Специфика защиты от кибератак АСУ ТП КВО в РФ и США

[Alex Rail]

Специфика защиты от кибератак АСУ ТП КВО в РФ и США

В марте с.г. в Москве прошла 4-ая конференция «Информационная безопасность АСУ ТП КВО», были приняты рекомендации, но, по мнению ряда специалистов, важные вопросы осталась без внимания. Ниже будут кратко рассмотрены особенности защиты ИБ АСУ ТП КВО в РФ и развитых странах.

По мнению экспертов, в 2015 – 2020 годах в США и РФ запущена «на полные обороты» новая гонка вооружений в космосе, которая позволяет победителю иметь ключевые военные преимущества (нарушается ракетно-ядерный баланс сил, существующий 67 лет). Основными видами оружия будут:

• кинетическое оружие (применяется с американских беспилотных космических кораблей «X-37B»), преодолевает все системы ПРО и ПВО мира, способно уничтожить всю систему жизнеобеспечения Москвы за 20 минут после получения приказа, (отсутствует радиоактивное заражение местности),

• гиперзвуковые высокоточные крылатые ракеты с чистыми термоядерными боеприпасами (радиоактивное заражение снижается до неопасного уровня через 6 дней), с временем подлета к КВО менее 20 минут.

В обозначенных условиях, ближайшие 5 лет США не отменят санкций, а будут последовательно изматывать Россию экономически, всеми доступными средствами блокировать развитие ключевых отраслей промышленности и новых военных технологий. Одно из первых мест в такой гибридной войне против России сегодня отводится кибератакам на АСУ КВО и системы жизнеобеспечения крупных городов (электро-водо-тепло снабжение, транспорт, системы светофоров и т.д.) как в мирный, так и угрожаемый периоды. Чем успешнее Россия будет продвигаться по пути воссоздания отечественной промышленности и создания новейших видов оружия, тем интенсивнее будут проводиться кибератаки.

Анализ ИТ-отраслей (Минкомсвязи и Минпромторг) на май 2016 года показывает (см. сайт электросвязи), что за десятилетний период не будет воссоздана ИТ-индустрия РФ и поэтому АСУ ТП КВО РФ будут продолжать строиться на зарубежном оборудовании и программных продуктах. Это сохранит вероятность присутствия недекларируемых возможностей (НДВ) в оборудовании АСУ ТП КВО и доступ зарубежных инженеров к портам USB АСУ ТП КВО в процессе эксплуатации. Сами АСУ ТП будут продолжать находиться в зоне покрытия беспроводных городских/производственных цифровых сетей ССОП, построенных на зарубежном сетевом и абонентском оборудовании.

Обозначенное сочетание зарубежных АСУ ТП и «чужого» информационного пространства ССОП в России не исключает, на период не менее 10 лет:

• наличие в АСУ КВО микрозакладок с размерами менее 100 мкм и питанием от внешних СВЧ полей,

• негласной/скрытной активации НДВ в сетевом и абонентском оборудовании цифровых сетей ССОП РФ, техническими разведками и кибервойсками Запада, для внедрения вредоносных программ в программные продукты АСУ КВО через микрозакладки.

Примечание: обозначенная модель кибератак на АСУ ТП КВО сделалась возможной вследствие:
• реализации долговременной государственной ИТ-политики США и ЕС в области ИТ-индустрии,
• отсутствием подобной ИТ-политики в РФ последние 25 лет.

Из проведенного выше следует:

1. Источники атак, каналы доставки вредоносных программ (ВП) до информационной сферы АСУ ТП КВО, инструменты атак и цели атак в России и США различны:

• в России наиболее вероятными источниками являются технические разведки и кибервойска США, которые проводят атаки как с использованием ВП, так и за счет активации НДВ в оборудовании ССОП и в ПП АСУ ТП КВО с целью нанесения техногенного ущерба региону и выводу из строя промышленных объектов.

• в США и ЕС – это хакеры, выполняющие заказы компаний-конкурентов (практически все зафиксированные атаки были хакерскими), каналы доставки атак – Интернет, инструменты атак – вредоносные программы и вирусы.

Это указывает на различные функциональные требования к АПК ИБ АСУ ТП КВО в РФ и США–ЕС.

Выводы:

• импортные АПК ИБ АСУ ТП КВО не отвечают российским требованиям ИБ в условиях повышения активности кибератак в период 2016-2020 годы. На российском рынке они малоэффективны, поскольку не защищают от наиболее вероятных и опасных кибератак технических разведок и кибервойск Запада.

• российские АПК ИБ АСУ КВО отвечают требованиям США-ЕС, но не отвечают требованиям РФ,

• российским компаниям-производителям продуктов по ИБ АСУ ТП КВО целесообразно в течение года освоить серийный выпуск новой продукции, повышающей уровень защиты от кибератак технических разведок и кибервойск США.

Обозначенная задача является приоритетной государственной задачей на ближайшие два года, на которую целесообразно направить 10 млрд. рублей, запланированных на работы по телепортации в России с ожидаемыми результатами после 2035 года (технический задел у российских компаний имеется). (см. В 2016-2017 году РФ планирует на телепортацию 10 млрд рублей )

Материал является авторским, подготовлен группой профессионалов связи, ссылка обязательна.

С уважением,
Alex Rail.
24.06.2016.

[Erlang]

Я просто скажу:
все основные патенты и производства, начиная от технологии и заканчивая процессором - находятся ЗА рубежами РФ.

P.S.
Мне всегда нравилось название альбома "Повод для оптимизма".
Да и песни в нём хороши и народные (уже).

В обозначенных условиях, ближайшие 5 лет США не отменят санкций

А встречные санкции когда отменят?
Или хотя-бы нужно заставить госслужащих потреблять, носить и ездить на всём отечественном.
А 5-ть лет в данной ситуации или слишком дальний, или слишком короткий срок.

[Alex Rail]

Ответ Erlang:

Простите, что задержал ответ. В публикации «имеются в виду, что:

1. «де факто», в России сложилась ситуация, когда отсутствует законодательная и отраслевая нормативная база, адекватная вызовам в 2016-2025 годах, а промышленные предприятия и КВО не всегда «финансово заинтересованы» в повышении ИБ своих АСУ ТП, в проведении постоянного сетевого мониторинга кибератак, и часто скрывают сами факты кибератак на их АСУ ТП.

2. Приказ №31 ФСТЭК от 14 марта 2014 года «де факто» предполагает в России возможность только атак хакеров и террористов, в условиях, когда, на ближайшие 10 лет, отсутствует отечественная ИТ-индустрия и более 90% оборудования АСУ ТП и цифровых сетей ССОП – импортное, то есть нельзя исключить наличие НДВ и микрозакладок, которые могут активизироваться техническими разведками и кибервойсками Запада. Иными словами, можно предположить, что В. В. Путин в мае 2012 года публично обозначил курс России в направлении многополярного Мира, а ФСТЭК в своем Приказе №31 от 14 марта 2014 года этого «не отразила»…


3. Если кибератаки силами и средствами технических разведок и кибервойск Запад до 2012 года были маловероятны, то при переходе к многополярной модели Мира, в условиях нового военного противостояния Россия-США в космосе и киберпространстве, вероятность таких кибератак может скачкообразно возрасти в 2016-2020 годах.

[Alex Rail]

Историческая справка:

В соответствие с долговременной ИТ-государственно политикой развитых стран, недекларируемые возможности (НДВ) сетевого и абонентского телеком оборудования – это секретные технические решения, которые включаются в состав телеком оборудования и направлены на решение спец. задач. Эти техн. решения, как правило, имеют статус гос. тайны и находятся под защитой всей мощи спец. служб.


Автор узнал о НДВ аналоговых телефонных аппаратов американских и европейских производителей телеком оборудования много десятков лет назад (первые НДВ в телефоны были внедрены около 70 лет назад).

Так, например, в аналоговый телефон, дополнительно к основным блокам, было введено резонансное реле, которое гальванически замыкало микрофонную цепь телефона с абонентской линией, при «вдувании» со стороны АТС, в абонентскую линию, сигнала только частотой в 60 Гц. Это позволяло прослушивать, кроме телефонных переговоров, акустику помещения где установлен телефон, с районной и городской АТС и телефонных колодцев.

Цифровая техника значительно расширила НДВ телеком оборудования. Известно, что возможности «прослушки», негласной активации и определения местоположения мобильного телефона были изначально заложены разработчиками оборудования сетей GSM для решения специальных задач слежения и контроля, и являются недекларируемыми возможностями. Однако, к сожалению, сегодня эти возможности могут использовать не только «легально» специальными службами.

Так, например, в феврале 2006 года популярная в Греции оппозиционная газета Ta Nea опубликовала историю о том, что сотовые телефоны высшего политического руководства Греции многие месяцы кем-то прослушивались с помощью специальной программы в оборудовании одного из главных в стране операторов мобильной связи Vodafone Greece.

Последующий анализ специалистов показал, что криминальный шпионаж осуществлялся с помощью «системы легального перехвата», разработанной самой компанией Ericsson (поставщик оборудования для сети GSM оператору Vodafone Greece ) и включаемой ею в состав программного пакета R9.1. Выяснилось, что поверх этого пакета работала еще одна, тайная закладка, включавшая перехват лишь в те моменты, когда шли звонки по номерам из списка прослушки, а все остальное время остававшаяся «невидимой».

Для обслуживания сотни прослушиваемых номеров были задействованы всего полтора десятка мобильных телефонов, зарегистрированных в сети по анонимным контрактам. Когда шел вызов для номера «на контроле», одновременно проходил вызов «конференц-связи» для первого из незанятых номеров среди «теневых телефонов». За такие действия оператор Vodafone Greece был оштрафован греческим правительством на сто миллионов евро.

По мнению консультанта по вопросам контртеррористической безопасности Джеймс Аткинсон: «ФБР может иметь доступ к мобильным телефонам и дистанционно ими манипулировать без всякого физического контакта. Для этого используется, в частности, программа «roving bug», когда дистанционно включаемые мобильные телефоны подозреваемых передавали все их разговоры на подслушивающую станцию спецслужбы. Активизация устройства проводилась независимо от того, был ли включен или выключен телефон, и перехватывались телефонные переговоры и разговоры в радиусе до 10 метров».

Как сообщает DailyTech, в ФБР найден способ прослушивать и включать микрофон, практически любого сотового телефона, в режим прослушивающего устройства без ведома его хозяина, путем внедрения в телефон мобильных вирусов. Этот метод также позволяет активировать телефон при «выключенном» его состоянии, в соответствие с внешней индикацией.

Анализ, проведенный специалистами показывает, что чем функциональнее мобильный телефон, тем больше недекларируемых возможностей может быть задействовано:

• Визуальное фотографирование окружающих лиц и предметов,
• Видеосъемка и акустический контроль в радиусе до 10 метров от мобильного телефона с последующей регистрацией всех говорящих,
• Прослушивание всех входящих и исходящих телефонных разговоров, SMS и электронной почты и архивация всей информации,
• Определение местоположение объекта (мобильника) с точностью до несколько метров,
• Негласная активация внешних портов (WiFi, ИК и т.д.) и организация канала связи с рядом расположенными дайджестами,
• Дистанционная прослушка, даже если основная батарея вынута (для современных смартфонов),
• Перехват ЭМИ в диапазоне от акустических до оптических частот (перехват по схеме основное-вспомогательное ТС) и передача перехваченной информации через ССОП за тысячи км ( имеется соответствующая Программа АНБ).

Помимо перехвата, с целью манипуляции абонентами GSM, возможны:

• Определение модели абонентского устройства на основании полученного идентификатора IMEI, например, для внедрение соответствующих spy-программ
и его негласной активации,
• Выборочное/полное блокирование абонентов в некоторой зоне по идентификационным параметрам IMEI, IMSI: программированная реакция на попытку установления соединения блокируемым абонентом (перегрузка сети, «занято», «не отвечает»),
• Принудительная активация абонентского устройства для обеспечения возможности его точного пеленгования.


Материал взят из пояснительной записки к «Стратегии развития отрасли связи РФ на 2009-2015 годы с обеспечением интересов государства и национального бизнеса» от 2009 года.

[Alex Rail]

https://www.gazeta.ru/tech/2016/07/30_a ... ource=smi2

29 июля 2016 года нападению подверглись сразу несколько десятков госпредприятий РФ, атака злоумышленников была тщательно спланирована и осуществлена на высоком профессиональном уровне. Хакеры могли перехватывать сетевой трафик компьютеров, снимать скриншоты с экрана и даже дистанционно включать web-камеры. Специалисты считают, что подобные масштабные нападения обычно совершаются хакерами при поддержке властных структур других стран.

В ФСБ России сообщили, что на военные, оборонные и другие государственные предприятия смогли пробраться кибермошенники. По данным службы, на компьютерах более 20 российских предприятий обнаружено вредоносное программное обеспечение, использующееся для кибершпионажа. Можно предположить, что данной атаке предшествовал сбор информации о потенциальных жертвах. Затем жертвы получали фишинговые сообщения с эксплойтом (зараженный файл, который попадает в систему и ищет уязвимости).

«После внедрения в систему вредоносная программа подгружает необходимые модули с учетом особенностей «жертвы», после чего способна осуществлять перехват сетевого трафика, его прослушивание, снятие скриншотов экрана, самостоятельное включение web-камер и микрофонов ПЭВМ, мобильных устройств, запись аудио- и видеофайлов, данных о нажатии клавиш клавиатуры.

Примечание:

По мнению автора:

1. Источником кибератак на 20 КВО России кардинально разных направлений деятельности (органы государственной власти и управления, научные и военные учреждения, предприятия оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны), с вероятностью 0,9, были технические разведки и кибервойска Запада (хакеры, как правило, за деньги конкурентов, исполняют более узкие, а террористы – более локальные задачи).

2. Цели атак:
• демонстрация уязвимости информационной сферы всех органов управления и КВО РФ России (сети связи и компьютерные сети) даже при сравнительно несложных видах кибератак,
• предупреждение РФ о возможности в будущем масштабных кибератах на системы жизнеобеспечения городов, органов гос. власти и КВО страны, в случае если РФ будет проводить нынешний курс.

3. В арсенале ИТР Запада имеется много способов и каналов внедрения ВП в информационную сферу КВО, включая недекларируемые возможности оборудования сетей GSM и компьютерных сетей (проведенные 29 июля кибератаки на 20 КВО РФ, технически могли быть выполнены террористами: внедрение ВП в смартфоны сотрудников КВО в разных городах России через Интернет, негласная активация беспроводных портов и передача ВП в ПК, расположенные в радиусе 30 метров на КВО по внешней команде).

4. Поскольку в РФ уже 26 лет отсутствует государственная ИТ-техническая политика, предприятия подотрасли АПК ИБ АСУ ТП КВО «на свой коммерчески обоснованный взгляд» разрабатывают АПК ИБ, которые решают лишь частные задачи, часто не сформулированные в рамках общей задачи обеспечения ИБ АСУ ТП.

5. О подобных киберугрозах говорилось еще в «Стратегии развития отрасли связи с обеспечением национальных интересов» в 2009 году и в многочисленных публикациях на этом сайте. Складывается впечатление, что задача не решается, а имитируется её решение все последние 7 лет…

6. Целесообразно в текущем году разработать государственную ИТ-техническую политику, создать единый центр мониторинга кибератак на КВО РФ, согласовать планы работ ИТ-производителей АПК ИБ АСУ ТП и всесторонне-координированно решать задачу обеспечения ИБ АСУ ТП КВО в условиях чужого информационного пространства РФ и многополярного мира ( см. публикации на сайте). Группа профессионалов имеется.