Пока мы пережевываем в деталях никому, в общем-то, не нужный закон о персональных данных, навязанный каждой организации и каждому предприятию разгоряченными стремлением в ВТО законодателями и регуляторами, увидевшими еще одну возможность порегулировать, каждый гражданин живет под гораздо более опасными рисками, имя которым по-русски – АСУ ТП, а во всем остальном мире – SCADA.
Когда мы садимся в самолет, экспресс «Сапсан» или местный дизель, кланяющийся каждому верстовому столбу, включаем свет в квартире или откручиваем кран с водой, мы попадаем под власть этой загадочной силы. Когда рушится Саяно-Шушенская ГЭС, разрушаются и заражают все вокруг реакторы Фукусимы, встает бромное желтое облако над Челябинском или оранжевое – над литейным цехом где-нибудь в Ижевске или Магнитогорске, эта загадочная АСУ ТП рыкает на цивилизацию и требует жертвоприношения. И жертвы приносятся, безвинные, бессмысленные и многочисленные.
Со времен станков с числовым программным управлением автоматизированные системы управления технологическими процессами (АСУ ТП) жили абсолютно отдельно от автоматизации предприятий и построения в них локальных вычислительных сетей. Офисные системы, коммерческие приложения и даже системы управления предприятиями (не по-русски - ERP) развивались по одним правилам, в которых постепенно появлялись средства защиты от вредоносного контента (антивирусной, анти-фрод, анти-шпионской и прочей анти-защиты), обнаружения и предупреждения вторжений, межсетевого экранирования, противодействия несанкционированному доступу и далее со всеми остановками. АСУ ТП сначала жили в мире DOS (очень долго, а некоторые – и до сих пор), затем - Windows, UNIX или Linux, но со своими, почему-то совсем другими правилами.
Когда все АСУ ТП существовали совсем изолированно, не выходя за периметр предприятия, никто особенно вопросами безопасности этих систем не задавался. Ими в советской и пост-советской экономике командовали главные инженеры, энергетики, технологи, не подпуская пижонов (тех, которых теперь называют CIO или ДИС), строивших сети на клиент-серверной технологии, к своей святая святых. Между тем, до сих пор многие специалисты в США считают самым успешным примером применения кибер-оружия взрыв газопровода в Сибири в 80-е годы, ставший возможным в результате программной закладки в поставленную американцами систему управления этим самым газопроводом.
А уж когда АСУ ТП стали активно подключаться к Интернету (потому как разработчик железа, софта или сервисная организация находятся далеко от самого предприятия), для их построения, как гордо рапортовали интеграторы, начали активно применяться виртуальные локальные сети. Закончилось это хаосом на иранских центрифугах, зараженных Stuxnet’ом и путавших день с ночью, старт – с остановом, а недопустимую норму – с минимальной, стало ясно, что так дальше жить нельзя.
А как можно? Главные инженеры, технологи и энергетики этого не знали. Директора информационных служб – тоже, потому что их раньше в этот огород не допускали. Руководители служб информационной и просто безопасности – тем более, потому как они про эти АСУ ТП не знали вообще ничего.
И вдруг многим, кто интересуется темой, стало очень страшно. Не специалистам даже – простым обывателям, садящимся в эти самые поезда и самолеты или живущим около ядерных и гидро- станций, металлургических заводов и очистных сооружений, железнодорожных узлов и складов Министерства обороны.
Страшно, потому что масштаб возможных последствий нарушений в этих системах потенциально является катастрофическим. Заинтересованными в решении этой назревшей, как фурункул, проблемы должны быть владельцы бизнеса и топ-менеджеры, отвечающие за производство, поскольку это - их прямая зона ответственности. Но, по ряду причин интереса, особого нет.
Однако интерес проявили компании, предлагающие услуги на рынке ИБ. Это – новый сегмент, и весьма перспективный. Но достучаться они до менеджмента не могут в силу простой причины – языки общения у них разные. ИБ-компании привыкли иметь дело со своими коллегами у заказчика, в самом сложном случае – с ИТ-директорами. А здесь потенциальным заказчиком является главный инженер, главный технолог, главный энергетик, замруководителя по производству. Как с ними говорить? О чем? Об эксплойтах, уязвимостях нулевого дня и пенетрейшн-тесте? Бесполезно. Заказчики все больше про невмешательство в технологический процесс, непрерывность, невозможность остановки процесса для всяких там непонятных тестов. Вот и не сходятся они никак вместе.
Ни простые проблемы управления идентификацией, доступом и правами, ни сложные – поиска недекларированных возможностей, критичных уязвимостей, возможностей враждебных воздействий при создании АСУ ТП, как правило, не решаются. И обеспечения безопасности АСУ ТП на предприятии нередко нет никакого вообще.
Ситуация усугубляется тем, что, как показывает история со Stuxnet, защититься от целевой атаки с использованием вредоносного кода, написанного специально под жертву, практически невозможно. Более того, червь эксплуатировал для атаки и скрытия своих действий наиболее распространенные антивирусные программы. На новые вызовы, получившие название Advanced Persistent Threat, адекватный ответ пока не получен. В этих условиях неизбежно приходится думать о возврате к изоляции программной среды и ее замкнутости, отключению АСУ ТП от Интернета, что не всегда возможно по технологическим причинам. Все это еще более усложняет и без того непростую ситуацию.
Для решения проблемы нужны очень квалифицированные специалисты, понимающие архитектуру именно АСУ ТП, особенности ее функционирования, умеющие анализировать специфический софт, строить сценарии развития событий в случаях возникновения нарушений, доносить информацию владельцам технологических процессов в понятных им терминах. Нужен тщательный анализ лучших практик по западным стандартам SCADA, грамотный перевод и адаптация уже существующих в них стандартов обеспечения безопасности. Все это – серьезные вложения с неочевидной отдачей. Поэтому заниматься безопасностью АСУ ТП хотят очень многие, но они предпочитают не инвестировать в исследования, а тренироваться на клиентах, которым такой подход совсем не нравится. Вот и не срастаются проекты при очевидной актуальности проблемы.
А сталь плавится, самолеты летают, турбины крутятся. И каждая новая катастрофа – на 99,9% результат сбоя, изъяна или несовершенства АСУ ТП.
Может, лучше заняться этим, а не искать способы еще раз надавить на предприятия, получившие вдобавок к тому что было, гордое имя «операторов персональных данных»? Если жахнет очередная АСУ ТП, мало никому опять не покажется. А персданные... Жили же мы как-то и без этого закона...
