28.07.2015

Кибербезопасность атомных электростанций: подход МАГАТЭ

Про новости от ЦБ уже было. Про новости от ФСТЭК и ФСБ тоже уже было. И про РКН тоже я на днях прошелся. Теперь мы поговорим про информационную безопасность от... МАГАТЭ. Да-да, от МАГАТЭ. Это тоже в своем роде регулятор, который курирует вопросы безопасности, включая и информационную, для атомных объектов. И если раньше эти вопросы не стояли на повестке дня под номером один, то за последнее время произошло несколько событий, который заставили МАГАТЭ пересмотреть свои приоритеты. И как результат, прошедшая в Вене 1-5 июня, глобальная конференция по кибербезопасности, организованная МАГАТЭ.


Мероприятие было не просто международным по названию, но действительно таковым. Я не помню мероприятий по ИБ (как тех, на которых я был, так и тех, на которых не был), на которых выступали бы представители такого количества государств. Обычно на международных конференциях выступают преимущественно американцы или европейцы (и то только из некоторых стран Евросоюза). В данном случае были представители всех материков, кроме Антарктиды и то по той причине, что на этом континенте нет атомных объектов :-)

Могу сказать, что тема ИБ на АЭС для МАГАТЭ относительно в новинку. Что-то схожее с темой ИБ АСУ ТП на иных КВО, но с некоторым опозданием. У МАГАТЭ до недавнего времени не было вообще никаких документов и рекомендаций по ИБ. Только в 2013-м году они начали активную работу в этом направлении. И вот специальная конференция, целиком посвященная данной тематике.



172 доклада (!) в течение пяти дней. Очевидно, что не все участники могли адекватно делиться опытом в области безопасности АЭС. Оно и понятно, не у всех были эти самые АЭС. Поэтому представители, например, Африки либо показывали прикольные картинки:


либо рассказывали об общем состоянии информационной безопасности в своих странах, в которых атомные электростанции отсутствуют. Кто-то (например, представители Танзании, Малави и других стран не на слуху) выступали без презентаций.


Дальше попробую высказать то, что мне запомнилось или понравилось. Во-первых, меня удивило активное продвижение идеи подключения АЭС к Интернет. Да, местами для передачи диагностической информации о состоянии объекта. Да, используется зонирование. Да, применяются однонаправленные МСЭ. Но... Прекрасно понимая, что человеку свойственно ошибаться, хочу отметить, что такая "вольность" и "удобство" могут дорого обойтись, если в настройке однонаправленных МСЭ будет сделана ошибка или в диагностические данные будут внесены несанкционированные изменения. Да и вообще, почему считается, что однонаправленный МСЭ защищает? От прямого онлайн-взаимодействия - да. А от загрузки по однонаправленному каналу вредоносного ПО - нет. Однако подключение к Интернет демонстрировали многие. И американцы:


и японцы:


В России в этом плане ситуация более безопасная. У нас АСУ ТП АЭС по требованиям Росэнергоатома должны быть изолированы от Интернет. Египтяне рассказывали о своем опыте применения Wi-Fi на критически важных объектах. Достаточно интересная презентация.

Египетские рекомендации по защищенному применению Wi-Fi на АЭС
Schneider Electric (вообще вендоров было не так уж и много среди выступающих - запомнил еще Cisco, ЛК, TM, Waterfall) активно продвигал идею удаленной (!) поддержки критически важных объектов, включая атомные. Разумеется, безопасным образом.

Достаточно интересно было видеть описания различных инцидентов, произошедших на атомных объектах в разных странах мира в разное время. И речь не о набившем оскомину Stuxnet, а о других случаях. Например, зафиксированых в Южной Корее:

или в Японии:


в США и других государствах. Всего сейчас насчитывается свыше 10 инцидентов на атомных электростанциях (преимущественно в США), исходящих извне и изнутри, имеющих злой умысел и произошедших случайно. Немного, но и немало, учитывая критичность объекта. Ни в одном из случаев не было жертв и экологических катастроф, но отключения электроэнергии (достаточно массовые) случались.

Достаточно много говорили о DBT (Design Base Threat) или проектных угрозах, которые анализируются с точки зрения безопасности (например, падение самолета на АЭС) и затем для них предлагаются методы нейтрализации. Обычно речь всегда шла о физической безопасности и только совсем недавно DBT стали расширяться за счет киберсоставляющей.


Было много интересных докладов о разработке моделей угроз ИБ (DBT) для АЭС в разных странах. Кто-то (американцы) использует автоматизированный инструментарий. Кто-то (голландцы) привлекает внешних консультантов. Кто-то (Зимбабве) использует метод Дельфи для определения угроз атомной инфраструктуре. Немало говорили про управление взаимоотношений с вендорами и управление цепочками поставок оборудования и ПО. Опыт здесь у разных стран разный.

Учитывая, что пока мало кто готов внедрять средства защиты на сами АЭС (обычно строят либо стену вокруг, либо правильно сегментируют), то влияние человеческого фактора нельзя недооценивать и поэтому очень много на конференции МАГАТЭ говорили про культуру ИБ и различные мероприятия по ее повышению. Например, сербское агенство по атомной безопасности проводит тренинги своих сотрудников в части борьбы с почтовыми сообщениями, содержащими фишинговые ссылки (это достаточно распространенная атака на АЭС, как оказалось). Сербы привели интересные результаты поведения своих сотрудников до проведения тренинга:

До
 и после:
После
Почти все участники пишут новую или адаптируют под киберсоставляющую существующие документы по безопасности АЭС. Кто-то пишет свое и адаптирует потом под требования МАГАТЭ. Кто-то наоборот - берет документы МАГАТЭ и дополняет их своими деталями и практикой.

Немцы разрабатывали свою нормативку на базе подходов МАГАТЭ
Канадцы написали свою нормативку по безопасности АЭС

Наиболее активны были представители США (у них, кстати, и инцидентов ИБ на АЭС происходило больше) - от них было больше всего докладов. Американские регуляторы активно проводят аудит всех атомных объектов. К концу 2012-го года должны были завершиться работы по разработке атомными объектами планов по кибербезопасности и реализации защитных мер против ключевых атак (сегментация и изоляция, контроль мобильных устройств, борьба с внутренним нарушителем, реализация защитных мер для ключевых активов, мониторинг безопасности). К 2017-му на АЭС должна быть реализована вся программа кибербезопасности, включая тренинги и внедрение процедур.

Были представители и РФ. Точнее три представителя - от ситуационного и кризисного центра Росатома, от РАН и от "Элерона". Не знаю, что сказать про эти доклады. Они у меня вызвали двойственные чувства. И это при том, что в России есть, что сказать в этой области.

Доклад Росатома
Много формул в докладе РАН
Доклад "Элерона" про ИБ в Росатоме
Уфффф... Устал писать :-) А ведь можно было говорить еще о многом - об управлении инцидентами, об анализе ПО, о внутренних нарушителях, об ИБ в системах физической безопасности и противоаварийной автоматике, о многом чем еще. Но пора закругляться. Выводов делать не буду - конференция не подразумевала его; скорее она позволила членам МАГАТЭ обменяться опытом в области информационной безопасности атомных объектов - нарождающейся теме в нашей сфере.