Ваши установок и трубопроводов в безопасности от кибер-атаки?

Понимание безопасности принципы и терминологию, может помочь химической и контроль инженеров связаны с возникающими угрозами обычных и кибер-терроризмом.

Еще до ужаса во Всемирном торговом центре нападения 11 сентября, нефть, природный газ и химической промышленности знал важность мер по обеспечению физической безопасности, для защиты своих млрд. долларов, большой общественный резонанс инвестиций от ущерба. Физическая защита периметра, в форме охранников, заборы и видеокамеры, уже давно используются для защиты нефтеперерабатывающих и химических заводов, опасных жидкостей в них содержатся, и люди, работающие внутри, от незваных гостей, желающих сделать вреда.

С 11 сентября в реализации возросшей угрозы терроризма иностранных существующие безопасности вокруг опасных веществ были ужесточены драматически. Танкер поставки сжиженного природного газа было запрещено Бостон Харбор в течение почти двух месяцев. Первый танкер позволило в в сопровождении усиленной охраной, в том числе вертолет, стрелков и полицейских водолазов.

Терроризм в отношении людей и имущества в США не всегда была иностранного происхождения. "Доморощенных" разнообразие может привести к летальному исходу, как и в случае Тимоти Маквей и взрыв в Оклахома-Сити. Менее известные из них нападения в сравнении с запланированными нефти объектов. Например, в 1999 году ФБР арестовала двух членов антиправительственных боевиков в Элк-Гроув, Калифорния, которые планировали совершить нападение на объекты, где 24 млн литров пропана хранились (1). Ранее ФБР также сорвали планы группы Ку-клукс-клана атаковать нефтеперерабатывающий завод Техас.

В "обычных" терроризм, атаки на физическое, "низкий-тек" средств, с использованием бомб, пулеметов, или в случае Всемирного торгового центра, самолеты. Менее известны, чем угроза физического нападения, но, тем не менее серьезной угрозой является возможность кибер-нападения, через компанию компьютеров и сетей, в тот же защищаемых объектов со стороны охранников и заборов. С появлением компьютерного управления процессами, персональных компьютеров или рабочих станций, в настоящее время ссылка на химический завод и завод систем контроля и управления через программируемые логические контроллеры (PLC) или распределенных систем управления (DCS). В случае нефти и газопроводов, персональных компьютеров и рабочих станций мониторинга процесса данные, такие как температура, давление и скорость потока через диспетчерского управления и сбора данных (SCADA) сетей. Тогда центральных и местных контрольных станций посылают сигналы к удаленному клапаны открываются и закрываются для регулирования расхода или давления или для уплотнения плотно в чрезвычайных ситуациях.

Национальный нефтяной совет (NPC), консультативный комитет министр энергетики США, недавно выпустил доклад под названием "Обеспечение нефти и природного газа инфраструктуры в условиях новой экономики" (2). В настоящем докладе приводятся уязвимости систем SCADA на кибератаки. Угроза может исходить изнутри или извне компании, а также усиливает если SCADA системы напрямую связаны с бизнес-сетей своих компаний и особенно Интернета. В качестве примера точка, из другой отрасли, кибер-атаки на компьютерную систему обработки отходов в штате Квинсленд, Австралия, послал миллионы галлонов неочищенных сточных вод разлив в местные парки и реки. 49-летняя человек, который работал на поставщика, который установлен в канализацию, негодовали по поводу отказа приеме на работу в город, был признан виновным в нападении на компьютеризированную систему 46 раз, и посадили в тюрьму на два года (3).

Хотя либо физического или кибератаки сама по себе может нанести ущерб, сочетание физической и кибер-элементы могут быть использованы для создания максимального хаос. Кроме того, если человек внутри объекта, имеющего доступ к планы, чертежи и контроля сетей, участвует (называемых "опасных инсайдера"), нападение может быть спланирована и проведена с большей скоростью и эффективностью, чем если бы посторонний человек пришлось немало потрудиться, собирать ту же информацию и получить доступ.

В ответ на растущие угрозы химического инфраструктуры, Американский совет химической промышленности (АКК), а также два других промышленных ассоциаций, опубликовал "Руководство по безопасности сайта в США, химической промышленности" (1) в октябре. Это руководство было собрать с участием специалистов по безопасности работающих в компании, участвующие в исследовании. Она охватывает различные аспекты безопасности - традиционные сферы физической защиты (от охранников и ворота к обработке бомбы угроз), объем кибер-защиты (защита бизнеса и ключевых сетей компании, особенно если они контролируют, связанных с безопасностью оборудования), а также сотрудников и подрядчиков безопасности (как избежать "опасной инсайдерской" с тщательной проверки перед наймом на работу судимости и прошлые проступки).

Использование безопасности сценарий для облегчения понимания

Хороший способ понять принципы безопасности является использование гипотетический сценарий успешной атаки, а затем представить себе, какие меры предотвращения или поражение этого нападения. Чтобы показать, как кибер-атака может развиваться, а также показать, как физические, кибер-безопасности персонала и взаимодействуют, мы будем строить гипотетические террористическое нападение на газопровод. Наш "террористом", недовольных, violenceprone сотрудник недавно нанял на природный сжатия газа и трубопроводов станции управления, в сельской части Америки. Сценарий предполагает одновременное кибер-и физических нападений. (Заметим, что всякий раз, когда нападение сценарии положить в печати, информированности и учебных целях, иногда заслуженно критики в том, что эта информация может "дать идеи потенциальных преступников". С другой стороны, если недостатки безопасности, не анализируя и решая, не могут обучения иметь место. В качестве компромисса, я выбрал, чтобы избежать многих "как-к" детали в этом сценарии, чтобы разъяренный служащий выбирать для выполнения кибер-атаки в трудный путь, и иметь физическую атаку провели в несколько нереальным образом.)

Хотя руководство АКК предназначен для безопасности стационарных объектов и перемещение природного газа по трубопроводам, как правило, считается перевозочной деятельности, большая часть информационной безопасности носит общий характер и могут быть применены к этому сценарию. АКК также недавно опубликовала руководящие принципы для обеспечения безопасности на транспорте. Однако, эти нормы распространяются на движимое химических контейнеров, таких, как железнодорожные вагоны и цистерны, а не трубопроводов. Говоря о руководстве АКК, кибер-угрозы в этой ситуации есть "Создание разрушительных и опасных условиях за счет модификации отказоустойчивых механизмов или подделка клапанов (сделано в лицо или в электронном виде на расстоянии). Физические угрозы включает ущерб похоронен под высоким давлением трубопровода ".

Установка этап - 1 показана гипотетическая трубопровода. 24-в. погребен под высоким давлением (1200 фунтов на квадратный дюйм) природного газа передачи трасса пересекает под две полосы шоссе, ведущем в городок. Наши недовольные работник работает на компрессорной станции в 40 милях к западу от города. Недалеко от компрессорной станции, газовая компания построила небольшой административный офис области хранения инструмента для обслуживания трубопроводов и ремонтных бригад, которые останавливают время от времени в течение нескольких дней за один раз. Следующий компрессорной станции вдоль трассы трубопровода составляет 60 милях к востоку от города.

Компрессорной станции состоит из компрессора комнате и в диспетчерской. В прошлом, для этого потребовалось персонала на один оператор круглосуточно (2 людей, всего каждый рабочий 12-х смен). Потому что региональный менеджер обеспокоен резервную копию, если ни работник заболевает, два месяца назад он нанял помощника, чтобы помочь дневной смены оператора и узнайте работу. Однако из-за Mixup при приеме, уголовное проверки сведений не было сделано. Без ведома региональный менеджер, помощник он просто нанял имеет историю вспышки насилия характер. Эти вспышки привели к предыдущей арест после того как он "получил даже" уничтожено около оборудовании компании после того, как выговор в строительстве 2 года назад. Региональный менеджер только что нанял будущего "опасных инсайдерской".

Хуже того, новый помощник также взяла компьютерного взлома, как "хобби" после того как он принял класса компьютерного управления и автоматизации в местной школе торговли. Он посетил хакерских сайтов, где все виды вирусов, сетевых атак, инструменты и учебные пособия шаг за шагом взлома находятся в свободном доступе для скачивания. По оценкам Существуют тысячи из этих хакерских сайтов в Интернете.

Трубопровод аварийной запорной арматуры - Ссылаясь на рисунке 1, компания имеет два вида клапанов на трубопроводе вблизи города. На востоке традиционных, маховик управлением ручной клапан отключения. Руководство клапаны запорные уже давно используются на газопроводы, чтобы изолировать участки трубы. Они требуют оператора трубопровода, либо иным соответствующим знающих чрезвычайных работника, чтобы добраться до удаленного клапана и вручную закрыть клапан. Это занимает драгоценное время в чрезвычайных ситуациях.

В результате аварии в Edison, NJ, в 1994 году, когда 36-в. природного газа линии разрыва и газ воспламеняется, образуя впечатляющий болид 500 футов в воздух, повышенное внимание было сосредоточено на второй тип клапана, дистанционно управляемый запорный клапан. В сущности, это ставит автоматического привода на клапан с ручным управлением поэтому она может работать на расстоянии.

В результате этого инцидента Эдисона, он взял операторов два с половиной часа, чтобы найти и отключить ручных клапанов, чтобы изолировать разрыв раздела, во время которого выбрасываемого газа сжигается свободно (4). Пожарные эвакуировали области, но были не в состоянии бороться с интенсивным огнем, поскольку она постоянно пополняется новыми газа из удаленных участках трубопровода. С автоматические клапаны запорные, которые могут работать на расстоянии с помощью сети SCADA, предполагается, что время для отключения автоматического клапана может составлять всего лишь 10 минут с момента оповещения.

Наш гипотетический газопровод один старый клапан с ручным управлением HOV-1, к востоку от города, и новые удаленные клапан, тут-2, к западу от города, который может управляться через сеть SCADA от компрессорной станции. Внутри компрессорной станции является шкаф управления, главный трубопровод, в котором находится ПЛК для трубопровода SCADA (рис. 2). Существует единый рабочей станции, использующей Windows NT, первоначально предусматривалось с единственной целью запуска человека-машинный интерфейс (HMI), а также другого программного обеспечения для управления компрессором и трубопроводов SCADA. Вместе рабочих станций и контроллеров включать основное устройство терминала для сети SCADA.

Рабочая станция также используется время от времени дневной смены оператора для PLC перепрограммирования. Новый вариант, чтобы изменить настройки клапана или датчика операции, могут быть запрограммированы на языке PLC и загруженные в ПЛК для испытаний, а затем производства. (Обратите внимание, что рабочее место всегда связана с ПЛК и нет ограничений по безопасности о загрузке измененной программы в ПЛК в место).

За месяц до нового помощника был нанят, dayshift оператор спросил региональный менеджер для доступа к электронной почты компании системы, поэтому он и в ночную смену оператор может получить компания бюллетеней и чувствуют себя более связан с компанией. В ответ, региональный менеджер мысли простой способ сделать это было бы продлить кабель от административного здания компрессорной станции, что дает операторам доступ к компании-центр с рабочей станции NT. Подключение сетевого кабеля в сетевой карты на задней панели станции было все, что было необходимо. На следующий день, операторы начали получать по электронной почте бюллетени.

Однако, поступая так, региональный менеджер также непреднамеренно дал операторам возможность удаленного доступа к сети Интернет, так как административный центр здания подключены к корпоративной вычислительной сети (WAN), который затем подключен к внешней сети Интернет через межсетевой экран на штаб-квартире. После dayshift оператор понял, что он может достичь в Интернет через своего нового подключения к локальной сети, он настроен встроенный веб-браузер в NT, чтобы воспользоваться обретенной подключения (он говорил, что книга компании правило, прямо не говорят Интернете операторами было запрещено). Он не транслировать его существования новые возможности Интернет никому, кроме его ближайших сотрудников. Являясь добросовестным сотрудником, он только серфингом в Сети, когда он ел свой ужин в кабине управления мониторинга стол между 7:00 и 7:30 вечера каждый вечер. Он также был тщательно только по поиску на спортивные и музыкальные сайты.

Ведущие до нападения - один день, с небольшими провокации, нового сотрудника, разочарование в оборудование, которое просто не будет правильно калибровать, начал ругаться громко, а потом бросил отвертку через контрольную комнату, едва не стеклянной крышкой компрессора, мониторинга консоли. Dayshift оператор немедленно позвонил региональный менеджер, который ехал прямо над и стал жестоко выговор нового сотрудника. Региональный менеджер положил ассистентом на испытательный срок в течение двух недель и сказал, что в следующий раз что-то подобное произошло, он был бы уволен на месте.

Нового сотрудника, страдая от выговора, и теперь на уведомление, отреагировали как он сделал в прошлом, а теперь скатывается на роль "опасного инсайдерской". Он ждет, пока dayshift оператор прочь на административное здание, а затем быстро подтягивает веб-браузер на рабочей станции. Затем доступ своей любимой хакерский сайт, и загружает А "Trojan Лошадь" программа рабочей станции. Троянский конь это программа, которая претендует быть безобидными, как видео игры или утилиты, но потом что-то делает вредоносные для компьютера жертвы. Данный Троянский конь позволяет управлять компьютером жертвы на расстоянии до тех пор, как зараженный компьютер подключен к Интернету.

Теперь, когда установлен "троянский конь, помощник знает, что может подключиться обратно в комнату станции дистанционно управлять из своего домашнего компьютера. Если и когда придет время, помощник сможет скачать новый, дистанционное управление программы клапан логики файл он поспешно состоит из рабочей станции к ПЛК, не зная, dayshift оператора.

Нападение - Через три дня, помощник бросает другой неспровоцированной истерику с участием инструмент бросали. На этот раз, региональный менеджер оказывается рядом, в административном здании. Он стреляет помощник на месте, и сопровождает его от собственности. Но теперь, наши "опасные инсайдерской" планирует свое место в планы по "получить даже. Он едет домой (он живет недалеко от городка), и выходит прямо на его домашнем ПК. Его троянского коня модуля, что "телефоны дома" на веб-за заказы каждые 20 минут. Бывший помощник соединяет до его Троянский конь ", и команды его скачать программу он поспешно изменение в контрольной комнате в ПЛК. У него есть только одна линия изменение в программе PLC, но это изменение позволит предотвратить автоматический клапан трубопровода вблизи города из когда-либо закрыть. Затем он активируется изменение программы PLC. Затем, чтобы замести свои следы, он удаляет программы Троянский конь с рабочей станции, жесткий диск и выходит.

Около 9:00 вечера вечером, после употребления квартале бутылку виски, помощник выходит на "получить еще", и повеселиться в то же время. Он идет к месту, где он знает, что трубопровод пересекает дорогу в город. Он планирует докопаться 4 ногами по грязи плечо шоссе, чтобы найти трубопровода, а затем частично заполнить отверстие резервную копию. Он будет бросать самодельные гранаты руку в отверстие, чтобы скорейшего выезда по набережной возле дороги, а затем весело смотреть экипаж аварийный трубопровод и пожарные спешат реагировать на утечки после прохождения автомобилист Об этом сообщает. (Фельдшер, очевидно, никогда не узнал опасности освобождения природного газа на 1200 фунтов на квадратный дюйм!) Он рассуждает, что малые осколки из его домашней гранатой будет сделать несколько отверстий в трубе, но не будет достаточно, чтобы уничтожить трубы.

Без ведома помощник, точное место, где он просто хочет сделать отверстия в трубопроводе было ранее подвергшимися воздействию незарегистрированными "третьей стороной ущерб" предыдущего экипажа дорожного строительства. Поверхности трубы ржавые имеет достаточно, чтобы вызвать крупный разрыв трубопровода, когда он был поврежден во второй раз. Последовавшая за этим разрыва выброса газа и воспламенение причиной впечатляющий болид стрелять в воздух, убивая funseeker мгновенно.

Маршалл-Таун огонь в ответ на экстренный вызов в соответствии с его предыдущей подготовки. Он едет за и закрывает клапан с ручным управлением HOV-1 к востоку от города. Затем он кладет в службы экстренной помощи, чтобы компрессорной станции, чтобы закрыть клапан автоматического западу от города, чтобы изолировать разрыв раздела. Ночную оператора тщетно пытается, но не может закрыть автоматический клапан из диспетчерской. Маленький он знать, что один маленький строки кода, "Закрыть вентиль RCV-2", в логике программы, была удалена. На его месте было написано послание ", я еще!"

Угрозы и уязвимости

На языке промышленной безопасности, нового сотрудника, который становится "опасной инсайдеров", представляет собой угрозу. Угроза потенциал для человека или событие, чтобы навредить людям, имуществу или прибыли. Угрозы используют уязвимости, или слабые места в системе. Некоторые уязвимости в сценарии компании природного газа являются:

Cyber уязвимости

* Использование коммерческого готовый (COTS) программного обеспечения, таких как Windows NT на компьютере типа автоматизированного рабочего места в диспетчерской сжатия провести важнейшие функции управления трубопровода

*, Используя имеющийся в наличии, коммерческие операционные системы, а затем здание HMI и другие приложения управления с компьютера Языки и оконных интерфейсов, изначально предназначенных для некритических персональных вычислительных систем и бизнес-приложений, что увеличивает риск непредсказуемых видов отказов и уязвимости в программном обеспечении и, следовательно, успешных атак кибер-

* Использование другого программного обеспечения COTS, таких как приложения электронной почты или Интернет-браузеров, на критических рабочих станций контроля трубопровода; помощью этого увеличивается угроза того, что HMI будет висеть из-за памяти помех, или операционная система рухнет из-за программирования ошибку, в критический момент, когда HMI требуется для чрезвычайных мер контроля

*, Обеспечивающую прямую связь между локальной сетью компании или в Интернете и критических управления сетью; интранет и Интернет, общие источники инсайдерской аутсайдером или рубить нападения.

уязвимости персонала системы

* Отсутствие системы в целях обеспечения тщательного предварительного отбора новых сотрудников и подрядчиков, в том числе уголовного проверки анкетных данных

* Отсутствие последующего расследования нового аренду, а после первой инструмент инцидента с бросанием показали потенциальную проблему, делает дальнейшее расследование, возможно, обнаружили отсутствие уголовного проверить фона помощник был нанят.

Физическая уязвимость

* За тысячи миль от высокого давления, трубопроводов природного газа передачи крест-накрест страны, и, как правило, похоронен около четырех футов под землей.

Контрмеры

Контрмеры шагов, которые могут быть приняты для усиления слабых мест в системе, либо путем уменьшения уязвимости или ловить exploitations от уязвимости перед вреда может быть сделано. Некоторые контрмеры, которые могли бы быть сделано для укрепления безопасности в сценарии природного газа выше, могут быть:

Cyber контрмер

* Не позволяйте другим ПО COTS, таких, как электронная почта, электронные таблицы и веб-браузеры, для запуска на одном компьютере с критической HMIs и другие интерфейсы управления. Несколько химических компаний выбрали, чтобы изолировать их систем управления технологическими процессами полностью из сети и корпоративной сети просто не позволяя сети перекрестных соединений. Это может быть эффективной, но довольно суровым мера, поскольку нынешний бизнес-философия заключается в подключении "Завод этаже с конференц-зале" и получить быстрый поток информации для бизнеса баз данных и управления ими. Частичной мерой могло бы стать местом встроенного брандмауэра, что позволяет только определенной ограниченной трафика между бизнес-сетей и управления технологическими процессами.

* Принять меры для обеспечения безопасности, так что это не просто для посторонних лиц изменения критических программ по контролю.

контрмер, Управление персоналом

* Установка и применять политики в области трудоустройства требующих строгого отбора preemployment. Использование знака-офф бюллетени, периодические проверки и т.д., для обеспечения процедуры соблюдаются.

* Расследованию инцидентов, как инструмент с бросанием 1, что может указывать на предрасположенность некоторых работников к будущему агрессивное поведение.

Физическая контрмер безопасности

* Это один является жестким. В отличие от химического завода или завода, который определен по периметру и может быть строго охраняется, как представляется, нет очевидных контрмеры по уменьшению уязвимости тысяч миль высокого давления природного газа в трубопроводах физического нападения. Эта уязвимость почти, как представляется, данное, риск для безопасности нашего общества выбрали жить, чтобы иметь обильную поставку энергии по всей стране.

Подтверждение

Автор хотел бы поблагодарить Гидеон Lenkey из Infotech Associates, Inc, фирмы компьютерной безопасности в Whitehouse Station, NJ, для помощи и пересмотра в написании этой статьи. Кроме того, Амит Синха Agere Systems помогли этим усилиям.

ЛИТЕРАТУРА

1. Американский совет по химии, синтетические органические ассоциация производителей химической продукции и хлора институт "Безопасность сайта Руководящие принципы для химической промышленности США" (октябрь 2001).

2. "Обеспечение нефти и природного газа инфраструктуры в условиях новой экономики", доклад Национального нефтяного совета (июнь 2001).

3. Смит, T., "Хакер тюрьме за нападения Месть сточных вод", статьи в кибер-версия Регистрация Великобритании (31 октября, 2001).

4. "Трубопроводный Безопасность: Быстрое Выделение Разорванные Sections на газопроводах", заседание заявление Управления безопасности трубопроводов, US Dept транспорта (сентябрь 1999).

DAVID J. TEUMIM, консультант