Риски кибербезопасности, связанные с устаревшими промышленными системами управления

Срок службы промышленного оборудования чуть более 25 лет. Теперь подумайте о мире вычислений 25 лет назад. Это была эпоха операционных систем Microsoft Windows 3.11 и Windows 95, изобретения Всемирной паутины Тимом Бернерсом-Ли и гибких дисков как основного средства автономного хранения данных. Гугла даже не существовало. Если сравнить это с современным состоянием информационных технологий, кажется, что прошло много веков назад. Тем не менее, уже тогда производители промышленного оборудования торопились внедрять программные технологии в свои продукты. Это раннее знакомство с программным обеспечением для промышленного управления оказалось головной болью для кибербезопасности, что было ясно продемонстрировано всего несколько дней назад. Но прежде чем мы перейдем к этому, сначала посмотрим, что такое промышленные системы управления.

Что такое промышленные системы управления?

Представьте себе крупную электростанцию или фабрику, которая обеспечивает масштабное производство. Внутри такого промышленного объекта находится некоторая форма системы промышленного контроля (ICS). Система будет включать промышленное оборудование, а также программное обеспечение, которое контролирует и контролирует оборудование. Современные АСУ ТП привели к существенному и измеримому повышению эффективности, безопасности и рентабельности. Однако внедрение программного обеспечения в производственные процессы также означает подверженность целому ряду киберрисков, которые могут повлиять на безопасность, нарушить работу и привести к финансовым затратам.

Риски кибербезопасности АСУ ТП

Вот некоторые из наиболее значительных рисков кибербезопасности, которые сегодня угрожают устаревшим промышленным системам управления:

Встроенная ОС Windows

Взгляд в прошлое равен 20/20, поэтому было бы несправедливо ожидать, что производители промышленного оборудования смогут точно предсказывать будущее. Тем не менее, глубокая интеграция компьютерных технологий, жизненный цикл которых обычно составляет два года, с промышленными технологиями, жизненный цикл которых составляет 25 лет, была рискованным и, возможно, неосмотрительным решением. Постоянные исправления безопасности, обновления ОС и обновления для защиты от вредоносных программ в конечном итоге приводят к тому, что промышленная система управления становится громоздкой, необслуживаемой и неэффективной бомбой замедленного действия для кибербезопасности. Предприятия могут разделять сети, устанавливать VPN и развертывать брандмауэры, но это лишь закроет некоторые лазейки. Достаточно, чтобы сотрудник из лучших побуждений подключил USB-накопитель или представил сторонний ноутбук, чтобы вредоносное ПО проникло в систему.

Программное обеспечение для корпоративных клиентов

Появление удобных операционных систем, простых языков программирования и простых в развертывании баз данных открыло перед производителями новые горизонты. Рынки систем диспетчерского управления и сбора данных (SCADA), распределенных систем управления (DCS) и систем управления производством (MES) взорвались, когда в действие вступили сотни компаний, производящих промышленные устройства.

Хотя многие из этих систем достаточно хорошо служили намеченной цели, они часто уделяли мало внимания вопросам кибербезопасности, таким как проверка переполнения буфера, шифрование данных, аутентификация на уровне пакетов/протоколов и основы безопасного кодирования.

Безопасность экосистемы

Промышленные среды не разрабатывались с мыслью о том, что в какой-то момент им потребуется запустить мини-центры обработки данных. Поскольку центры обработки данных были своего рода запоздалой мыслью, они не были оснащены инфраструктурой, необходимой для надежной и безопасной работы. Политики физической и компьютерной безопасности были незрелыми по сравнению со стандартными расположениями центров обработки данных. Тестирование на проникновение в киберпространство часто выявляло неприятные скрытые сюрпризы.

Кроме того, технология, используемая на производственных площадках, не является обычной ИТ-системой, которую по большей части может поддерживать собственная команда. Вместо этого существует сильная зависимость от поддержки поставщика, которая требует предоставления прямого удаленного доступа к производственному ядру. Это создает значительный риск для кибербезопасности, включая создание бэкдоров, которые злоумышленники могут использовать для проникновения в сеть.

Хотя ни одно предприятие не застраховано от кибератак, большое количество незащищенных и неподдерживаемых операционных систем в промышленных производственных средах делает их особенно уязвимыми с потенциально катастрофическими последствиями.

Меняющийся технологический ландшафт

Интернет вещей и Индустрия 4.0 радикально меняют технологический след на заводе. Устаревшие протоколы, такие как Modbus и Profibus, уступают место TCP/IP. Централизованная двухуровневая локальная архитектура эволюционирует в децентрализованные облачные/пограничные многоуровневые решения. Промышленные системы SCADA все больше интегрируются с платформами аналитики, ERP и MES.

Крупнейшие поставщики решений имеют финансовую мощь, чтобы вкладывать значительные средства в исследования и, таким образом, быстро развивать свои продукты. С другой стороны, более мелкие игроки обычно увязают в устаревших технологиях, которым уже несколько десятков лет, и на модернизацию которых потребуются годы. Пока это не будет сделано, решения останутся уязвимыми для кибератак.

Дефицит навыков

Многие руководители предприятий и другие специалисты по промышленным системам управления и автоматизации осознают опасность кибербезопасности, которую представляет старое оборудование. Однако они не всегда оснащены знаниями и навыками, необходимыми для противодействия рискам. Ситуация еще больше усложняется тем, что становится все труднее находить таланты, обладающие знаниями и опытом в области промышленных систем управления, в то время как предыдущие поколения разработчиков платформ промышленного управления уходят на пенсию.

Руководителей фабрик может разочаровать, казалось бы, непрекращающийся поток запросов на применение новых технологий. Многие не заинтересованы в том, чтобы стать экспертами по безопасности, но они понимают, что их организация нуждается в экономичном и подходящем плане управления угрозами. В то время как стандарты могут определять лучшие практики, управление безопасностью становится проблемой, когда оно противоречит основным бизнес-целям, таким как производительность и эффективность.

Время простоя, вызванное установкой исправлений

Среды ICS сталкиваются с определенными проблемами, с которыми не справляются обычные корпоративные системы. Обычно системы управления и автоматизации работают непрерывно, и любые остановки происходят из-за механического отказа, нехватки сырья или потери мощности. Тем не менее, работа ICS часто будет нарушена во время установки исправлений.

Для руководителя завода стоимость простоя, вызванного установкой исправлений, измеряемая с точки зрения производительности системы, эффективности, времени безотказной работы и безопасности, малопривлекательна. Это связано прежде всего с тем, что время простоя может увеличить риски для тщательно настроенной и высокотехнологичной системы. Это сопротивление может, в свою очередь, привести к сбоям в установке исправлений, что сделает АСУ ТП уязвимой для атак.

ИТ-команды должны возглавить кибербезопасность промышленных систем управления

Кибербезопасность промышленного производства будет в значительной степени зависеть от периферийной защиты в течение следующего десятилетия или около того, поскольку производители промышленного оборудования перепроектируют и реконструируют свои системы управления в тандеме с современными стандартами кибербезопасности. ИТ-отделы промышленных компаний должны в партнерстве с поставщиками технологий играть центральную роль в обеспечении безопасности устаревших промышленных систем управления или их замене новыми, более простыми в защите системами.