Кибератака на железнодорожное сообщение Ирана: подводные камни IT/ OT (АСУ ТП)

В результате кибератаки 09/07 были повреждены железнодорожные информационные панели по всему Ирану. Как следствие, большинство поездов были задержаны или отменены. Пассажирам поступила рекомендация звонить в офис Аятоллы Али Хаменеи для получения дополнительной информации. Последовал хаос.

Хотя подробностей об иранской атаке мало, можно констатировать, что системы информационных панелей часто гораздо более уязвимы для кибератак, чем железнодорожные системы сигнализации и диспетчеризации. 

Большинство рельсовых систем по всему миру размещают обновления своего расписания на своих веб-сайтах или в приложениях для мобильных телефонов, которые доступны в Интернете. Во всех таких системах должен быть канал связи, который соединяет Интернет с источниками данных о местоположении локомотива. Современные железнодорожные системы не допускают такое соединение через брандмауеры. Вместо этого они отправляют данные о местоположении и расписании из систем управления железной дорогой в Интернет через однонаправленные шлюзы. 

Однако в атака в Иране напоминает о важности правильной классификации ІТ- и ОТ-систем. Рекомендация всем специалистам по безопасности ОТ (АСУ ТП): посмотреть, что происходит, когда все компьютеры, подключенные к ІТ, полностью скомпрометированы. Могут ли операции OT (АСУ ТП) продолжаться в этом наихудшем сценарии? Действительно ли скомпрометированное или поврежденное ІТ-оборудование необходимо для поминутных ОТ-операций?

В сценарии с иранской железной дорогой информационные панели были жизненно важны для направления пассажиров к их поездам, и такие информационные панели часто доступны из ІТ-сетей. В недавнем инциденте с Colonial Pipeline появились сообщения о том, что системы отслеживания продуктов и биллинга трубопроводов были настолько тесно интегрированы между сетями ІТ и OT (АСУ ТП), что трубопровод не мог продолжать работу с поврежденной ІТ-сетью.

Неисправная ІТ-сеть - это плохо. Поврежденные ОТ-операции обычно хуже. Если бизнес решит, что отключение OT (АСУ ТП) из-за компрометации ІТ является недопустимым риском, то необходимо принимать меры. Возможно, потребуется переместить некоторые ІТ-системы, такие как системы рельсовых вывесок, в сеть OT (АСУ ТП) и защитить эти системы однонаправленно. Или же может потребоваться сохранить копию важной информации OT (АСУ ТП), такой как измерения продукта трубопровода и потока, ближе к тому месту, где эта информация создается в сети OT, а не только в сети ІТ. Таким образом, можно продолжать ОТ-операции, а когда ІТ-системы наконец будут восстановлены из резервных копий, можно будет отправить сохраненные данные обратно в эти ІТ-системы. Также может потребоваться кэширование производственных заказов или информации о расписании за одну или две недели в системах OT (АСУ ТП). Таким образом, если ІТ-системы, которые производят эти данные, выйдут из строя, ОТ-системы по-прежнему будут иметь инструкции, необходимые для продолжения работы, пока ремонтируется ІТ-сеть.

Обязательно выясните, какие ІТ-системы критически важны для работы. И если вы хотите предотвратить сбои в работе, то защитите ОT-сети однонаправленно. Но также необходимо поместить все критически важные для работы системы в однонаправленно защищенные сети и кэшировать в этих сетях все входящие и исходящие данные, которые необходимы для обеспечения непрерывной работы во время простоев ІТ.

Для более глубокого понимания того, как защитить OT-сети, обращайтесь за персональной консультацией к специалистам Softprom. Рекомендуем рассмотреть решения Waterfall.

Softprom - Value Added Distributor компании Waterfall Security Solutions.