V Международная студенческая научная конференция Студенческий научный форум - 2013

Система сбора данных и оперативного диспетчерского управления (англ., SCADA - Supervisory Control And Data Acquisition) – это автоматизированная система управления сложными технологическими процессами. Подобные системы сейчас очень часто применяются. Такое широкое распространение объясняется тем, что с помощью SCADA системы можно не только эффективно управлять сложными технологическими процессами, но и полностью их автоматизировать.

Автоматизированные системы управления в большинстве случаев строятся по однотипным схемам, конструкторским решениям и основаны на одинаковом программном обеспечении. SCADA систему можно разбить на три основных уровня. На первом уровне находятся станки или исполнительные двигатели, измерительные приборы и датчики связанные с программируемыми логическими контролерами (PLC). На втором уровне находится сеть передачи данных и на третьем уровне располагается компьютер с программным обеспечением для сбора, анализа, индикации информации в понятной и удобной для человека форме (человека­–машинный интерфейс). Типовая топология технологической сети представлена на рисунке 1.

Рисунок 1 – Типовая топология технологической сети

В результате, управление и мониторинг состояния объекта аккумулируется в нескольких компьютерах, которые зачастую называться АРМ (автоматизированное рабочее место). Подобное сосредоточение способствует не только к упрощённому контролю над системой, но и к потенциальной возможности вывести систему из строя при помощи компьютерного вируса. По этой причине подобные системы должны быть устойчивы к вирусам и хакерским атакам, но, к сожалению, нынешний уровень защищённости SCADA систем является очень низким. Доказательство хакерских взломов служат следующие примеры: 26 сентября 2010 года было объявлено об обнаружение компьютерного вируса Stuxnet на атомной электростанции в Бушере в Иране. Действия вируса были направлены на поиск программного обеспечение управляющие SCADA системами. При нахождение нужной программы вирус брал ее под контроль и со временем менял режимы работы оборудования и выводил его из строя. Вирус Stuxnet проникал на компьютеры не только через локальную сеть, но и через USB флэш накопители, что позволило ему заразить компьютеры не подключённые к сети. В 2011 году 21 ноября сообщалось о том, что хакеры получили неавторизированный доступ к контролирующей системе и уничтожили насос, который использовался компанией водоснабжения США.

Помимо персональных компьютеров целью могут стать и PLC контролеры, что также немаловажно, так как если злоумышленнику удастся вывести из строя контролер, то результатом будет остановка исполнительного механизма, или более худший сценарий, если удастся, перепрограммировать PLC, чтобы он отправлял неверные данные. Подтверждением возможности такой атаки служат исследования, представленные 18-19 января 2012 году во Флориде на конференции S4, на которой были представлены данные группы исследователей из американской компании Digital Bond, изучавшей шесть популярных программируемых логических контроллеров (PLC), которые используются в различных элементах критической инфраструктуры США и на промышленных объектах [1]. Во всех контроллерах найдены уязвимости, а в пяти из них сложность создания эксплойтов минимальна. Исследованию подверглись устройства пяти компаний: General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics и Schweitzer Engineering Laboratories.

Проверялись модели:

General Electric D20ME

Koyo/Direct LOGIC H4-ES

Rockwell Automation/Allen-Bradley ControlLogix

Rockwell Automation/Allen-Bradley MicroLogix

Schneider Electric Modicon Quantum

Schweitzer SEL-2032 (коммуникационный модуль)

Результаты так называемого «проекта Basecamp» собраны в рисунке 2. Красный крест означает, что уязвимость легко эксплуатируемая, жёлтый восклицательный знак — уязвимость есть, но эксплойт сделать трудно. Как видим, зелёных пунктов (отсутствие уязвимости) в обследованных системах почти нет.

Рисунок 2 – Суммарная информация по проекту «Basecamp».

Также некоторые системы управления имеют подключения к сети интернет и к ним возможно подключиться удаленно. Для их поиска можно воспользоваться стандартными поисковыми машинами (Google, Yahoo, Bing), а также и специализированными базами ShodanHQ, Every Routable IP Project. На рисунке 3 приведен screenshot c ShodanHQ с запросам cimplicity (ПО клиент/сервер фирмы General Electric). Как можно заметить с помощью проекта ShodanHQ удалось найти 139 доступных из интернета SCADA систем [2].

Рисунок 3 – Поиск SCADA систем в ShodanHQ.

Используя Every Routable IP Project было найдено 238 серверов SCADA систем в сети интернет (рисунок 4) [3].

Рисунок 4 – Поиск SCADA систем в Every Routable IP Project.

По данным приведенным компанией Positive Technologies (российская компания-эксперт, лидер рынка систем анализа защищенности и соответствия стандартам в сфере практической информационной безопасности) в интернете есть большое количество систем АСУ ТП к которым можно подключиться через сети интернет. Процентное отношение доступных систем по странам приведено на рисунке 5 [4].

Рисунок 5 – Процентное отношение доступных SCADA систем из интернета по странам.

Все доступные в интернете АСУ ТП системы можно разделить по компонентам к которым можно подключиться, а именно Hardware, HMI, PLC, SCADA, SCADA/HMI (рисунок 6) [4].

Рисунок 6 – Распределение компонентов SCADA систем в интернете.

Исходя из превиденных фактов можно сказать, что уровень защищённости систем АСУ ТП является очень низким. Причинами, приведшими к данной ситуации, являются: наличие ошибок в программном обеспечении PC и PLC; неверная политика пользователей HMI, позволяющая запускать посторонний код с максимальными правами на выполнение; отсутствие шифрования при передаче данных и команд по локальной сети; наличие паролей в открытой форме и в общедоступных директориях; отсутствие антивируса и firewall на компьютерах HMI или если он присутствует, но не обновляется; человеческий фактор в частности пренебрежение правилами безопасности сотрудниками предприятия.

Предполагаемые пути решения проблемы. Первый предполагает использование уже имеющихся способов и приемов защиты информации, такие как применение программ для шифрования данных и соединения. Но этот способ не применим повсеместно, так как не все PLC и MODBUS поддерживают данную функцию. В результате становиться вопрос об обновление программного обеспечении или замене оборудования. Также необходимо правильно спроектировать и настроить сеть между всеми её званиями. А именно не должно быть прямого доступа к компьютерам HMI и PLC из сети интернет. Доступ допустим через брандмауэры и firewall и только если это необходимо. При этом на самих HMI должны быть установлены антивирусы и обязательно их постоянное обновление. При всем выше перечисленном немаловажным является правильная политика пользователя, которая будет регламентировать уровень привилегий на запуск программ и других действий в системе. Также необходимо проверять систему на защищённость с помощью специального программного обеспечения таково как SCADA-аудитор, Maxpatrol [5]. Перечисленные способы защиты не единственные, их очень много. Но все они имеют свои недостатки и при этом они известны большому кругу специалистов, а широкое распространите и наличие программ в свободном доступе позволяет получить копию программы для изучения и поиска новых уязвимостей. Помимо этого все имеющиеся системы SCADA построены на операционных системах, Windows и Linux, которые также имеют множество недостатков. В результате данное решение является довольно дешевым и обеспечивает высокий уровень защиты, но вероятность проникновения и взлома все же остаётся довольно высокой в сравнении со вторым способом решения проблемы.

Второй способ решения проблемы предполагает фундаментальный подход, а именно: создание новой операционной системы, полная перестройка промышленных сетей передачи данных, создание стандартов, обязывающих производителей SCADA систем и предприятий эксплуатирующих их, соответствовать не только высоким нормам надёжности работы, но и нормам информационной безопасности. Основными критериями новой операционной системы должны быть:

• операционная система должна быть написана с нуля по причине того, что нынешние операционные системы имеют множество уязвимостей,

• в системе должно быть множество систем самопроверки для контроля её целостности,

• в среде должна быть мощная система защиты от различных атак,

• система должна содержать минимум кода, для исключения появления уязвимостей.

В заключение, основываясь на вышесказанном, можно сделать вывод, что нынешний уровень защищённости систем АСУ ТП является очень низким. И если учесть то, что современные системы были спроектированные без учета информационной безопасности и со сроком эксплуатации в 10 лет, то встает реальная угроза взлома, заражения и неправильной работы оборудования, результатом которого может быть аварийная ситуация. Такое недопустимо в обычном производстве и особенно на опасных и стратегически важных объектах. Именно поэтому все большее количество специалистов в области информационной безопасности исследуют системы автоматизации производства и находят в них новые уязвимости.

Нынешняя ситуация со SCADA системами показала, что применение информационных технологий без учета кибератаки может привести к тяжелым последствиям. Учитывая дальнейшую интеграцию информационных технологий в другие сферы без должного уровня защиты, то очень вероятно появления новых инцидентов связанных с кибервзломом.

Список использованных источников:

1. Показательный взлом шести популярных PLC-контроллеров. Режим доступа: [http://www.xakep.ru/post/58177/default.asp 25.01.2012].

2. SHODAN - Computer Search Engine. Режим доступа: [http://www.shodanhq.com/ 10.11.2012].

3. ERIPP - Every Routable IP Project. Режим доступа: [http://eripp.com/?ipdb 10.11.2012].

4. Грицай Г., Тиморин А. и др. Безопасность промышленных систем в цифрах. Режим доступа: [http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf]

5. Лукацкий А. Отечественные сканеры безопасности АСУ ТП. Режим доступа: [http://www.securitylab.ru/blog/personal/Business_without_danger/25435.php]

Код для цитирования: Скопировать