Энергетика и промышленность России - избранные материалы.

«Умная энергетика» притягивает риски

Российская энергетика умнеет на глазах: «умные сети», позволяющие сглаживать пиковые нагрузки, интеллектуальные системы учета, «умные дома» – все это уже не фантазии, а реальность.

Но внедрение интеллектуальных технологий создает новые риски, связанные как с нападениями злоумышленников, так и с некорректными действиями пользователей.

Какие предосторожности стоит соблюсти, чтобы минимизировать возникновение этих угроз? Российские компании, специализирующиеся в области информационной безопасности, отвечают на вопросы «Энергетики и промышленности России».

Территория повышенного риска

– Энергетические компании объявляют о солидных вложениях в информационную безопасность. Одна из последних новостей – приобретение МРСК Центра 10,5 тысячи лицензионных решений ESET NOD32 Business Edition и 1 тысячи лицензий Smart Security для защиты ИТ-инфраструктуры. Как вы оцениваете степень угроз ИТ-инфраструктуре энергокомпаний?



Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET:

– На мой взгляд, ни одна крупная компания, и энергетические компании здесь не исключение, не может обеспечить полной, стопроцентной защищенности от ИТ-угроз, включая как целенаправленные хакерские атаки, так и случайные заражения вредоносными программами, связанные с беспечностью или неосведомленностью пользователей. Чем крупнее компания, чем большее количество персональных компьютеров и пользователей этих компьютеров, тем выше риски. Более того, итоги наших расследований, проведенных в минувшем году, позволяют говорить о 2010 годе как о годе кибератак. Один только российский рынок киберпреступности вырос в прошлом году до 2-2,5 миллиарда евро, иными словами, прибыли, которую получают киберпираты, сравнимы с госбюджетом крупной страны.

При этом процентное соотношение преступлений против обычных пользователей и юридических лиц составило 50:50. Но если ущерб, принесенный частным лицам, сравнительно невелик, то бизнес может нести убытки, которые выражаются в миллионах рублей. Мы можем только догадываться, какой ущерб несут российские энергетические компании – как правило, они не сообщают публично о подобных ситуациях. Более открытую политику ведут в этом отношении зарубежные энергокомпании. К примеру, одной из крупнейших кибератак минувшего года стал инцидент с червем Stuxnet, созданным с целью поражения Бушерской АЭС в Иране. Кстати, именно российские специалисты приняли большое участие в расследовании этой кибератаки, одной из самых продуманных и технологичных за всю историю существования вредоносных программ.



Олег Зайцев, главный технический эксперт «Лаборатории Касперского»:

– В настоящее время у многих крупных компаний, в том числе энергетических, наблюдается тенденция к созданию централизованной ИТ-инфраструктуры, одного или нескольких ЦОД, в которых хранится и обрабатывается вся информация. С одной стороны, это хорошая инициатива с точки зрения минимизации затрат. С другой стороны, она содержит огромную угрозу для безопасности, так как ЦОД весьма уязвим, а нарушение его работы парализует все обслуживаемые им системы и структуры. Типичные примеры – поражение сети и серверов ЦОД вирусом, взлом их хакерами, DDOS-атака, деструктивная деятельность админа-инсайдера. Возможны также более опасные и экзотические угрозы – например, атака, нацеленная на физическое разрушение ЦОД или уничтожение каналов связи.



Андрей Гречин, системный инженер-консультант компании Cisco:

– Энергетические компании продолжают активно инвестировать средства в защиту ИТ-инфраструктур, используемых для ведения хозяйственной деятельности. Соответствующие методы защиты и технические средства получили широкое распространение, хотя по-прежнему случаются инциденты, связанные с кражей конфиденциальной информации, – такие, как состоявшаяся в минувшем году атака Night Dragon, направленная на некоторые западные энергетические компании.

Но сейчас появляется новая тенденция, когда ИТ-технологии начинают проникать в область автоматизации технологических процессов АСУ ТП (АСОДУ, АСКУЭ и так далее). И здесь возникает заминка, связанная с нерешенными до конца законодательными, техническими, организационно-административными аспектами защиты инфраструктуры АСУ ТП. Результат – повышенная уязвимость автоматизированных систем, применяемых для управления технологическими процессами и мониторинга таких процессов. Поэтому инфраструктура АСУ ТП вполне может стать «мишенью» для группы высококвалифицированных специалистов с недобрыми намерениями, работающих на спецслужбы или недобросовестных конкурентов. Пример целенаправленной атаки такого рода – история червя Stuxnet, который создавался группой программистов на протяжении нескольких месяцев, при этом не исключено, что работа над созданием червя велась с привлечением информаторов внутри атакуемой компании.

Нельзя сбрасывать со счетов и высокую вероятность нецеленаправленных угроз информационной безопасности для АСУ ТП. К примеру, оператор АРМ, открывающий зараженный накопитель USB-flash, может не замышлять ничего дурного, но конечный результат для АСУ ТП будет тот же, что и в случае целенаправленной атаки.



Умным счетчикам нужен порядок

– Одна из актуальных тенденций в российской энергетике – построение умных сетей, развитие интеллектуальных систем учета энергоресурсов. Между тем, судя по предупреждениям зарубежных экспертов, умные сети и их элементы могут оказаться особенно уязвимыми для хакерских атак. Стоит ли ожидать новых угроз?



Олег Зайцев:

– Атаки, которым подвержены умные сети, можно разделить на два вида. Первый вид – атаки с целью нанесения физического ущерба, направленные на нанесение вреда как энергетике в целом, так и конкретным потребителям. Соображения злоумышленников могут быть различными – от банального хулиганства до теракта против конкретных стратегических объектов.
Второй вид атак – атаки с целью получения прибыли. Пока существовали механические счетчики, были придуманы десятки методов, нередко достаточно остроумных и нетривиальных, позволяющих «скручивать» показания счетчиков или как-то обманывать приборы учета. Появление электронных счетчиков, связанных в единую систему АСКУЭ, приведет к тому, что будут атаковать как отдельные счетчики (счетчик оснащен микроконтроллером, выполняющим программу управления), так и систему в целом. Реальный пример с червем Stuxnet показал, что даже весьма надежные системы на стратегических объектах могут быть уязвимы в случае прицельной атаки. Чем сложнее окажутся такие системы, тем выше вероятность того, что в них будет обнаружена некая уязвимость или будет найден способ вмешательства.



Андрей Гречин:

– Основной проблемой для России, как было сказано выше, является отсутствие общего подхода к информационной безопасности, публичных стандартов и рекомендаций по защите интеллектуальных систем энергоснабжения. В этом отношении нам есть чему поучиться у западных коллег, владеющих ценными наработками в области нормативной базы. Например, американский Национальный институт стандартов и технологий (NIST) разрабатывал стандарт в области защиты Smart Grid в течение более полутора лет, с привлечением примерно пятисот представителей частных компаний, академических кругов, а также работающих в этой области государственных регуляторов. И это только один пример из множества стандартов и рекомендаций, разработанных NIST, NERC и другими организациями.



Главное – понимание

– В каждой крупной компании (энергетика – не исключение) имеются сотни и тысячи компьютеров, за которыми работает соответствующее количество пользователей. Как совместить удобство работы с ИТ-системой и ее защищенность от хакерских угроз?



Александр Матросов:

– Многие из новых возможностей, которые открываются перед киберпреступниками, связаны с широким внедрением интернет-технологий в нашу повседневную жизнь. К примеру, развитие дистанционного банковского обслуживания привело к тому, что одной из серьезнейших угроз 2010 года стали троянские программы, направленные на банковский сектор, в том числе – на конкретные банковские системы. Еще один источник хакерских атак – это уязвимости в программном обеспечении как в самих популярных браузерах, так и в приложениях к ним. Наконец, к серьезным источникам угроз относится пиратское ПО, вредоносные программы, которые распространяются через популярные социальные сети. Поэтому одним из самых действенных методов информационной безопасности является инструктаж пользователей, ограничение полномочий, связанных с вмешательством в сетевую структуру или установкой новых программ, возможно, установка фильтров, препятствующих вхождению в соцсети.

В сущности, чем меньше полномочия рядовых пользователей, чем меньше возможностей конфигурирования и настройки, тем меньше риска и для отдельных составляющих ИТ-структуры, и для информационной безопасности компании в целом.

И все-таки основная задача стратегии в области информационной безопасности – не исключить все возможные риски, а ограничить до минимума возможности их возникновения. Поэтому одной из важнейших задач при построении и модернизации ИТ-инфраструктуры является сотрудничество внедряющей компании и специалистов в области информационной безопасности. В противном случае первые могут не обратить внимания на очевидные уязвимости и риски, а вторым придется исправлять ошибки, которые можно было предотвратить заранее.



Роман Косичкин, руководитель группы консалтинга и предпродажной поддержки «Лаборатории Касперского»:

– Для начала нужно оценить, что угрожает информации, хранимой и обрабатываемой в вычислительной сети организации. Необходимо понять, насколько велика вероятность реализации угроз, и выяснить, какой ущерб они могут при этом нанести. Только после такой оценки, а также определения методов и средств, с помощью которых мы можем защититься от подобных угроз, следует приступать к конкретным действиям. И здесь на первый план выходит обучение персонала, разъяснение рисков и угроз, которым подвержены ИТ-системы. Сотрудникам, понимающим, с какой целью проводятся те или иные мероприятия, всегда легче объяснить, зачем мы внедряем ту или иную систему, зачем принимаются запреты.



Андрей Гречин:

– Основной фактор успеха при защите ИТ-структур – это использование архитектурного подхода при построении систем обеспечения информационной безопасности, подхода, обеспечивающего многоуровневую защиту с использованием различных технологий, так как очевидно, что наличия антивируса на АРМах или межсетевого экрана в настоящее время уже недостаточно. Системы ИБ нужно закладывать еще на этапе создания ИТ-инфраструктур. В противном случае последующее добавление ИБ ведет к значительному удорожанию проектов. К примеру, как показывают оценки аналитиков, при построении интеллектуальных систем энергосбережения расходы могут возрасти до шестидесяти раз.

Но любые технические меры должны быть дополнены стандартами, рекомендациями и процедурами, определяющими как общие принципы построения защиты, так и конкретные шаги, направленные на разъяснение задач ИБ и задач каждого сотрудника.

Для построения эффективных систем ИБ нужно учитывать человеческий фактор, использовать такие решения, которые удобны для пользователя при повседневном применении. Например, бессмысленно заставлять пользователя запоминать два десятка длинных паролей от разных систем, тем более что рано или поздно он начнет записывать их на бумажке, приклеенной к монитору.

И наконец, обеспечение информационной безопасности предполагает внедрение технических средств, позволяющих контролировать поведение пользователей. Например, вы можете запретить пользователям подключать собственные устройства к корпоративной сети, но только применение технологии аутентификации сетевых устройств 802.1Х позволит организовать стопроцентный контроль за применением этих требований.

Ольга МАРИНИЧЕВА