Доступ подрядчиков к АСУ ТП без контроля ведет к инцидентам

Почему тема доступа подрядчиков к АСУ ТП требует отдельного внимания?

Любой современный промышленный объект с АСУ ТП тесно интегрирован с ИТ-инфраструктурой. Через нее осуществляется управление объектом, мониторинг производственных процессов и внесение корректировок под текущие задачи и условия.

Для обслуживания сложной ИТ-инфраструктуры на промышленных объектах привлекаются подрядные организации. В их задачи входит сопровождение отдельных сегментов, включая оборудование и программное обеспечение, логически и функционально связанные с производственными процессами. Во многих случаях для выполнения таких задач применяется удаленное подключение узкоспециализированных квалифицированных специалистов подрядчика к ИТ-инфраструктуре предприятия.

Главная проблема такого подключения состоит в том, что до целевых систем организуется зашифрованный канал, но фактически решается лишь одна задача безопасности. Остальные элементы защиты, которые должны действовать при любых внешних подключениях и в отношении любых активов производственной инфраструктуры, остаются без должного внимания. Это ведет к тяжелым последствиям. Ответственность за действия подрядчика нередко полностью возлагается на него и фиксируется в договоре на проведение работ, однако все действия в инфраструктуре должны находиться под постоянным контролем службы информационной безопасности предприятия.

Как организованный удаленный доступ превращается в источник риска?

Организованный канал доступа может быть использован злоумышленниками как готовый вход в промышленный сегмент в случае компрометации ИТ-инфраструктуры или отдельных рабочих мест работников подрядной организации.

На практике специалисты часто работают под учетными записями с максимальными полномочиями в системах, что дает неограниченные возможности для проведения атаки. Кроме того, легитимные действия под такими учетными записями не контролируются с точки зрения последствий выполнения команд и действий в SCADA-системах или на ПЛК. Во многих случаях отсутствует логирование действий, необходимое для фиксации внесенных изменений и расследования инцидента либо сбоя, вызванного ошибочными действиями подрядчика. В результате сбор доказательной базы оказывается невозможен.

Количество примеров, подтверждающих последствия отсутствия системного подхода к организации работ подрядчиков в ИТ-инфраструктуре промышленных объектов, велико и продолжает расти.

Какие примеры уже показывают последствия отсутствия контроля?

По данным ThreatRadar, уязвимость, обнаруженная в продуктах Rockwell Automation в 2021 году, продолжает активно использоваться злоумышленниками и в 2026 году, что ведет к несанкционированному управлению производственным оборудованием и остановкам производства. Причина — отсутствие контроля удаленного подключения, когда доступ остается открытым и после завершения работ подрядчиками, а также отсутствие патч-менеджмента для систем, входящих в состав АСУ ТП.

Следующий пример — данные Cyble. Группа обнаружила около 8000 инстансов VNC — технологии, при которой клиент подключается к рабочему столу другого устройства, — доступных из Интернета и предоставляющих доступ без аутентификации, в том числе к HMI и SCADA-системам реальных промышленных производств. Доступ к таким интерфейсам дает полный контроль над системами управления оборудованием. Этого достаточно для его остановки либо для организации сбоя в работе всего производственного комплекса.

Статистика Kaspersky ICS CERT наглядно показывает необходимость эффективного сегментирования производственной сети от ИТ-инфраструктуры предприятия. В 2021 году злоумышленники, использовав уязвимость в Microsoft Exchange, развернутом в инфраструктуре телекоммуникационной компании в Пакистане, после получения первоначального доступа смогли перейти в сегмент АСУ ТП и получить контроль над инженерными станциями системы управления зданиями.

Что должно быть предусмотрено при работе с подрядчиками еще на стадии проектирования?

Защита должна быть закреплена в проектной и эксплуатационной документации.

Для снижения рисков при работе с подрядчиками, выполняющими работы в инфраструктуре промышленного предприятия, требуется системный подход. Он не может сводиться к организации VPN-канала с удаленных рабочих станций до элементов АСУ ТП.

При проектировании сетевой инфраструктуры необходимо предусмотреть отдельную демилитаризованную зону (DMZ), отделяющую корпоративную сеть от сегмента АСУ ТП по тем же принципам, по которым DMZ отделяет корпоративную сеть от Интернета.

Для всех удаленных подключений к jump-серверам, ведущим в сегмент АСУ ТП, и к интерфейсам администрирования должна применяться двухфакторная аутентификация. К удаленным рабочим станциям, с которых выполняется подключение, должны предъявляться базовые требования информационной безопасности: наличие антивирусной защиты с актуальными базами сигнатур, установленные обновления безопасности и т.д. Эти требования должны быть закреплены в договорах с подрядчиком и автоматически контролироваться заказчиком, например с использованием HIP-профилей.

Уровень доступа учетной записи подрядчика должен строго соответствовать задачам, которые он решает на объекте. Для ограничения вводимых команд применяются PAM-системы, задающие допустимые действия подрядчика в системе. На период проведения работ необходимо установить расписание, исключающее подключение вне рабочих часов, а также организовать логирование сессии работы специалистов подрядчика. Подключение допускается только после подтверждения ответственным сотрудником со стороны заказчика, после завершения работ этот же сотрудник должен заблокировать доступ.

В сегменте АСУ ТП должны применяться меры защиты, аналогичные тем, что применяются в корпоративной сети: патч-менеджмент, анализ и устранение уязвимостей, контроль используемых приложений и подключаемых устройств, антивирусная защита, межсетевые экраны, анализаторы трафика, мониторинг событий информационной безопасности и их выявление, резервное копирование и другие необходимые меры.

Такой подход требует тщательного планирования еще на стадии проектирования ИТ-инфраструктуры промышленного предприятия, а также при создании системы защиты корпоративной сети и сегмента АСУ ТП.

Где должен быть закреплен порядок допуска подрядчиков?

Порядок допуска подрядчиков с фиксацией ответственности должен быть закреплен на трех уровнях: в требованиях к проектной документации, в договорной документации и в регламентах эксплуатации объектов.

В требованиях к проектной документации необходимо закрепить обязательное определение порядка допуска подрядчиков уже при проектировании систем защиты. Проектная документация должна содержать раздел «Порядок допуска третьих лиц» с описанием всех технических и организационных мер по защите инфраструктуры промышленного предприятия.

В договорах необходимо закрепить порядок доступа в инфраструктуру, а также ответственность подрядчика за последствия его действий для технологического процесса объекта. Эти положения должны стать неотъемлемой частью типовых подрядных договоров на промышленных объектах.

В регламентах эксплуатации объектов порядок допуска подрядчиков должен быть закреплен как обязательный элемент системы защиты. Такой регламент предусматривает утверждение порядка допуска руководителем объекта, назначение ответственного за контроль его исполнения, проведение инструктажа подрядчиков перед допуском к работам и иные связанные с этим мероприятия.

Что такой подход дает компаниям и государству?

Применение такого подхода в кибербезопасности дает промышленному предприятию несколько прямых результатов.

Прежде всего снижаются риски инцидентов, связанных с действиями подрядчиков. Принцип минимально необходимых привилегий исключает возможность несанкционированного воздействия на системы управления технологическим производством. Журналирование обеспечивает прослеживаемость действий: специалист подрядчика знает, что каждое его действие фиксируется и может быть проверено. Ответственность за последствия дисциплинирует подрядчика и требует соблюдения порядка допуска и надлежащего качества работ. Результат — переход от реактивного реагирования на инциденты к проактивному исключению условий, позволяющих инциденту произойти.

Кроме того, ускоряется расследование инцидентов с участием подрядчиков. Наличие журналов действий с привязкой к конкретному специалисту сокращает время установления причин инцидента с дней до часов. Если вина подрядчика установлена, у заказчика появляется возможность требовать возмещения убытков, что снижает финансовые потери от остановки производства.

Отдельный результат — более высокое качество подрядных работ. Порядок допуска с фиксацией ответственности отсекает подрядчиков, не готовых работать при полной прозрачности и ответственности за последствия. Остаются организации, способные контролировать действия своих специалистов и отвечать за результат. Для заказчика это означает снижение рисков при выборе подрядчика и более прогнозируемый итог подрядных работ.

Наконец, речь идет о соответствии требованиям регуляторов по существу. Государственные органы при проверке критической информационной инфраструктуры обращают внимание на порядок допуска третьих лиц к информационным системам. Наличие утвержденного порядка вместе с техническими мерами служит основанием для подтверждения соответствия требованиям. Отсутствие такого порядка служит основанием для привлечения руководителя объекта к ответственности при инциденте.

Для государства результат выражается в усилении защищенности критической информационной инфраструктуры и промышленных предприятий. Подрядчики — одна из основных точек входа для атак на промышленные объекты, поэтому системный подход к их допуску повышает фактическую защищенность инфраструктуры в целом.

Легитимность доступа не является синонимом его безопасности. Чтобы не допустить переход инцидента из категории возможных в категорию произошедших, предприятиям необходимо пересмотреть подход к организации удаленного доступа. Максимальное внимание службы информационной безопасности к удаленным подключениям подрядчиков, эффективная сегментация сети, применение средств контроля сессий с записью действий и принцип минимально необходимых привилегий должны стать обязательными требованиями.