УДК 004

Информационная безопасность электростанций

Рудов Александр Владимирович – студент направления "Информационная безопасность телекоммуникационных систем" Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича.

Кушнир Дмитрий Викторович – научный руководитель, кандидат технических наук, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича.

Аннотация: В статье рассматриваются основные проблемы информационной безопасности электростанций. Исследованы возможные вероятности хакерских атак на отдельные объекты энергетического сектора. Рассмотрены возможные сценарии атак и способы их предотвращения.

Ключевые слова: информационная безопасность, критическая инфраструктура, кибератака, уязвимость нулевого дня, проникновение в систему, электростанция.

С развитием цифровизации в энергетической промышленности, количество хакерских атак на промышленные объекты резко возросло. В связи с этим встал вопрос о мерах противодействия кибератакам, таких как создание законов и нормативных актов по информационной безопасности. Были предложены методы предотвращения информационных атак на критически важные инфраструктуры.

Информационная безопасность в энергетическом секторе

С развитием цифровых технологий энергетика становится все более сложной, взаимозависимой и динамичной отраслью. Проблема информационной безопасности в этом сегменте еще не так остра, но через 5-10 лет эта проблема может стать первостепенной в различных сегментах энергетики. Информационная безопасность, несомненно, будет играть важную роль в повышении эффективности технологического процесса, поскольку отказ устройств в операционных системах снижает надежность, бесперебойность производство и распределение энергоресурсов. Основной задачей является анализ слабых мест на определенных электростанциях, а также контроль доступа, учет информационной безопасности в компании. Говоря о технологических объектах, необходимо учитывать специфику APCS, SCADA (Supervisory Control And Data Acquisitionдиспетчерское управление и сбор данных) и DCS (Distributed Control System – распределенная система управления). При создании системы информационной безопасности, необходимо тщательно изучить защищаемый объект и технологические процессы и учесть множество возможных факторов.

Инициирование киберпреступления

Кибератаку можно разделить на 4 этапа:

  1. подготовка к атаке;
  2. проникновение в систему;
  3. распространение;
  4. саботаж.

Подготовка к атаке: Подготовка к кибератаке включает в себя определение конкретной цели (электростанция), поиск максимального количества информации о ней, выявление слабых мест в защите объектов. Затем разрабатывается стратегия, инструменты проникновения создаются из ранее созданных или новых, специализированных инструментов проникновения, затем они тестируются на моделях. Проводится мониторинг на наличие открытых портов, через которые возможно проникновение в систему.

Проникновение в систему: на этом этапе злоумышленник внедряет троянского коня или червя в частный узел (сервер), который может нанести непоправимый ущерб оборудованию. В этом случае вредоносный код попадает в закрытую сеть. Вредоносное программное обеспечение может быть внедрено различными способами:

  1. Загрузка программы под видом специальной документации в виде PDF или DOC, в результате загрузки файла запускается макрос (автоматическое открытие файла на компьютере).
  2. Используя социальную инженерию, злоумышленник может убедить сотрудника установить определенную программу, содержащую вредоносное ПО.
  3. Уязвимость нулевого дня. Нулевой день относится к недавно обнаруженным уязвимостям программного обеспечения. Поскольку разработчик только что узнал об уязвимости, это также означает, что не было официального патча или обновления для устранения проблемы. Термин "нулевой день" показывает, что поставщик или разработчик только что узнали об уязвимости, и у них есть "ноль дней" на ее исправление и возможно, уязвимость уже использована хакерами. Как только об уязвимости становится известно общественности, производитель должен незамедлительно устранить проблему и защитить своих пользователей.

Распространение: здесь злоумышленник пытается внедрить свою программу как можно глубже внутри устройства, уделяя особое внимание особенно важным точкам – производственные серверы. Работа выполняется под имени администратора, таким образом оставаясь незамеченной для системы безопасности.

Саботаж: Этот шаг является ключом к удалению важных файлов или управления программируемыми логическими контроллерами и системами SCADA. Критически важные файлы, манипуляции с устройствами, мониторинг и шпионаж, саботаж, а также нейтрализация электрооборудования. Создатели этих угроз обладают высокой квалификацией и глубоким понимание промышленных систем управления и коммуникационных протоколов в электроэнергетике. Эти атаки могут осуществляться не только "отдельными лицами", но целыми группами, действующими в интересах предприятия или государства. Невозможно полностью идентифицировать злоумышленников по IP адресу, поскольку большинство IP-адресов скрыты.

Первое появление кибератак в энергетическом секторе

Одна из первых известных и наиболее мощных кибератак была осуществлена в 2010 году на иранские предприятия, в частности на атомные электростанции.

Это первый известный компьютерный червь, который перехватывает и модифицирует информационный поток между Simatic S7 PLCs и рабочими станциями компании Siemens.

Таким образом, "червь" может быть использован как средство несанкционированного сбора данных (шпионажа) и саботажа в системах управления технологическими процессами промышленных предприятий и электростанций. Затем следуют самые опасные и маштабные атаки – это атаки BlackEnergy: BlackEnergy использовалась для кибератак на пользователей с помощью троянского коня, киберпреступники доставляли

специальный компонент "KillDisk" на компьютеры диспетчеров электрических сетей, специализирующийся на уничтожении файлов на диске. Win32 / Industroyer: Win32 / Industroyer обладает высоким уровнем экспертизы и глубоким понимание промышленных систем управления и коммуникационных протоколов в энергетической промышленности.

Маловероятно, что кто-то сможет написать и тестировать такое программное обеспечение без доступа к специализированному аппаратным средствам, используемым в целевой среде. Каждая атака имела свою собственную уникальность и последствия; поэтому атака была "целенаправленной".

Методы предотвращения кибератак

Прежде чем начать кибератаку, хакеры полностью изучают инфраструктуру электростанции, а также каждую уязвимость и метод осуществления атаки. Поэтому для предотвращения кибератак необходимо проводить мероприятия по проверке компьютеров, устройств релейной защиты, систем SCADA на работоспособность и проверять "аномальную" активность в компьютерных процессах. Следует исходить из того, что системы остаются в безопасности от кибератак до тех пор, пока вся технологическая структура сохраняется в тайне от посторонних. Можно предположить, что без подробных спецификаций злоумышленники не смогут манипулировать оборудованием (и даже не будут пытаться сделать это). Такой подход к сокрытию информации блокирует все возможности для кибератак на отдельные устройства или сети.

Еще один способ повышения безопасности и защиты от незаконного проникновения или преднамеренного искажения информации является:

  1. разработка корпоративного стандарта по обеспечению информационной безопасности (серия международных стандартов, включая стандарты информационной безопасности, опубликованные совместно Международной организацией по стандартизации (ISO) и Международной организацией для стандартизации).
  2. ограничение или исключение использования беспроводного и удаленного доступа к APCS без авторизации и аутентификации. В данном случае речь идет о несанкционированном доступе к системе с использованием протокола telnet, при котором можно авторизоваться и войти в систему имея доступ к внутреннему IP-адресу и порту.
  3. меры по организации защиты информации в области промышленной безопасности.

Основные задачи:

  1. Запретить сотрудникам скачивать неизвестных файлов со сторонних ресурсов.
  2. Составление плана разъяснительной работы по кибербезопасности промышленных предприятий.
  3. Создание журнала нестабильной работы компьютеров.

Заключение

В статье рассмотрено состояние информационной безопасности электростанций, обращается внимание на то, что проблемы кибербезопасности в энергетическом секторе усугубляются в связи с распространением концепции интеллектуальных энергетических систем. Все большее количество электростанций используют соединения виртуальной частной сети (VPN) или веб-интерфейс для дистанционного управления электрооборудованием. Таким образом, необходимо защитить аутентификацию путем смены пароля для входа, на более сложный. Обновления системы безопасности имеют решающее значение для предотвращения кибератак путем закрытия уязвимостей, которые могут обеспечить доступ к системе без необходимости предоставления логина и пароля. Рассматриваются методы обеспечения информационной безопасности, обращается внимание на необходимость принятия мер по обеспечению информационной безопасности электростанций на государственном уровне. Оптимальные решения проблем информационной безопасности электростанций:

  1. ограничение использования беспроводного и удаленного доступа к системе SCADA без авторизации и аутентификации;
  2. информирование сотрудников о наличии киберугроз для программируемых логических микроконтроллеров, релейной защиты, и APCS;
  3. мониторинг компьютеров и устройств программных логических контроллеров на предмет наличия аномальных процессов в системе.

Список литературы

  1. Шемякин С.Н., Гельфанд А.М., Орлов Г.А. Критическая информационная инфраструктура. Сборник научных статей по итогам работы Международного научного форума. Том 1. – М.:2020. – 114 – 118 с.
  2. Карельский П.В., Ковцур М.М., Миняев А.А. Особенности развертывания Security Operations Center при организации удаленного доступа к инфраструктуре компании. Актуальные проблемы инфотелекомунникация в науке и образовании – М.:2021. – 433-437 с.
  3. Красов А.В., Гельфанд А.М., Коржик В.И., Котенко И.В., Петрив Р.Б., Сахаров Д.В., Ушаков И.А., Шариков П.И., Юркин Д.В. Построение доверенной вычислительной среды. М.:2019. – 108 с.
  4. Буйневич М.В., Ганов Г.А., Израилов К.Е. Интеллектуальный метод визуализации взаимодействий в интересах аудита информационной безопасности операционной системы. М.:2020. – 67 – 74 с.

Интересная статья? Поделись ей с другими: