet, Web или HTTP.
Проникнув в корпоративную сеть компании, в технологическую сеть связи или в любою другую сеть, получив контроль над пограничным сетевым оборудованием, злоумышленник может любым образом распоряжаться проходящим через устройство трафиком, хозяйничать внутри сети автоматизированных систем (РЗА и АСУ ТП), менять их конфигурации, данные и т.д., в общем, делать все, что доступно легальному пользователю.
Характерно, что при запущенном сервисе регистрации попытку зайти на устройство по SSH, Telnet или web можно увидеть, например, на Syslog-сервере. SNMP подобных сообщений не формирует, и можно даже не узнать, что кто-то уже получил учетные данные, вскрыл вашу систему и, например, изменил конфигурацию устройства или изменил параметры управления АСУ ТП.
Многие производители оборудования выпустили патчи для SNMP своих устройств, но, что характерно для сетевого оборудования, большинство устройств уязвимо до сих пор.
Самый надежный способ защиты от этой проблемы – выключить и никогда не использовать сервис SNMP. На собственный страх можно использовать протокол SNMPv3 и ограничивать доступ к устройству с помощью списков разрешенных адресов или списков доступа.
Таким образом, в настоящий момент времени 60-75% устройств РЗА, 95% оборудования в сети технологической связи, концепции и принципы работы систем стратегической отрасли промышленности России – электроэнергетики – выполнены на импортных концепциях, оборудовании и системах, на уязвимых стандартах, подходах и протоколах, до 70-80% которых могут быть дистанционно атакованы, повреждены специальными воздействиями или подчинены стороннему управлению. Кроме прямых угроз промышленной безопасности они порождают угрозы экономической, социологической и научной безопасности России.
Российские ученые, специалисты и производители неоднократно пытались устранить данные проблемы, но не находили поддержки у руководства ПАО «ФСК ЕЭС» и ПАО «Россети».