/ 03.11.2015
Издание Dark Reading сообщает, что компания Digital Security обнародует на конференции Black Hat Europe тревожные факты: злоумышленники могут легко организовать диверсию на нефтегазовых предприятиях, используя ERP. Более того, ИБ-специалисты компании планируют продемонстрировать это в следующем месяце на натурном примере в Амстердаме. Так, можно незаметно изменить давление в трубопроводе или скрыть факт утечки нефти. В эксперименте будут участвовать ИБ-специалисты Александр Поляков и Мэтью Гели (Mathieu Geli). Ожидается, что они проникнут в некую систему на основе ПО SAP (установленного в более чем половине всех нефтегазовых компаний мира) через Интернет или через корпоративную сеть. В свою очередь во многих компаний ПО SAP интегрировано с системами управления критически важными производственными процессами. Так, теоретически можно получить доступ к управлению насосами, вентилями, системе предотвращения выбросов, устройствам компрессии газа, сепараторам и системе вентиляции, а также к запорной и регулирующей арматуре.
Ожидается, что после натурного эксперимента специалисты раскроют уязвимости, которыми они пользовались. Более того, исследователи отметили, что они наверняка нашли не более 10% возможностей для атаки, отметив, что число возможных вариантов для нанесения ущерба является огромным.
Издание напоминает, что случаи массированных атак киберзлоумышленников на нефтегазовые компании уже были: один из самых известных случаев - удар по саудовской компании Aramco, когда были уничтожены данные на жестких дисках 35 тыс. ПК предприятия. Ответственность за атаку взяла на себя группировка "Карающий меч правосудия" (Cutting Sword of Justice). Первые признаки надвигающихся проблем в Aramco были замечены 15 августа 2012 года, когда файлы начали исчезать, а ПК - глючить. Тогда IT-менеджеры компании приняли решение немедленно отсоединить все компьютеры от Интернета, и выключить их. Сотрудники начали писать письма на бумаге, и пользоваться факсом и проводным телефоном. До этого момента Aramco вкладывала в ИБ серьезные деньги и не экономила на защите. Страшно себе представить, что было бы, если бы на тот момент компания успела внедрить ИТ и в управление технологическими операциями.
Комментарии.
Александр ПОЛЯКОВ,
технический директор Digital Security:
"В ПО компании SAP, которое используется для интеграции с IT-системами нефтегазовой отрасли, а также других отраслей промышленности, присутствуют уязвимости, позволяющие злоумышленникам подменять данные. К примеру, они могут скорректировать информацию о количестве нефти, находящейся в хранилище, или отгруженной поставщику. В ряде случаев ошибки конфигурации позволяют не только подменить данные, но и получить полный доступ к технологическим процессам, включая переработку нефти. Кроме того, злоумышленники могут завладеть управлением устройствами нагрева, что чревато успешной реализацией атак с прямым нанесением ущерба качеству продукта. Действия злоумышленников могут привести даже к остановке производства, порче оборудования и крупным авариям".
Рустэм ХАЙРЕТДИНОВ,
генеральный директор компании Appercut Security:
"Интеграция финансовых систем и программ учета и планирования, какими являются ERP-системы, с системами управления технологическими процессами реального времени повышают на порядок риски наличия в таких системах недекларированных возможностей. Отчет, проводка и даже банкомат могут подождать час, для топливного насоса или домны даже 30 секунд некорректной работы одной из систем - катастрофа. До сегодняшнего времени опасные команды блокировались на уровне автоматики, но если исследователям удалось обойти эти блокировки или маскировать опасные команды под безопасные - это представляет реальную угрозу. Надеюсь, в этой области индустрии не придется ждать терактов, чтобы изменить отношение к информационной безопасности".