Масштабное исследование, проведенное компанией OMICRON под названием «Обследование более 100 энергетических систем выявляет критические пробелы в кибербезопасности OT» (Survey of 100+ Energy Systems Reveals Critical OT Cybersecurity Gaps), раскрыло тревожную картину состояния защиты промышленных сетей. Начиная с 2018 года и на протяжении нескольких лет специалисты собирали данные с более чем 100 установок, включая подстанции, электростанции и центры управления в десятках стран по всему миру. Для анализа использовалась система обнаружения вторжений (IDS) StationGuard, которая позволяла выявлять критические проблемы безопасности и операционные сбои зачастую в течение первых 30 минут после подключения к сети.
Методология сбора данных базировалась на пассивном мониторинге через зеркальные порты сети или Ethernet TAP, установленные на шлюзах и критических точках входа. Процесс обнаружения активов включал два этапа: пассивную идентификацию на основе файлов описания конфигурации системы (SCD) стандарта IEC 61850-6 и активный опрос. Активный запрос с использованием протокола MMS был необходим для получения так называемых «паспортных данных» (nameplate data), которые не передаются при обычном обмене данными в системах релейной защиты и автоматики (PAC). Это позволяло извлекать имена устройств, информацию о производителях, номера моделей, аппаратные идентификаторы и, что наиболее важно, версии прошивок.
Анализ технических рисков кибербезопасности показал, что множество устройств PAC функционируют на устаревшем программном обеспечении. В частности, была обнаружена уязвимость CVE-2015-5374, позволяющая осуществить атаку «отказ в обслуживании» (DoS) на защитные реле с помощью всего одного UDP-пакета. Несмотря на то, что исправления для этой уязвимости доступны с 2015 года, значительное количество оборудования остается необновленным. Риски также были выявлены в реализациях протокола GOOSE и стеках протоколов MMS.
Ситуация с внешними подключениями оказалась не менее серьезной: специалисты фиксировали недокументированные TCP/IP соединения с внешним миром. В одной из подстанций было обнаружено более 50 постоянных подключений к внешним IP-адресам. Кроме того, в сетях часто присутствовали ненужные и небезопасные сервисы, такие как общий доступ к файлам Windows (NetBIOS), службы IPv6, незащищенные функции отладки ПЛК и сервисы управления лицензиями, работающие с повышенными привилегиями. В инфраструктуре также находили скрытые устройства, не включенные в инвентарные списки, включая IP-камеры, принтеры и средства автоматизации.
Слабая сегментация сети стала еще одной распространенной проблемой: многие объекты функционировали как единая большая «плоская сеть». Офисные IT-сети часто имели доступ к удаленным подстанциям, что создавало дополнительные векторы атак. Наиболее частой находкой в категории операционных проблем стали ошибки с VLAN, в частности несогласованное тегирование сообщений GOOSE. Также фиксировались несоответствия конфигураций между удаленными терминалами (RTU) и SCD-файлами, приводящие к сбоям обновлений SCADA, ошибки синхронизации времени и проблемы с резервированием, такие как петли RSTP, вызывающие деградацию производительности.
Организационные слабости играют ключевую роль в сохранении уязвимостей. Исследование выявило жесткие ведомственные границы («силосы») между IT и OT командами, а также острую нехватку специализированного персонала по безопасности OT. Управление безопасностью часто возлагается на IT-департаменты, которые не понимают специфических требований энергетической инфраструктуры, а ресурсные ограничения препятствуют внедрению необходимых мер контроля.
Для решения описанных проблем предлагается использование специализированных решений, таких как StationGuard, которое обеспечивает гибридную инвентаризацию активов и визуализацию сетевых коммуникаций. Система использует методы «белых списков» (allowlisting) для обнаружения отклонений от нормального поведения и сигнатурное обнаружение для идентификации известных угроз в реальном времени. Такой подход разработан специально для устройств без стандартных операционных систем, где установка защитного ПО на конечные точки невозможна.
Все выявленные проблемы и предлагаемые меры рассматриваются в контексте ведущих мировых стандартов и фреймворков безопасности, включая NIST Cybersecurity Framework, IEC 62443 и серию стандартов ISO 27000. Соблюдение этих нормативов и устранение обнаруженных пробелов в протоколах IEC 104, GOOSE и MMS является критически важным для обеспечения надежности глобальной энергетической инфраструктуры.
Изображение носит иллюстративный характер
Методология сбора данных базировалась на пассивном мониторинге через зеркальные порты сети или Ethernet TAP, установленные на шлюзах и критических точках входа. Процесс обнаружения активов включал два этапа: пассивную идентификацию на основе файлов описания конфигурации системы (SCD) стандарта IEC 61850-6 и активный опрос. Активный запрос с использованием протокола MMS был необходим для получения так называемых «паспортных данных» (nameplate data), которые не передаются при обычном обмене данными в системах релейной защиты и автоматики (PAC). Это позволяло извлекать имена устройств, информацию о производителях, номера моделей, аппаратные идентификаторы и, что наиболее важно, версии прошивок.
Анализ технических рисков кибербезопасности показал, что множество устройств PAC функционируют на устаревшем программном обеспечении. В частности, была обнаружена уязвимость CVE-2015-5374, позволяющая осуществить атаку «отказ в обслуживании» (DoS) на защитные реле с помощью всего одного UDP-пакета. Несмотря на то, что исправления для этой уязвимости доступны с 2015 года, значительное количество оборудования остается необновленным. Риски также были выявлены в реализациях протокола GOOSE и стеках протоколов MMS.
Ситуация с внешними подключениями оказалась не менее серьезной: специалисты фиксировали недокументированные TCP/IP соединения с внешним миром. В одной из подстанций было обнаружено более 50 постоянных подключений к внешним IP-адресам. Кроме того, в сетях часто присутствовали ненужные и небезопасные сервисы, такие как общий доступ к файлам Windows (NetBIOS), службы IPv6, незащищенные функции отладки ПЛК и сервисы управления лицензиями, работающие с повышенными привилегиями. В инфраструктуре также находили скрытые устройства, не включенные в инвентарные списки, включая IP-камеры, принтеры и средства автоматизации.
Слабая сегментация сети стала еще одной распространенной проблемой: многие объекты функционировали как единая большая «плоская сеть». Офисные IT-сети часто имели доступ к удаленным подстанциям, что создавало дополнительные векторы атак. Наиболее частой находкой в категории операционных проблем стали ошибки с VLAN, в частности несогласованное тегирование сообщений GOOSE. Также фиксировались несоответствия конфигураций между удаленными терминалами (RTU) и SCD-файлами, приводящие к сбоям обновлений SCADA, ошибки синхронизации времени и проблемы с резервированием, такие как петли RSTP, вызывающие деградацию производительности.
Организационные слабости играют ключевую роль в сохранении уязвимостей. Исследование выявило жесткие ведомственные границы («силосы») между IT и OT командами, а также острую нехватку специализированного персонала по безопасности OT. Управление безопасностью часто возлагается на IT-департаменты, которые не понимают специфических требований энергетической инфраструктуры, а ресурсные ограничения препятствуют внедрению необходимых мер контроля.
Для решения описанных проблем предлагается использование специализированных решений, таких как StationGuard, которое обеспечивает гибридную инвентаризацию активов и визуализацию сетевых коммуникаций. Система использует методы «белых списков» (allowlisting) для обнаружения отклонений от нормального поведения и сигнатурное обнаружение для идентификации известных угроз в реальном времени. Такой подход разработан специально для устройств без стандартных операционных систем, где установка защитного ПО на конечные точки невозможна.
Все выявленные проблемы и предлагаемые меры рассматриваются в контексте ведущих мировых стандартов и фреймворков безопасности, включая NIST Cybersecurity Framework, IEC 62443 и серию стандартов ISO 27000. Соблюдение этих нормативов и устранение обнаруженных пробелов в протоколах IEC 104, GOOSE и MMS является критически важным для обеспечения надежности глобальной энергетической инфраструктуры.
