Главной ценностью центров обработки данных является ИТ-инфраструктура и ее вычислительные мощности. Защищая их от киберпреступников, часто забывают о том, что инженерные сети также могут быть целью злоумышленников и ключом к нарушению работы ЦОДов.
Когда говорят о защите центра обработки данных от сбоев, то чаще всего имеют в виду грамотную реализацию инженерных систем и управление ими. Основные и резервные системы электропитания, отопление, вентиляция и кондиционирование, пожаротушение и охранные модули — от всего перечисленного напрямую зависит бесперебойная работа ЦОД.
А когда говорят об информационной безопасности ЦОД, то в первую очередь имеют в виду, что целью злоумышленников являются его вычислительные мощности и размещенная в нем пользовательская информация. Иными словами, главная ценность ЦОД — его ИТ-инфраструктура.
Казалось бы, в этом разделении есть безупречная логика, и никакой связи между первым и вторым не существует. Но дело в том, что все современные производители инженерных систем давно превратились в ИТ-компании, выпускающие свое железо и ПО, а любая современная (а других в ЦОД и быть не может) инженерная система представляет из себя самостоятельную ИТ-инфраструктуру, сложность которой растет пропорционально объемам выполняемых ею задач. И здесь уже начинает просматриваться прямое пересечение.
Доступ везде и отовсюду
Безопасность физической инфраструктуры (читай — инженерных систем) всегда зависела только от высоты забора и тщательности досмотра на проходной. Работать с этими средствами контроля люди учились столетиями и освоили их прекрасно. Однако с быстрым превращением инженерных систем в ИТ-инфраструктуру (и даже сращиванием их с корпоративными сетями) эти средства защиты перестали давать нужный уровень безопасности. Инженерные системы быстро обрели удобные средства удаленного контроля, наладки и управления. Забор и проходная сегодня защищают только от кражи инженерного оборудования, но никак не от постороннего вмешательства в его работу (с благими или не очень благими намерениями).
Стоит понимать, что цифровизация инженерных систем, как и сопутствующие возможности удаленного управления ими, — это не блажь, а производственная необходимость. Зачастую нужный прямо сейчас специалист по контролю или настройке оборудования попросту не может приехать лично, как это, кстати, и происходит сегодня из-за карантинных мер. Это влечет за собой повышенный риск нарушения информационной безопасности, и нужно быть к нему готовым. Но нередко этот риск попросту не воспринимается всерьез. И из-за экономии времени или недостатка осведомленности инженерное оборудование попросту выставляется в интернет, для того, чтобы в дальнейшем им управлять. При этом оператор ЦОД зачастую об этом даже не знает.
В ходе исследования, которое мы провели в 2019 г., было выявлено более 200 тыс. компонентов АСУ ТП, доступных в интернете. Причем существенную долю среди них представляют системы управления умными зданиями и электропитанием производства Honeywell, Lantronix, Rockwell Automation, Siemens, Schneider Electric.
Инженерная система как цель и случайная жертва
Число кибератак, затрагивающих инженерные системы и приносящих многомиллионные убытки, растет. Это и инциденты, связанные с распространением вирусов-шифровальщиков (атаки на логистического гиганта Maersk, одного из крупнейших производителей алюминия Norsk Hydro, автомобильные заводы Honda), и факты целенаправленного нарушения работы систем распределения электроэнергии на Украине (2015-2016 гг.) и в Венесуэле (2019 г.), и сложные кибератаки с целью саботажа производственных процессов (как, например, это случилось с нефтехимическим заводом Saudi Aramco в 2018 г.).
В 2017 г., когда вовсю бушевала эпидемия шифровальщика WannaCry, департамент внутренней безопасности США даже был вынужден выпустить официальное оповещение, в котором были собраны рекомендации всех ведущих вендоров инженерного оборудования и систем (ABB, General Electric, Honeywell, Rockwell Automation, Siemens, Schneider Electric) по предотвращению ущерба, наносимого вредоносным ПО.
К сожалению, инженерные системы чаще всего оказываются слабо защищены от злонамеренных действий. И причины кроются в том числе в использовании устаревших операционных систем, в отсутствии установленных патчей (включая отсутствие обновлений по производственной необходимости), в отсутствии паролей, а иногда и вообще аутентификации как функции в ПО и оборудовании.
Инженерная система может интересовать злоумышленников и как конечный объект атаки, и как один из этапов проникновения во всю остальную ИТ-инфраструктуру. Например, в ходе кибератаки на одного из крупнейших американских ретейлеров Target, его ИТ-инфраструктура была скомпрометирована через подрядчика, инженерную компанию Fazio Mechanical Services — поставщика систем отопления, вентиляции и кондиционирования.
Вернемся к теме инженерных систем ЦОД. Понятно, к чему может привести умышленное нарушение работы систем электроснабжения или кондиционирования, за примерами ходить далеко не нужно: проблемы с электропитанием в ЦОД British Airways в 2017 г. вылились в отмену 672 рейсов компании и иском на $75 млн к CBRE, оператору ЦОД.
Подобного рода инциденты могут быть спровоцированы действиями злоумышленника, действующего удаленно и скрыто. Вовремя его выявить или даже расследовать инцидент довольно сложно. Причиной тому является отсутствие поставленных задач по мониторингу ИБ инженерных систем и необходимых технических средств для этого.
Как защитить сети инженерных систем
К счастью, последнее время проблемам защиты инженерных систем начинают уделять больше внимания как производители инженерного оборудования, так и сами операторы ЦОД: факт решения задач контроля ИБ в инженерных системах становится не только одним из важнейших пунктов в обеспечении защиты всего ЦОД, но и может рассматриваться как конкурентное преимущество.
Повышению кибербезопасности инженерных систем ЦОД способствует в том числе появление на рынке новых продуктов для решения этих задач. В первую очередь это системы глубокого анализа трафика технологических систем (например, PT Industrial Security Incident Manager). Они позволяют обеспечить эффективный мониторинг инженерных сетей с учетом их специфики и обилием проприетарных сетевых протоколов (BACnet, S7Comm, UMAS и т.д.). Кроме того, такие решения легко встраиваются в существующую систему защиты информационной безопасности ЦОД. Для специалистов SOC (security operations center) центров обработки данных инженерные системы всегда были «слепой зоной», но внедрение и интеграция таких продуктов с SIEM позволяет инженерам SOC полностью контролировать каждое звено — от системы пожаротушения до ИТ-инфраструктуры самого ЦОД.
Тема государственного регулирования выходит за рамки этой статьи, но нельзя не отметить, что вопрос защиты инженерных систем ЦОД может всплыть в самый неподходящий момент. Требования ФЗ-187 привели к тому, что организации ИТ-индустрии, особенно операторы связи, ЦОД и облачных инфраструктур, оказались в достаточно сложном положении. Определяющий фактор для отнесения организации к субъектам КИИ — не деятельность в одной из «критических» сфер, а принадлежность к этой организации хотя бы одного объекта ИТ-инфраструктуры, который в одной из этих сфер используется. Например, деятельностью в области здравоохранения занимается министерство здравоохранения субъекта Федерации, но владельцем всех используемых им информационных систем является отдельное государственное унитарное предприятие — информационно-аналитический центр. В этом случае субъектом КИИ будет являться такой центр.
Впрочем, хочется надеяться, что внимание к проблемам кибербезопасности инженерных систем станет нормой для отрасли, не вследствие требований регуляторов, а из соображений здравого смысла, ведь вовремя узнать о том, что электропитанием вашего ЦОД управляет посторонний человек, — ценно. В прямом смысле слова. Если даже этот посторонний не имеет желания самостоятельно портить вам жизнь.
По данным нашего исследования, одна из причин ежегодного роста числа кибератак (за 2019 г. их число увеличилось на 19%) — легкий вход в мир киберпреступности. Сформировался также новый вид предложения по продаже доступа в сеть взломанных компаний. Для множества низкоквалифицированных хакеров (и тут вспомним, что инженерные сети часто оказываются выставленными наружу без всякой защиты) сейчас это основной способ заработка: отыскать легкую добычу и выставить на продажу. Вполне может статься так, что удаленный доступ в вашу инженерную систему уже выставлен на продажу на каком-нибудь форуме в составе оптового предложения, долларов за 10. Как это случилось в 2018 г. с одним крупным международным аэропортом.
Загляните в сети ваших инженерных систем прямо сегодня.
Поделиться
