Безопасность IoT: как устранить уязвимости и обеспечить отказоустойчивость инфраструктуры

Внедрение IoT-устройств и цифровых двойников позволяет повысить прозрачность производственных процессов, оперативно отслеживать состояние оборудования и снижать риски при принятии технологических и управленческих решений. Однако одновременно они становятся мишенью для атак, наносящих серьезный, а иногда и непоправимый ущерб. О чем важно помнить, чтобы этого не допустить, рассказывает Михаил Кадер, архитектор клиентского опыта будущего UserGate.

Чем опасны атаки на цифровых двойников и автоматизацию

IoT-устройства и цифровые двойники уже достаточно широко применяются в промышленности и ряде других отраслей. При всех своих преимуществах они неизбежно несут в себе уязвимости в силу своей природы. Если рассматривать цифровой двойник как модель, отражающую текущее функционирование системы управления производством и позволяющую отрабатывать изменения до их внедрения в реальную среду, то именно в этой точке появляется сразу несколько направлений потенциальных атак.

В первую очередь речь идет об искажении данных, поступающих в цифровой двойник. Если в модель попадает недостоверная информация, предприятие начинает видеть некорректную картину работы производственной системы. На основе таких данных могут приниматься ошибочные технические и управленческие решения. В этом случае цифровой двойник перестает быть инструментом оптимизации и превращается в источник системных ошибок, последствия которых могут накапливаться незаметно.

Скорость, с которой предприятия распознают целенаправленный саботаж через IoT-устройства, может быть очень неодинаковой. Она напрямую зависит от того, как выстроена система мониторинга: есть ли контроль пороговых значений, используются ли механизмы выявления аномалий, анализируются ли отклонения в поведении оборудования. На практике такие инциденты, как правило, выявляются небыстро. Задержка между началом атаки и ее обнаружением может быть очень большой, особенно если система визуализации изначально не связана напрямую с реальными источниками данных.

Приведу наглядный пример из своей практики. Компания внедрила систему управления производством на базе решения иностранного вендора. Система демонстрировала отличные показатели, множество дашбордов показывали, что все работает корректно. В какой-то момент сотрудники решили проверить, действительно ли визуализация отражает реальные данные с датчиков. При отключении доступа к сенсорам показатели на дашбордах не изменились. Оказалось, что визуальные панели реализованы отдельно и фактически не зависели от реальных данных системы управления производством. Это вполне реальный случай, и он показывает, что под видом цифрового двойника может существовать лишь имитация, не связанная с реальной технологической средой.

При этом последствия IoT-инцидентов нередко оказываются более серьезными, если сравнивать с другими типами атак. Если нанесен удар по IT-инфраструктуре, ущерб может быть значительным, но при этом физические процессы зачастую продолжают работать: осуществляется передача газа, продолжается производство, выпускается продукция. Финансовую отчетность, сервисы и системы можно восстановить со временем. Ущерб неприятный, но, как правило, не фатальный.

Совершенно иная ситуация возникает при атаке на системы управления производством и промышленный IoT. Есть много примеров атак на системы нефтепередачи и нефтеперекачки, которые приводили к остановке снабжения топливом целых регионов. Были атаки на металлургические предприятия, последствиями которых становилась фактическая замена оборудования, включая плавильные печи. В таких случаях ущерб от вторжения в промышленную IoT-инфраструктуру может быть несоизмеримо выше, так как он ставит под угрозу работу и даже существование всего предприятия. Отдельно стоит упомянуть атаки на медицинские учреждения. Практически все современное медицинское оборудование так или иначе сопряжено с IoT-устройствами. При выведении его из строя больницы теряют возможность оказывать медицинскую помощь, что создает прямые угрозы для жизни пациентов.

Если говорить о географии, такие случаи происходят по всему миру, но и в российской практике можно найти показательные примеры. Достаточно вспомнить атаку на крупнейшего авиаперевозчика, после которой в течение нескольких дней были нарушены производственные процессы, а перелеты фактически остановились. Это не была чистая IoT-атака, но она наглядно показала, к каким последствиям приводит вмешательство в критические процессы. Кроме того, результаты специализированных пентестов показывают, что квалифицированные специалисты достаточно регулярно получают доступ к сетям управления производством различных компаний. Иными словами, тема атак на цифровые двойники и IoT-устройства сейчас воспринимается как очень острая, поскольку эти атаки могут оказаться фатальными для бизнеса.

Как обеспечить отказоустойчивость и безопасность инфраструктуры

Обеспечение отказоустойчивости инфраструктуры - задача комплексная, и начинать здесь стоит не с отдельных технологий, а с понимания, с чем именно мы имеем дело. В первую очередь необходимо определить состав активов: датчики, контроллеры, станции управления и другие элементы инфраструктуры. Важно понять профиль их взаимодействия между собой и оценить, насколько инфраструктура сегментирована. Сегментация напрямую влияет на снижение поверхности атаки и ограничение возможного воздействия злоумышленника.

Далее логично перейти к инструментам обеспечения безопасности IoT. В таких сетях часто используются специализированные протоколы, отличающиеся от классического стека TCP/IP. Соответственно, средства защиты должны уметь работать именно с этими протоколами. Причем речь идет не только о сетевом и транспортном уровнях, но и о прикладном уровне - о понимании команд, передаваемых внутри протокола. Формально команды могут быть корректными, но их последовательность способна привести к остановке или нарушению технологического процесса. Поэтому системы безопасности IoT должны понимать тип оборудования, производителя, версии прошивок, связанные с ними уязвимости, а также уметь анализировать служебные протоколы и выявлять аномалии в их использовании.

Именно поэтому наряду с сегментацией важно применять специализированные системы инвентаризации активов для сетей управления производством и специализированные системы обнаружения атак. При этом в промышленной среде существует принципиальное ограничение: автоматическое реагирование и предотвращение угроз может само по себе привести к нарушению технологического процесса. Если в классических IT-сетях автоматизированное реагирование используется достаточно часто, то в сетях IoT его стараются избегать, чтобы не создать дополнительных рисков для производства.

Если рассматривать применимость Zero Trust в контексте умных фабрик и распределенной IoT-инфраструктуры, то в адаптированном виде этот подход вполне реализуем. В упрощенном виде он сводится к тому, что к системе допускаются только верифицированные устройства: разрешенного типа, с известной прошивкой и определенным профилем взаимодействия. После подключения контролируется не только сам факт доступа, но и поведение устройства, характер его взаимодействия с инфраструктурой управления производством и влияние на нее.

Организационные меры не менее важны, чем технические. Ни обучение персонала, ни регламенты, ни ограничения доступа по отдельности не работают. Если есть ограничения, но персоналу не объяснили их смысл, их будут пытаться обходить. Если нет регламентов, сотрудники не понимают, как действовать в штатных и нештатных ситуациях. Если регламент существует, но не подкреплен реальными ограничениями доступа, он остается формальностью. Обучение персонала должно быть постоянным - как для новых сотрудников, так и для тех, кто давно работает в компании. А регламенты необходимо не только писать, но и тестировать, поскольку на практике может выясниться, что они невыполнимы.

Кроме сегментации, межсетевых экранов, систем мониторинга и обнаружения вторжений важную роль играют ПАМ-системы - системы управления доступом привилегированных пользователей. Они позволяют контролировать действия сотрудников и подрядчиков, в том числе при удаленном доступе, четко фиксировать, что именно и в какой последовательности было сделано. Это дает возможность восстановить картину событий в случае сбоя и понять, какие действия к нему привели. В итоге устойчивость и безопасность инфраструктуры достигаются только за счет сочетания обучения персонала, протестированных регламентов и технических средств, обеспечивающих их реальное выполнение.

Иными словами, защита и отказоустойчивость промышленной и IoT-инфраструктуры не сводятся к внедрению одного инструмента или подхода. Это всегда системная работа, в которой аудит активов, корректная сегментация, специализированные средства мониторинга, осмысленное применение принципов Zero Trust и организационные меры дополняют друг друга. Любые перекосы - упор только на технологии или только на регламенты - создают уязвимости. Именно поэтому устойчивые инфраструктуры строятся как целостная экосистема, где технические и организационные меры изначально проектируются вместе и регулярно пересматриваются по мере появления новых угроз, а также роста бизнеса.