IoT в промышленности: где возникают риски

Интернет вещей вывел промышленный сектор и ряд ключевых отраслей экономики на новый уровень. Благодаря умным датчикам и другим устройствам стало возможным устранять неполадки до появления сбоев, а цифровые двойники позволяют избегать дорогостоящих ошибок за счет прогонов в виртуальной среде. Однако IoT одновременно повысил уязвимость предприятий, поскольку сами сети умных устройств стали потенциальными объектами кибератак. Расскажу о том, где возникают риски и как их минимизировать.

Прежде чем браться за обсуждение вопросов, связанных с Интернетом вещей (IoT), стоит подчеркнуть, что этот термин охватывает две основные категории. Первая – это пользовательские IoT-устройства, то есть взаимодействие осуществляется по модели "человек – машина". Сюда, например, можно отнести голосовые помощники и другие предметы умного дома. Вторая категория – взаимодействие по модели "машина – машина". Это, как правило, системы, относящиеся к сетям управления производственными процессами, в частности к АСУ ТП.

Уязвимость IoT-устройств

В контексте промышленного применения IoT основное внимание сосредоточено на системах управления производством и соответствующих сетях. Такие системы обычно имеют многоуровневую архитектуру. На нижнем уровне находятся непосредственно устройства IoT – датчики, исполнительные механизмы и другие элементы, собирающие данные или влияющие на производственные процессы. Выше располагаются контроллеры, управляющие этими устройствами. Еще выше – автоматизированные рабочие места и информационные системы, обеспечивающие общее управление производством. Над всей этой структурой могут находиться бизнесприложения и системы интеграции, осуществляющие высокоуровневое управление. Таким образом, чаще всего системы управления производством интегрированы в единую ИТ-инфраструктуру предприятия.

Итак, с точки зрения архитектуры можно выделить четыре упомянутых выше основных уровня, и все они потенциально уязвимы. Современные производственные системы нередко используют общую сетевую инфраструктуру, включая Ethernet и протоколы TCP/IP. На таких устройствах работает соответствующее программное обеспечение, что делает возможным удаленное воздействие.

Как происходит компрометация

Уязвимости системы могут присутствовать на всех уровнях, различается лишь масштаб возможного ущерба. Злоумышленник может нарушить производственный процесс, повлияв на отдельный исполнительный механизм или группу механизмов, получив несанкционированный доступ к контроллеру. То есть в одном случае может пострадать датчик, работа которого не особенно критична для бизнеса. В другом – искажение данных (к примеру, от датчика давления на трубопроводе, перекачивающем газ или нефть) способно вызвать каскадные сбои в сопряженных процессах. Возможно также нарушение функционирования всей системы при получении доступа к административной станции. Чем выше уровень автоматизации и современнее оборудование, тем более значимыми могут быть последствия вмешательства. Интегрированные системы управления производством особенно чувствительны к подобным угрозам.

Компрометация таких систем очень часто происходит через сеть. Сетевая связанность возникает в двух основных случаях. Первый – это взаимодействие между общей информационной сетью и сетью управления производством. Для обеспечения развязки между ними иногда устанавливаются физически отдельные устройства, обеспечивающие одностороннюю передачу данных, так называемые дата-диоды.

Второй сценарий – взаимодействие через сеть, возникающее при удаленном подключении собственных специалистов и/или субподрядчиков, осуществляющих техническое обслуживание систем управления производством. В таких случаях вероятность компрометации значительно возрастает.

В контексте физического доступа ситуацию можно разделить на два типа. В случае централизованных предприятий возможен контроль физического доступа сотрудников к системам управления производством. Однако для распределенных систем, например систем электроснабжения, транспортировки газа или нефти, которые расположены в слабоконтролируемых зонах, риски физического вмешательства возрастают. Причем угрозы касаются не только устройств управления производством, но и всей инфраструктуры в целом.

Не имеет значения, было ли выведено из строя конкретное устройство или повреждены коммуникационные линии, – в обоих случаях это может привести к сбоям в подаче электроэнергии или в поставке энергоресурсов. При наличии физического контроля инфраструктуры на территории предприятия основной риск связан именно с сетевым доступом. Еще раз подчеркну, что особенно важно контролировать удаленный доступ.

Если система управления производством расположена на открытых и неконтролируемых участках, актуальность контроля доступа существенно возрастает. В таких условиях для нарушения работоспособности системы злоумышленники могут использовать как сетевые уязвимости, так и непосредственно физический доступ.

Типичные ошибки при подключении IoT-устройств

Одна из самых распространенных, наиболее серьезных и зачастую фатальных ошибок при подключении IoT-устройств – их интеграция напрямую во внутреннюю корпоративную сеть. Причина заключается в особенностях этих устройств: в отличие от персональных компьютеров с современными операционными системами, они гораздо более статичны. На них могут работать устаревшие операционные системы, часто отсутствуют механизмы обновления, направленные на устранение уязвимостей. Эти устройства, как правило, не подвергаются изменениям после ввода в эксплуатацию, поскольку являются частью протестированных и надежных решений, которые функционируют десятилетиями. В этой связи любое вмешательство в такую систему считается нежелательным.

Подключение подобных устройств к внутренней сети делает их уязвимыми для атак, включая методы, которые в корпоративных информационных сетях уже давно не встречаются. Например, может использоваться IoT-устройство, которое работает на Windows 95 или устаревшей версии Linux, становясь вероятной входной точкой для злоумышленников.

Для обеспечения безопасной и надежной работы необходимо выносить IoT-устройства в отдельные сегменты сети. Между этими сегментами и основной корпоративной сетью должны устанавливаться сетевые защитные механизмы, такие как межсетевые экраны, в идеале – с поддержкой индустриальных протоколов. При этом даже базовые межсетевые экраны обеспечивают приемлемую изоляцию. В условиях высокой критичности применяются шлюзы, блокирующие прямой обмен данными, например уже упомянутые дата-диоды.

В целом же важно и необходимо обеспечивать четкую сегментацию на всех четырех уровнях системы управления производством.

Переход на отечественные решения

Несмотря на укрепление технологического суверенитета, зарубежные решения продолжают использоваться достаточно широко. Это связано с тем, что временная остановка существующего производственного процесса, особенно на крупных предприятиях, требует серьезных ресурсов, в том числе финансовых. Переход с западных решений на российские занимает немало времени. Масштабное внедрение российских альтернатив – это долгосрочный процесс, рассчитанный на многие годы, и быстрых изменений здесь ожидать не приходится.

С точки зрения уровня защищенности и рисков ситуация также складывается не в пользу отечественных решений. Разработки международных поставщиков, хорошо зарекомендовавшие себя на рынке, обладают широкой функциональностью и отлаженными процессами управления уязвимостями и обновления программного обеспечения. Российские компании вынуждены в сжатые сроки стремительно наращивать функциональность своих решений, чтобы догонять зарубежных конкурентов. И в условиях высоких темпов этой гонки вопросы информационной безопасности нередко отходят на второй план.

Новые российские решения, появляющиеся на рынке, как правило, содержат большее количество уязвимостей, чем у зрелых производителей. Основное внимание сосредоточено на развитии функциональности, тогда как реализация нефункциональных требований, в том числе требований информационной безопасности, отстает. В этой связи возрастает значение архитектурных мер защиты, в частности сегментации сетей управления производством. Кроме того, необходимо использовать не только межсетевые экраны на границах сегментов, но и системы обнаружения и предотвращения вторжений. Эти системы позволяют реализовать механизм виртуального патчинга – выявлять попытки эксплуатации уязвимостей и блокировать атаки без необходимости немедленного обновления программного обеспечения уязвимого устройства.

Поэтому сейчас, пока полный технологический суверенитет в этом направлении еще не достигнут, ключевым моментом в обеспечении киберустойчивости остается грамотная архитектура защиты. Пока отечественные производители наращивают компетенции, только комплексный подход к информационной безопасности позволит минимизировать уязвимости и сохранить стабильность производственных процессов в условиях меняющейся технологической среды.