«Лаборатория Касперского» и «Систэм Электрик» планируют создавать «кибериммунные» устройства на основе KasperskyOS для промышленных предприятий, а также энергетической сферы. Об этом «Газете.Ru» сообщили в «Лаборатории Касперского». Соглашение о сотрудничестве будет подписано в рамках конференции Kaspersky Cyber Immunity Conference-2023, которая пройдет в Санкт-Петербурге 20 июня. Публично о сделке объявлено еще не было.
Тандем российских компаний займется выпуском терминалов релейной защиты и автоматики (РЗА) и программируемых логических контроллеров (ПЛК). Данные системы представляют собой примитивные компьютеры, предназначенные для выполнения узконаправленных задач вроде контроля, измерения и регулирования параметров работы подстанций.
Они входят в число ключевых узлов в инфраструктуре, которые часто связаны непосредственно с технологическими процессами: производством чего-либо на заводе или выработкой электричества на станции.
«В рамках соглашения партнеры смогут внедрять «кибериммунные» устройства на любых объектах с большой энергетической мощностью для защиты трансформаторных подстанций, в электросетевом хозяйстве, — к примеру, на электростанциях, нефтеперерабатывающих предприятиях, металлургических заводах, а также в генерирующих, передающих электроэнергию компаниях», – сообщили в «Лаборатории Касперского».
Главной особенностью нового оборудования является так называемая «кибериммунность», которой его наделяет KasperskyOS. «Кибериммунностью» компания называет принцип разработки Secure-by-Design («безопасность на уровне дизайна». – Прим. ред.), который заключается в проектировании устройства и ПО с учетом всевозможных киберрисков.
Принцип Secure-by-Design также заключается в том, что разработка ведется в первую очередь с оглядкой на безопасность и только потом – на функциональность.
Как объяснил «Газете.Ru» руководитель группы развития бизнеса KasperskyOS Виктор Ивановский, эта ОС обладает свойством «кибериммунности» за счет наличия в своей основе ядра собственной разработки. Ядро – это компонент, который отвечает за работу всех процессов внутри ОС. Такие компоненты представлены в двух видах: монолитное ядро и микроядро.
Ядро первого типа лежит в основе большинства известных ОС вроде Windows, Linux и Android. ОС на микроядре представлены только в трех вариантах: Harmony OS (Huawei), Fuchsia OS (Google), KasperskyOS («Лаборатория Касперского»).
Функционально ОС на монолитном ядре от ОС на микроядре, по словам Ивановского, отличается двумя факторами. Во-первых, в монолитных ядрах плохо разграничен обмен данными между программами и драйверами, что чревато взломом всей системы в случае компрометации одного компонента.
«Монолитное ядро – это когда у тебя, условно, спаяны воедино компоненты и ядра, и драйвера, и периферия какая-то, и прикладное ПО, и системное программное обеспечение.
В монолитной ОС компоненты могут взаимодействовать друг с другом напрямую. Это, с одной стороны, удобно, а с другой стороны – с этим связан набор проблем.
Если какой-то из этих компонентов оказывается заражен, компрометируется вся система целиком. Отсюда и все истории про то, что приложение становится уязвимым, злоумышленник эксплуатирует уязвимость, а дальше получает контроль над атакованной системой», – объяснил Ивановский.
Во-вторых, монолитные ядра насчитывают миллионы строк программного кода, написанных сотнями и тысячами разработчиков за десятилетия, что гарантирует наличие в них опасных ошибок. Для сравнения: в микроядре KasperskyOS строк около 100 тыс.
«Есть исследование Университета Нового Южного Уэльса в Австралии, в котором сравниваются монолитные ядра и микроядра. В нем исследовали вероятность совершения разработчиками ошибок при написании кода. И цифры, которые выдаются в исследовании, это примерно 1-3 ошибки на 1 тыс. строк кода. Под ошибками понимаются случайные и так называемые «спящие ошибки» (sleeping bugs), активацию которых сложно предвидеть. В Linux 40 млн строк. Вот и посчитайте количество потенциальных проблем, с которыми столкнутся пользователи монолитных ядер», – подчеркнул Ивановский.
Оборудование, которое «Лаборатория Касперского» собралась производить совместно с «Систэм Электрик», не первая проба пера для KasperskyOS. Прежде компания уже представила сетевые шлюзы KISG-100, KISG-1000 и Kraftway (шлюз – это сетевое оборудование, которое позволяет объединить множество датчиков и интеллектуальных устройств и собирать с них данные в единую систему, – прим. ред.), а также тонкий клиент TONK TN1200. В будущем «Лаборатория Касперского» планирует представить версию своей ОС для мобильных устройств.
Производственные центры «Систэм Электрик» сосредоточены в городе Коммунар Ленинградской области и городе Козьмодемьянске республики Марий-Эл. О сроках начала производства РЗА и ПЛК под управлением KasperskyOS не сообщается.
Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский отметил, что существующие РЗА и ПЛК в российских компаниях являются «самой желанной целью» для злоумышленников, атакующих промышленные предприятия. Хотя, по его словам, успешные атаки на эти устройства случаются крайне редко, все они «приводят к серьезным и драматическим» последствиям.
«За последние десятилетия были созданы специализированные хакерские инструменты для проведения атак на такие типы устройств. Поэтому, несмотря на то что успешных и известных атак такого рода в мире не так много, защищать оборудование такого уровня критичности предприятия должны по умолчанию», – сказал Даренский.
Он также объяснил, что традиционные меры информационной безопасности не направлены на защиту конкретно этих устройств. Однако РЗА и ПЛК всегда входят в общую защищаемую ИТ-инфраструктуру предприятия и считаются в них «основными и критичными» узлами. По его словам, традиционных средств защиты достаточно для эффективной и результативной защиты предприятий и обсуждаемых компонентов в целом.
«Как правило, в список традиционных средств защиты таких систем входят механизмы обнаружения аномалий в их работе, а также межсетевые экраны для анализа данных. Еще одним важным элементом защиты является обучение персонала безопасной работе с информационными системами предприятия», – добавил руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев.
Опрошенные «Газетой.Ru» эксперты по-разному оценивают перспективы разработки «Лаборатории Касперского» и «Систэм Электрик». Например, заместитель генерального директора по науке и развитию компании-интегратора ИВК Валерий Андреев считает, что для оценки эффективности устройств на KasperskyOS их нужно сначала «обкатать на реальных объектах «Россетей».
«Наша практика показывает, что никто не рискнет приобретать оборудование на закрытой ОС с неподтвержденным функционалом. Если по факту исполнения проекта выйдет готовая ОС с необходимыми характеристиками, то успех и ажиотаж возможен. Но это не быстрый процесс», – отметил он.
«Газета.Ru» направила запрос на комментарий в «Россети».
Похожего мнения придерживается и руководитель направления информационной безопасности компании «РИТ СЕРВИС» Владимир Макаров. По его словам, тот факт, что «Лаборатория Касперского» закладывает киберзащиту по умолчанию в такое нишевое оборудование, как и РЗА и ПЛК, внушает оптимизм. Однако, на текущий момент неясно, смогут ли новые решения гармонично встроиться в системы российских промышленных и энергетических объектов и показать там эффективность хотя бы сопоставимую с эффективностью традиционных защитных средств.
Вопрос совместимости новых устройств с теми, которые уже используются российскими предприятиями, также поднял и руководитель отдела промышленной кибербезопасности «РТК-Солар» Евгений Харичкин.
«Здесь стоит обратить внимание на совместимость устройств под управлением KasperskyOS с существующим оборудованием на объекте. В ближайшее время данное решение вряд ли будет востребованным. Необходимо провести много тестов для проверки совместимости оборудования и его влияния на технологический процесс», – объяснил он.
К тому же, по словам Харичкина, замена данного оборудования — крайне дорогостоящая и времязатратная процедура. Те компании, которые недавно обновили свою инфраструктуру, вряд ли захотят ее менять до истечения срока службы, который составляет около 15 лет.
Дмитрий Даренский из Positive Technologies добавил, что вопрос замены РЗА и ПЛК – это не только вопрос «железа», но и человеческого ресурса. При столь радикальной смене оборудования компания придется тратить время и деньги на переобучение персонала.
«По сути, переход на новое оборудование – это не только переход на новый технологический стек, но и переобучение персонала, изменение технологических карт производства, изменение регламентов эксплуатации и сервисного обслуживания. Учитывая, что сервисное обслуживание таких систем на многих предприятиях выполняют подрядные организации, переучиваться и получать новые компетенции придется и им», – сказал он.
К тому же, по словам Даренского, для сохранения непрерывности производственного процесса предприятия вынуждены будут менять оборудование постепенно, блок за блоком, что тоже нередко растягивается на годы даже в рамках одной компании.
Роман Кильдюшкин, Анна Урманцева