Скрытые угрозы для предприятия с импортным и советским оборудованием

На конференциях по информационной безопасности зернопереработку часто обходят стороной. Считается, что мукомольные заводы и элеваторы — это «скучные» объекты, не представляющие интереса для злоумышленников. Опасное заблуждение, которое дорого обходится. Предприятие переработки зерна — это непрерывный технологический цикл с взрывопожароопасными участками, от которого зависит продовольственная безопасность муниципалитета или целого региона. Остановка такого объекта в сезон — событие не только экономическое, но и социальное.

При этом реальный ландшафт угроз гораздо шире, чем принято обсуждать. Мы привыкли думать о хакерах, вирусах и уязвимостях в программном обеспечении. Но практика расследования инцидентов на промышленных объектах показывает: самые результативные атаки часто вообще не используют компьютерные сети. Разберем три типа скрытых угроз и дадим руководителю конкретные рекомендации.

Три технологических портрета одного предприятия

Современное российское зерноперерабатывающее предприятие — это гибрид. На одной площадке могут соседствовать три технологических уклада.

Первый — новое импортное оборудование, закупленное до введения санкций. Швейцарские или немецкие системы управления, программируемые контроллеры с закрытыми прошивками, централизованные пульты операторов. Официальной поддержки нет, обновления безопасности не поставляются.

Второй — советское оборудование без какой-либо автоматизации. Релейная логика, физические кнопки, стрелочные приборы. С точки зрения кибербезопасности — «стерильная зона», не имеющая сетевых интерфейсов. Многие руководители искренне считают ее неуязвимой.

Третий — промежуточный слой, появившийся в результате частичной модернизации. На старое оборудование поставлены современные датчики, подключенные к новому контроллеру. Контроллер взаимодействует с импортной системой верхнего уровня. И где-то посередине этой конструкции находится специалист, который в одиночку понимает, как это все работает.

В такой среде угрозы не ограничиваются удаленными атаками. Давайте пройдем по векторам, о которых руководители часто забывают.

Угроза первая: электрические сети как канал проникновения

Системы управления технологическим процессом зависят от электропитания. Это аксиома. Но мало кто воспринимает электрическую сеть как вектор целенаправленной атаки на информационную безопасность. А зря.

Современные источники бесперебойного питания, распределительные устройства и дизель-генераторы имеют собственные контроллеры и сетевые интерфейсы для удаленного мониторинга. Часто они подключены к общей сети предприятия или, что еще хуже, имеют выход в интернет через модем, о котором служба автоматизации забыла сразу после установки.

Что происходит при атаке на этот контур? Злоумышленник не пытается проникнуть в систему управления зерносушкой. Он атакует контроллер щита питания, от которого эта сушка запитана. Эффект тот же — остановка производства, — но защитные средства, настроенные на мониторинг промышленных протоколов, ничего не замечают. Атака идет по совершенно другому, неконтролируемому каналу.

Отдельная история — качество электропитания. Скачки напряжения, наведенные помехи, кратковременные провалы способны вызвать сбой в работе контроллеров, который внешне неотличим от последствий кибератаки. Вы будете искать вирус, а проблема — в заземлении или в том, что соседний цех включил мощную нагрузку.

Рекомендация. Проведите инвентаризацию всех устройств, подключенных к электрической сети и одновременно имеющих любой сетевой или коммуникационный интерфейс. Включите их в периметр мониторинга информационной безопасности. Это не «электрика», это часть критической инфраструктуры управления.

Угроза вторая: персонал и подрядчики

Это самый недооцененный и самый результативный вектор. На зерноперерабатывающих предприятиях работает множество людей, имеющих физический доступ к оборудованию. И речь не только о злом умысле.

Типовая ситуация. Приезжает сервисный инженер от поставщика упаковочной линии. Ему нужно обновить программу контроллера. Он приносит ноутбук, который до этого побывал в десятке других предприятий, подключается к технологической сети. Что на этом ноутбуке — не знает ни он, ни служба безопасности завода. Формально производственная сеть изолирована от интернета. Но ноутбук подрядчика только что стал мостом между внешним миром и вашим «закрытым» контуром.

Другой сценарий — собственный персонал. Оператор зерносушки хочет облегчить себе ночную смену и приносит из дома точку доступа с мобильным интернетом, чтобы смотреть фильмы на смартфоне. Он не злоумышленник, он просто не понимает последствий. Но этот роутер, подключенный к зарядке в операторской, — готовая брешь в вашем изолированном контуре.

Особая категория — уволенные или обиженные сотрудники. Учетные записи, которые не были своевременно заблокированы. Настроенный когда-то удаленный доступ для дежурств из дома, о котором забыли. Пароли, записанные на стикере и приклеенные к монитору. Все это не требует высокой квалификации злоумышленника, но обеспечивает ему прямой доступ к управлению технологическим процессом.

Рекомендация. Введите обязательную проверку любого устройства, подключаемого к технологической сети, независимо от того, кому оно принадлежит. Разработайте регламент допуска подрядчиков, включающий проверку их оборудования перед подключением. Проводите регулярный аудит учетных записей и прав доступа. И главное — объясняйте людям, почему нельзя приносить свои устройства в операторскую. Без осознанности персонала никакие технические средства не спасут.

Угроза третья: цепочка поставок и обслуживания

Эта угроза особенно актуальна для предприятий с импортным оборудованием. Вендор ушел, а работать надо. Начинаются «серые» схемы: запчасти и программные компоненты заказываются через цепочку посредников в третьих странах. Вы получаете контроллер или обновление прошивки без возможности проверить его происхождение.

Что может быть внутри? Модифицированная прошивка, содержащая закладку. Причем тот, кто ее внес, не обязательно является врагом. Это может быть посредник, который просто «перепаковал» программное обеспечение, добавив в него собственный удаленный доступ для последующей поддержки клиента. Он не хотел навредить, он хотел упростить себе работу. Но теперь кто-то третий может воспользоваться этим каналом.

Еще один сценарий — перехват на этапе доставки. Оборудование вскрывается, в него устанавливается дополнительное устройство, и оно отправляется к заказчику. Внешне все выглядит штатно. Такие случаи единичны, но они задокументированы и перестали быть теорией.

Рекомендация. Разработайте процедуру входного контроля для любого программного и аппаратного обеспечения, поступающего по альтернативным каналам. В идеале — проверяйте все на изолированном стенде или цифровом двойнике до установки в промышленный контур. Внедрите правило: ни одна строка кода и ни одна микросхема не попадает на работающее оборудование без предварительного тестирования.

Угроза четвертая: изолированный контур и ложное чувство безопасности

«У нас производственная сеть полностью изолирована от интернета, к нам невозможно проникнуть», — эту фразу я слышу от каждого второго руководителя. И каждый раз задаю вопрос: «Вы в этом уверены?»

Давайте проверим. Есть ли в вашей изолированной сети Wi-Fi? Для планшетов складских работников, для сканеров штрих-кодов, для удобства наладчиков? Уверены, что пароль на точку доступа не был когда-то сообщен «временно» подрядчику и не забыт?

Есть ли в операторской промышленный компьютер с USB-портами? Кто и когда последний раз вставлял в него флешку? Что было на этой флешке?

Есть ли связь между корпоративной и технологической сетью? Не по документам, а по факту? Часто обнаруживается, что «изолированный» контроллер сушки отправляет отчеты в бухгалтерскую программу через сервер, который по документам является пограничным шлюзом, а по факту свободно пропускает трафик в обе стороны, потому что «иначе отчетность не работала».

И даже если сейчас изоляция действительно полная и безупречная — это статичная картина. Предприятие развивается. Завтра появится новый склад, новый датчик влажности с удаленным доступом от производителя, новый подрядчик с ноутбуком. Один эпизод человеческой невнимательности — и ваш изолированный контур перестает быть изолированным.

Рекомендация. Регулярно, не реже раза в квартал, проводите инструментальную проверку изолированности технологического сегмента. Не верьте документам и схемам — сканируйте, ищите неучтенные соединения, тестируйте фильтрацию на межсетевых экранах. И обязательно блокируйте USB-порты везде, где это возможно без ущерба для производства.

Угроза пятая: косвенные воздействия через смежные системы

Современное зерноперерабатывающее предприятие — это не только мельницы и силосы. Это системы вентиляции и аспирации, установки пожаротушения, котельные, очистные сооружения. Каждая из этих систем имеет собственное управление и часто собственный канал связи с внешним миром.

Атака на такую систему может быть не самоцелью, а способом добраться до основного производства. Отключение вентиляции в зернохранилище приводит к повышению влажности и температуры. Это запускает цепочку событий: порча зерна, автоматическая остановка сушки по аварийному алгоритму, простой. При этом атакована была не производственная линия, а вспомогательная система, которую никто не рассматривал как критическую.

Другой пример — метеостанция на крыше элеватора. Она передает данные о температуре и влажности наружного воздуха в систему управления сушкой. Если подменить эти данные, алгоритм сушки начнет работать некорректно. Зерно будет пересушено или недосушено. Убытки и простой — без единого прикосновения к основному контроллеру.

Рекомендация. Проведите анализ всех смежных и вспомогательных систем, данные от которых влияют на основной технологический процесс. Включите их в модель угроз. Обеспечьте контроль целостности данных, поступающих от них. Помните: ваша система управления так же уязвима, как и самый слабый из ее источников информации.

Девять правил для руководителя

Суммируя сказанное, сформулирую девять правил, которые должен знать и выполнять руководитель зерноперерабатывающего предприятия.

1. Не верьте в «полную изоляцию». Проверяйте ее постоянно.
2. Электрика — часть информационной безопасности. Все, что питает ваши контроллеры, находится в вашем периметре ответственности.
3. Ноутбук подрядчика — это внешний носитель угрозы. Проверяйте его до подключения к сети.
4. Личные устройства в операторской запрещены. Объясните людям почему и контролируйте исполнение.
5. Уволенный сотрудник не должен иметь доступа. Блокируйте учетные записи в день увольнения.
6. Серые поставки требуют двойного контроля. Тестируйте все, что приходит по параллельному импорту.
7. Смежные системы — часть вашей модели угроз. Вентиляция и метеостанция могут стать вектором атаки.
8. Цифровой двойник — ваш страховой полис. Тестируйте обновления, проверяйте гипотезы, тренируйте людей — но не на работающем оборудовании.
9. Безопасность — это процесс, а не состояние. То, что вчера было защищено, сегодня может оказаться уязвимым. Регулярный аудит — единственный способ оставаться в курсе реальной картины.

Зернопереработка долгое время оставалась в тени «тяжелых» отраслей в части информационной безопасности. Но уязвимости не спрашивают разрешения — они просто существуют. Задача руководителя — увидеть их раньше, чем это сделает тот, кто захочет ими воспользоваться.