Киберугрозы:
защищены ли АЭС?


Текст: Анна МАРТЫНОВА

Новые технологии приносят новые риски: промышленные объекты все чаще подвергаются кибератакам. Безопасность атомных станций — абсолютный приоритет для Росатома, поэтому работа по обеспечению кибербезопасности ведется уже много лет. «Атомный эксперт» разобрался в том, как обеспечивается кибербезопасность АЭС.

Иллюстрация: Влад Суровегин
Фото: Страна Росатом
Реальность киберугроз
«Самое страшное, что сейчас есть в мире компьютеров, — это кибероружие, малвара (вредоносная программа, вирус. — Прим. АЭ), атакующая критическую инфраструктуру», — писал в своем блоге Евгений Касперский, один из ведущих мировых специалистов в сфере кибербезопасности.

Создание вредоносных программ становится все более простой задачей: «каркас» вируса можно купить в Интернете и затем начинить его любым содержанием. Причем сегодня программированием занимаются чуть ли не с детского сада. «Число попыток взлома и атак со стороны неквалифицированных пользователей растет благодаря доступности криминальных сервисов и средств разработки вредоносных программ», — сказал «Атомному эксперту» аналитик компании «Доктор Веб» Вячеслав Медведев.

Далеко не все киберинциденты становятся достоянием общественности: компании не заинтересованы в разглашении своей уязвимости. Но некоторые случаи скрыть не удается. «В Германии в 2014 году на тепловой станции пятнадцатилетний мальчик со своего компьютера подключился к микроконтроллерам, которые были доступны по сети центра обслуживания. Управляя тепловой станцией, он вызвал аварийный останов оборудования», — рассказывает Владимир Дурнев, заместитель руководителя профильного департамента АО «­ВНИИАЭС».

В 2015 году на Украине злоумышленники перехватили управление электросетями и отключили несколько областей. Системы операторов электросетей были заблокированы: те видели, как происходило отключение, но не могли ему помешать. В 2016 году вирус обнаружили в системе управления реактором на АЭС «Гундремминген» в Германии. Обошлось без последствий, так как данный вид вируса не мог нанести вреда в среде, не подключенной к Интернету.

Компании повезло, что в систему управления АЭС попал именно такой вирус, говорил Е. Касперский. «А что было бы, если бы пролезло что-то похуже и что-то более целеустремленное?» — спрашивал он в своем блоге.

И наконец, самая нашумевшая кибератака на объект атомной энергетики случилась в 2010 году. Вирус Stuxnet проник в систему управления центрифугами на заводе по обогащению урана в Иране, испортив около трети из них. В результате деятельность завода была парализована.

По данным ВНИИАЭС, в мире ежегодно происходит до 200 млн киберинцидентов. Причем их количество год от года растет: в 2015 году их насчитывалось около 140 млн. «Инцидентов со значимыми последствиями не так много, десятые доли процента, но все равно это немало. Важно то, что растет количество инцидентов на промышленных объектах», — сказал руководитель департамента ВНИИАЭС Олег Лобанок. В России, по данным Лаборатории Касперского, во второй половине 2016 года каждый пятый компьютер на промышленном предприятии ежемесячно подвергался кибератакам.
Справка
Понятие кибербезопасности на международном уровне определили в 2012 году, когда был принят международный стандарт ISO/IEC 27 032:2012.

Стандарт описывает понятие кибербезопасности, определяет его относительно других систем, таких как сетевая безопасность, интернет-безопасность, прикладная безопасность и безопасность критичных информационных структур.
Под кибербезопасностью в стандарте понимается свойство защищенности активов от угроз доступности, целостности, конфиденциальности, которые должны быть обеспечены в киберпространстве.

Во ВНИИАЭС кибербезопасность понимают как совокупность технологий, процессов и практик, предназначенных для защиты сетей, компьютеров, программ и данных от атак, повреждений или несанкционированного доступа.
Кибербезопасность не равна информбезопасности
Атомные станции — важнейшая инфраструктура государства. Поэтому кибербезопасностью в госкорпорации «Росатом» занимаются давно — с конца 1980-х годов. ВНИИАЭС — головная организация, ответственная за кибербезопасность атомных станций.

Специалисты этого профиля есть также в АО «Русатом — Автоматизированные системы управления» (РАСУ), которое занимается полным циклом внедрения АСУ ТП. В отдельное направление выделена кибербезопасность предприятий ядерного оружейного комплекса. Несмотря на то что у каждого предприятия свои задачи, их специалисты обмениваются лучшими практиками, говорит О. Лобанок.

«Кибербезопасность» — более широкое понятие, чем «информационная безопасность», отмечают эксперты. Во втором случае речь идет о защите информации: чтобы ее не украли, не изменили, не воспрепятствовали ее обработке и передаче. Кибербезопасность на АЭС означает, что защищен весь технологический процесс. «Кибербезопасность всеобъемлюща, она охватывает более широкий спектр угроз и объединяет части различных систем безопасности», — сказал «Атомному эксперту» руководитель отдела информационных технологий Загорского трубного завода Святослав Гвоздев.

Кибербезопасность АЭС означает защиту технологического процесса от несанкционированного доступа. «Ведь самое опасное для атомной станции — если кто-то несанкционированно возьмет управление технологическим процессом на себя. Либо вирус, либо человек», — говорит В. Дурнев.


Многоуровневая защита
Кибербезопасность атомной станции обеспечивается на многих уровнях — на каждом, где есть информация или цифровое управление.

На первом информационном уровне находятся датчики, установленные на оборудовании, а также программно-логические микроконтроллеры (ПЛК), к которым подключены эти датчики. Микроконтроллеры получают от датчиков информацию, анализируют ее согласно специальным алгоритмам и выдают управляющие воздействия на исполнительные механизмы оборудования. На этом уровне стоят различные средства защиты технологического процесса.

На следующем уровне собранная микроконтроллерами информация через специализированные шлюзы (так называемый шлюзовой контур) передается выше, в локальную сеть системы верхнего блочного уровня — СВБУ.

На информационном щите СВБУ все происходящее с оборудованием видит оператор.
Операторы напрямую с компьютеров технологическим процессом не управляют, подчеркивают специалисты. Прямое управление идет от контроллеров, в которых установлены небольшие программные продукты, причем собственной разработки предприятий Росатома. Все команды от операторов проходят верификацию. «Если команда разрешена, то она будет передана управляющей системе. Если запрещена, то будет заблокирована. Это также одна из мер по обеспечению кибербезопасности технологического процесса», — пояснил О. Лобанок.

Для обеспечения кибербезопасности в Росатоме уходят от иностранных операционных систем, которые достаточно уязвимы. «В 2013 году Microsoft прекратил поддерживать Windows NT, и два года спустя было официально объявлено, что в этой операционной системе найдено 40 тысяч уязвимостей, которые могут быть использованы для взлома и проникновения в компьютер. Многие внедрены специально», — говорит О. Лобанок.

Третий информационный уровень на АЭС — уровень неоперативного управления. Сотрудники станции на своих компьютерах могут наблюдать технологические процессы — как в реальном времени, так и архивные, — но не могут ими управлять.
АСУ ТП атомной станции не связана с Интернетом: она физически не подключена к глобальной сети. АЭС передает необходимую информацию «вовне» (в частности, в кризисный центр) по специальным, защищенным каналам связи. С Интернетом связана обычная сеть, которая используется, например, для бухгалтерского документооборота. Но эти сети также существуют отдельно и физически не соединены с АСУ ТП.

Секретная защита
На каждом из информационных уровней — свои меры для защиты от киберугроз.
Например, АСУ ТП управляют всегда два администратора. «Они друг другу не подчиняются, не знают пароли, один контролирует действия другого», — говорит О. Лобанок. Используются только защищенные компьютеры, в которых все составляющие («железо» и установленные программы) тщательно проверены.

«Мы досконально проверяем все оборудование на „закладки“, или, правильнее сказать, незадекларированные возможности, то есть функции, не описанные в документации, которые могут оказаться вредоносными — например, кража информации», — рассказывает О. Лобанок. В РАСУ добавляют, что оборудование тестируется перед поставкой на станцию в специальных лабораториях. Затем — на самой станции. Также проводятся периодические проверки во время эксплуатации.
Действует запрет доступа внешних носителей: на АЭС нельзя подсоединить к компьютеру, работающему в системе АСУ ТП, чужую флеш-карту. Есть требования, касающиеся паролей. «В советское время пароль на блочных щитах управления практически на всех станциях был с кодом 235. В крайнем случае — 239. Такое, конечно, сегодня недопустимо и невозможно», — вспоминает В. Дурнев.
Глава МАГАТЭ Юкио Амано торжественно «запускает» тренажер БПУ энергоблока №4 Калининской АЭС, 2012 год
Организовано «двойное управление»: одна и та же функция выполняется двумя способами. Одновременно воздействовать на два способа — затратно и практически невозможно, говорит О. Лобанок. Например, поясняет он, если злоумышленники подберут ключ к системе защиты на уровне микроконтроллеров, есть дополнительная аварийная защита на «жесткой логике».

«Дополнительные аварийные защиты на энергоблоке — как железный занавес, который падает, если к вашей двери подобрали ключи», — говорит О. Лобанок. Но даже это еще не все. На критически важном технологическом оборудовании есть механическая защита: если не сработали электронные системы, сработает механика. Контролируются и управляющие воздействия, которые идут от микроконтроллеров к датчикам.


Опасные люди
Специалисты утверждают, что из-за вредоносных программ на АЭС происходит всего 5−10% инцидентов. Гораздо больше ущерб от инсайдеров, то есть работников станций, которые своими действиями вредят работе управляющих систем АЭС.

«Инсайдеры могут быть умышленные и неумышленные. Умышленные — это обиженные люди, имеющие претензии к предприятию или попросту купленные. Неумышленный инсайдер — это работник, который нарушил правила: решил поэкспериментировать или ошибся по глупости», — поясняет В. Дурнев.

Защищаться от инсайдеров тяжело, потому что их поведение сложно предсказуемо. В конце января на одной из станций была зафиксирована внутренняя атака (DoS-атака) на систему управления одним из энергоблоков. В результате произошел сбой в передаче информации между контроллерами, нарушились алгоритмы их синхронизации. Эту проблему быстро решили и выявили причину: один из сотрудников случайно запустил DoS-атаку, говорит В. Дурнев.

Для минимизации рисков в Росатоме постепенно замещают весь хард и софт продуктами российского производства, но этот процесс требует времени. На всех новых энергоблоках устанавливаются российские операционные системы в защищенном исполнении. На действующих энергоблоках «информационную начинку» меняют по мере модернизации. Так, на всех 11 блоках РБМК были полностью обновлены АСУ ТП, и теперь все микропроцессоры, операционные системы и прикладные программы — разработки российского института НИКИЭТ.

Обеспечение кибербезопасности — это 5−10% от стоимости всей АСУ ТП, говорят во ВНИИАЭС. Окупается она не только отсутствием проблем, но и косвенно — через страхование. С недавних пор и в России страховые компании готовятся включать в оценку рисков киберзащищенность. Если нет системы защиты от киберугроз, то страхование обойдется дороже, говорит О. Лобанок.

Описать систему киберзащиты в деталях во ВНИИАЭС не готовы. Говорят, что так можно раскрыть важные секреты потенциальным злоумышленникам. В целом системы безопасности на российских энергоблоках настолько многочисленны, дублированы и надежны, что любые серьезные последствия исключены, уверяют специалисты.


Продолжать работу

Работу в области кибербезопасности в электроэнергетическом дивизионе Росатома необходимо упорядочить. Для этого ВНИИАЭС разрабатывает стандарты по кибербезопасности АСУ ТП, в которых будут описаны единые термины и требования, закрепленные на уровне всей организации.

Уже действует ряд отраслевых стандартов, ведется работа над стандартами, в которых будут приведены требования к АСУ ТП на всем жизненном цикле АЭС — от проектирования до вывода из эксплуатации. Например, необходимость рассмотрения «модели угроз» для каждой из подсистем АЭС. На основании данной модели и возможных последствий будет определяться необходимая степень защиты системы, говорит О. Лобанок.

Эксперты в области кибербезопасности уверены: атаки на компании различных секторов промышленности становятся все более целенаправленными. «Стабильный рост процента атакуемых промышленных компьютеров, который мы наблюдали на протяжении всей второй половины 2016 года, свидетельствует об актуальности проблемы кибербезопасности индустриальных систем. Это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем и производителей защитных решений», — поясняет Евгений Гончаров, эксперт Лаборатории Касперского.

«Останавливаться в этой работе нельзя. Необходимо принимать меры, чтобы парировать новые возникающие угрозы», — согласен с ним В. Дурнев. Росатом останавливаться не намерен: в апреле на базе ВНИИАЭС создан «Центр компетенции АО „Концерн Росэнергоатом“ по кибербезопасности АСУ ТП АЭС».

Новый центр образован «в целях создания единой системы выявления и предупреждения кибератак на автоматизированные системы управления технологическими процессами АЭС, а также для поддержания в постоянной готовности сил и средств ликвидации последствий от кибератак на АЭС», говорится в приказе «Росэнергоатома».

ДРУГИЕ МАТЕРИАЛЫ НОМЕРА