CISO в такой ситуации находятся меж трех огней. Бизнес спрашивает, зачем инвестировать, если система сертифицирована и работает. ИТ-подразделение ссылается на стандартную модель угроз и уточняет, что физические триггеры находятся вне их зоны ответственности. А владельцы АСУ ТП категорически против любых изменений в контуре, потому что каждое из них является риском отказа. Каждый по-своему прав и защищает свою часть работы, но в итоге 100% ответственности не появляется ни у кого.

Safety и Security

Глубинная причина кроется в фундаментальном конфликте двух подходов: Safety и Security. Safety, получая сигнал, оперативно переводит систему в безопасное состояние, чтобы она не навредила жизни людей и окружающей среде. Кто прислал сигнал и легитимен ли он, для Safety не имеет значения.

Security, напротив, вносит детерминизм. Он проверяет источник, правомерность команды, но на это уходит время. И здесь появляются вопросы: кто главный, и в какой момент необходимо остановить систему. Пока ответа нет, возникает серая зона, в которую и бьют злоумышленники.

Также подходы Safety и Security расходятся на уровне стандартов. EN 50126 (RAM, надёжность), EN 50128 (ПО), EN 50129 (системы безопасности) ставят целью безопасное состояние и работают со случайным сбоем. IEC 62443 (для Security) нацелен на контроль и предотвращение нелегитимного доступа, а угрозой является злоумышленник. И хоть стандарты расходятся, есть архитектурное решение: необходимо разделить зоны ответственности и добавить дополнительный мониторинг.

Кейс: Польша. Атака через радиоэфир

В 2023 году в Польше произошел масштабный отказ в обслуживании, и остановлено более 20 поездов. Ни взлома сети, ни эксплойта уязвимости при этом не произошло. Вектором атаки выступила передача штатной команды экстренной остановки (Radio-stop) через открытый радиоэфир. Система отработала абсолютно корректно, и, с точки зрения Safety, выполнила свою функцию. Этот кейс наглядно показывает, что в транспорте атакуют не ИТ-систему, а право остановки. Stop Authority — любая сущность (система, протокол, человек или регламент), чья команда или состояние могут привести к остановке движения.

Как можно было этого избежать:

• признать радиоэфир вектором атаки;
• ввести мониторинг;
• снизить вероятность каскадного отказа.

Кейс: Дания. Атака через подрядчика

Годом ранее, в 2022-м, Дания пережила полную остановку железных дорог. Поезда были исправны, пути свободны, инфраструктура работала корректно, но разрешение на отправление состава не выдали. Оказался скомпрометирован сторонний ИТ-подрядчик, обеспечивающий планирование экипажей, а без подтвержденного допуска машинистов движение невозможно. Это другой уровень Stop Authority — административный. Когда возникли проблемы у внешнего подрядчика, система встала.

Слепая зона SOC: навигация и время

Еще одной ситуацией, о которой редко задумываются, является подмена координат (GPS) и времени. Спутниковый сигнал GNSS открыт и функционирует без встроенной аутентификации, и сместить координаты можно достаточно легко. Safety-логика, обнаружив рассинхронизацию, снова переведет систему в безопасный режим (Stop). Формально детерминизм не нарушен, но по факту АСУ ТП приняло решение, опираясь на вымышленную реальность.

В этот момент SOC видит сетевые пакеты, но не видит радиоэфир и дрейф времени. И если мониторинг ограничен сетью, истинная причина остановки остается невидимой. То есть расследуется инцидент, которого с точки зрения сети не было.

Асимметрия наблюдения и архитектурный ответ

Движение транспорта может остановиться по следующим причинам: радиоэфир, временной дрейф, логика Safety и подрядчики. SOC из всего этого списка не видит ничего, он наблюдает за логами серверов, IP-трафиком и отслеживает права доступа. Это и есть асимметрия наблюдения.

Что делать? Строить безопасность вокруг Safety, а не внутри него, и все интеграции завершать в промышленной демилитаризованной зоне (Industrial Demilitarized Zone, IDMZ). IDMZ ограничивает то место, где заканчивается интеграция и появляется проксирование, но нужно определить, где именно есть баланс времени, позволяющий отправить радиосигнал с дополнительной проверкой. Также важно инвентаризировать не только оборудование, но и само право остановки. Если Stop Authority не учтен как актив, вы не управляете доступностью.

Стратегия защиты: архитектура и мониторинг

Порядок действий для выстраивания защиты может быть следующим:

1. Расширить наблюдаемость:

• организовать мониторинг физических аномалий (RF, PNT);
• определить зоны ответственности.

2. Провести инвентаризацию зависимостей:

• проклассифицировать подрядчиков как критичных для доступности;
• внедрить локальный кеш данных для автономной работы.

3. Распределить сценарии деградации:

• сегментировать зоны так, чтобы Stop на одном перегоне не блокировал соседние;
• выявить корреляцию массовых срабатываний Safety-систем.

Для реализации данных задач нужны редкие специалисты, владеющие одновременно пониманием физики, построением real-time-систем и компетенциями в моделировании угроз. Если такого человека нет в штате, обычно обращаются к внешним экспертам. Они помогают провести инвентаризацию, определить, где и что может сломаться, выстроить контуры интеграции, поговорить на одном языке с бизнесом, инфраструктурой и владельцами АСУ ТП и свести всех воедино.

Ключевой вывод из всего вышесказанного — следующий. В сфере транспорта злоумышленнику не нужно проникать внутрь, достаточно заставить систему легитимно остановиться. Пока вы не знаете, где находится право остановки, и кто может его инициировать, вы управляете лишь частью риска. Переход от защиты периметра к защите процессов и управлению Stop Authority — надежный способ вернуть контроль над работой транспортных систем.

Источник: CISOCLUB