ASUTRADE.RU — ресурс для специалистов в области продаж систем АСУ ТП, SCADA-пакетов, промышленных контроллеров и КИПиА.

Действия вируса StuxNet на иранской атомной станции привлекли внимание к проблеме обеспечения ИБ в АСУТП.

Вирус, которому профессиональное сообщество присвоило имя Rootkit.Win32.Stuxnet.a, оказывает вредоносное воздействие на используемые в АСУТП контроллеры Siemens и распространяется через флеш-накопители. Подключать их в машины, на которых развернуты системы АСУТП, регламенты предприятий запрещают. Но насколько строго эти регламенты соблюдаются и насколько строго контролируется соблюдение регламентов?

Устаревшая производственная база промышленных предприятий, требующая модернизации или полной замены, необходимость повышения эффективности производства и снижения капитальных и операционных затрат приводят ко все более широкому использованию ИТ-технологий в сфере АСУ ТП и к интеграции АСУ ТП с системами управления предприятия. Появляются распределенные и локальные сети АСУ ТП, построенные с использованием стандартного телекоммуникационного оборудования IP/Ethernet, происходит их объединение с корпоративными сетями для обмена информацией, в системах автоматизации широко используются популярные ОС, БД, приложения и протоколы. Все эти процессы свидетельствуют о том, что границы между ИТ и АСУ ТП стираются и становятся все более открытыми. В свою очередь столь глубокое проникновение информационных технологий в область АСУ ТП делает задачу защиты информации, которая там обрабатывается, передается и хранится, критически важной. Любое нарушение доступности информации, ее целостности или конфиденциальности может привести к нарушению технологического процесса (ТП) с самыми негативными последствиями. Решение этих задач призвана обеспечить политика информационной безопасности (ИБ) предприятия. Очевидно, наиболее запоминающимся событием 2010 года, связанным с проблемами ИБ в АСУ ТП, стало обнаружение червя Stuxnet, созданного специально для атаки на сервера АСУ ТП и ПЛК и, по мнению ряда экспертов, ставившего своей целью блокирование работы центра ядерных исследований в иранском городе Натанз. Первая публичная информация о Stuxnet появилась июне 2010 года, хотя его ранние версии были созданы еще год назад. И хотя по отдельности решения, используемые в Stuxnet, встречались и раньше, их реализацию в одной вредоносной программе эксперты увидели впервые.

Перечислим некоторых из них:

• использование для подписи зараженных драйверовцифровых сертификатов, украденных у двух производителей комплектующих для ПК;спользование четырех неизвестных ранее уязвимостей в операционной системе Windows;

• возможность самообновления через Интернет и удаленного выполнения команд;

• возможность самообновления через ЛВС от других зараженных ПК;

• обход антивирусов и хостовых систем предотвращения вторжения;

• заражение приложений АСУ ТП SiemensWinCC/Step7;

• заражение сменных USB-накопителей;

сложность и большой объем программного кода, на создание которого могло потребоваться около полугода работы команды из нескольких программистов с использованием тестового оборудования и специализированного ПО. Самыми интересными особенностями Stuxnet являются возможность встраиваться в обмен данными между приложениями АСУ ТП и ПЛК, возможность получать доступ к передаваемой информации, модифицировать ее и скрывать свое присутствие. Благодаря способности перехвата команд червь внедрял свой код в ПЛК и, обнаружив подключение двух конкретных типов частотно-регулируемых электроприводов, начинал подавать команды на резкое изменение числа оборотов двигателей центрифуг. Без всяких сомнений, Stuxnet является примером нового кибер-оружия, разработка которого вряд ли была бы возможна без помощи со стороны государственных спецслужб. И хотя повторение такого объема работы для менее значимых целей затруднительно, потенциальные злоумышленники смогут перенять новые подходы и технологии. А для специалистов в области ИБ Stuxnet фактически подтвердил опасения о незащищенности АСУ ТП и необходимости принятия в этой области срочных мер.