Статья Оценка киберрисков критической инфраструктуры: методология и фреймворки для OT/ICS

Схема модели Пурдью на плотной бумаге с уровнями от нуля до четырёх, красная линия пересекает границу уровней. Латунный пресс-папье и перьевая ручка на дубовом столе в мягком дневном свете.


На risk assessment подстанции 110 кВ мы нашли historian-сервер, маршрутизируемый напрямую в корпоративную сеть. VLAN существовали, ACL между Level 3 и Level 4 по Purdue - ни одного. CVSS единственной известной уязвимости на этом сервере показывал 6.5, Medium. В IT-контексте - обоснованный приоритет ниже критического, можно подождать окна обслуживания. В OT-контексте через этот historian атакующий получал прямой канал до RTU, управляющих коммутационным оборудованием. Физический импакт - обесточивание района на 40 тысяч жителей и риск повреждения силового оборудования.

Между формальной оценкой Medium и реальным сценарием каскадного отключения - методологический разрыв, который стандартные IT-фреймворки не закрывают. Эта статья - о том, как проводить оценку киберрисков критической инфраструктуры так, чтобы результат отражал реальные угрозы, а не был ритуалом для аудитора.

Почему IT-подходы к оценке киберрисков ломаются в OT-средах​

1783412001078.webp

В IT-безопасности приоритет - конфиденциальность (CIA triad с акцентом на C). В OT первичны доступность и целостность физического процесса. Запись мусорного значения в holding register PLC через Modbus FC16 (Write Multiple Registers) опаснее утечки терабайта корпоративных документов. Атакующий, отправивший FC5 (Write Single Coil) на дискретный выход контроллера, физически переключает состояние реле - открывает задвижку, отключает насос, меняет уставку защиты. Тут не данные утекают - тут железо двигается. Подробнее - в нашем материале про кибербезопасность критической инфраструктуры.

Modbus TCP, DNP3, PROFINET, EtherNet/IP - протоколы, спроектированные для надёжности и детерминированности, не для безопасности. Modbus не имеет аутентификации: любой узел с сетевым доступом к порту 502 может отправить FC16 и перезаписать регистры PLC. DNP3 Secure Authentication существует, но на практике встречается редко - большинство RTU в эксплуатации его просто не поддерживают.

Для пентестера, привыкшего к IT-инфраструктуре, OT-среда выглядит как сеть без единого средства защиты. В каком-то смысле так и есть: CrowdStrike Falcon, SentinelOne, Elastic - ни один из этих EDR-агентов не устанавливается на PLC Siemens S7-1200 или Allen-Bradley ControlLogix. SIEM получает логи с верхних уровней Purdue (Level 3-5), а трафик между HMI и контроллером на Level 1-2 чаще всего остаётся невидимым. В корпоративной сети endpoint без EDR - нонсенс. В OT это норма.

IT-команда привыкла к регулярному патчингу. В OT обновление firmware на Safety Instrumented System (SIS) может потребовать полной остановки технологического процесса на несколько дней. На реальных объектах встречаются контроллеры с firmware десятилетней давности - не потому что никто не знает об уязвимостях, а потому что остановка стоит десятки миллионов рублей и требует согласования с технологами за полгода. Попробуйте объяснить это IT-директору, который привык к ежемесячному Patch Tuesday.

Три реальных инцидента показывают, как эти различия приводят к катастрофам.

Водоочистная станция Oldsmar, Флорида (февраль 2021): по официальной версии FBI/CISA (AA21-042A), неизвестный получил доступ через TeamViewer с общим паролем на системе под Windows 7 и попытался увеличить концентрацию гидроксида натрия до потенциально летальных уровней. На объекте не было ни сегментации OT-сети, ни мониторинга промышленных протоколов. Оператор заметил движение курсора на экране - и это стало единственным средством детекции. (Примечание: альтернативные расследования KrebsOnSecurity и Reuters (2023) указывают на возможную операционную ошибку, а не внешнее вторжение - атрибуция остаётся спорной.)

Industroyer2 (апрель 2022): малварь, обнаруженная ESET и CERT-UA (alert #4435), спроектированная для управления выключателями подстанций через IEC-101/104, была нацелена на конкретную украинскую энергокомпанию. Атаку нейтрализовали до impact-стадии, но инцидент показал, насколько сложно восстановить baseline OT security posture после компрометации.

Colonial Pipeline (2021): DarkSide ransomware проник через legacy VPN-аккаунт без MFA, реквизиты которого утекли ранее. Атака поразила IT-биллинг, а не OT; остановка трубопровода была превентивным решением компании из-за невозможности выставлять счета. То есть трубопровод остановили не хакеры - его остановили бухгалтеры.

Все три случая объединяет одно: формальный risk assessment не отразил реальные векторы атак. Инвентаризация была неполной, threat model не учитывала OT-специфику, а impact-оценка строилась по IT-метрикам.

Фреймворки кибербезопасности OT и промышленных систем​

1783412077962.webp

NIST CSF 2.0 и NIST SP 800-82: промышленная безопасность OT​

NIST CSF 2.0, выпущенный в феврале 2024 года, впервые расширил охват за пределы критической инфраструктуры и добавил шестую функцию - Govern (GV). Для управления киберрисками промышленных систем это существенно: Govern формализует пересечение операционного и киберриска - тот самый диалог, который исторически буксовал, потому что инженерные и ИБ-команды говорят на разных языках.

Шесть функций CSF 2.0 в промышленном контексте:
  • Govern (GV) - OT-специфичная политика кибербезопасности с учётом требований доступности процесса. По CSF 2.0 (GV.OC-01), миссия организации должна информировать управление киберрисками. Для OT это значит: допустимый уровень риска определяется через физические последствия, а не через стоимость данных.
  • Identify (ID) - инвентаризация OT-активов (ID.AM-01). В IT стартовая точка - Active Directory. В OT-сети могут сидеть устройства, которые никогда не были документированы: legacy RTU, установленные десять лет назад, инженерные станции на Windows XP.
  • Protect (PR) - управление идентификацией (PR.AA-01). В OT это борьба с shared accounts на инженерных станциях, внедрение MFA для удалённого доступа и jump-серверы в DMZ между IT и OT.
  • Detect (DE) - baseline сетевых операций (DE.AE-01) для промышленных протоколов. Аномалия в OT - не массовый login fail, а незнакомый function code в Modbus-трафике или изменение периодичности polling.
  • Respond (RS) - incident response (RS.AN-01) в OT отличается принципиально: изолировать заражённый контроллер можно, но при этом может остановиться физический процесс. Выбор между "потерять контроллер" и "потерять процесс" - нетривиальный.
  • Recover (RC) - восстановление (RC.CO-01) включает возвращение к корректному состоянию физического процесса, а не только данных.
NIST SP 800-82 Rev.3 - companion guide для CSF, адаптированный под ICS. Он признаёт ограничения OT-среды: невозможность inline-инспекции на некоторых сегментах, ограничения перезагрузки контроллеров, необходимость координации с технологами перед любыми изменениями. В общем, спека, которая не притворяется, что OT - это "такое же IT, только с датчиками".

IEC 62443: зоны, кондуиты и оценка рисков​

Где NIST CSF даёт организационную структуру, IEC 62443 спускается на уровень конкретной архитектуры. Ключевая концепция - зоны и кондуиты:
  • Зона - группа активов с одинаковым Security Level (SL). Каждая зона имеет SL от 1 (базовая защита от случайных нарушений) до 4 (защита от государственных акторов с неограниченными ресурсами).
  • Кондуит - канал связи между зонами с контролируемым трафиком.
На практике зонирование по IEC 62443 отличается от IT-сегментации. В корпоративной сети сегменты определяются по бизнес-функциям, в OT зоны определяются по физическому процессу и требуемому Security Level. PLC, управляющий реактором, и PLC на линии упаковки - разные зоны, даже если оба на Level 1 по Purdue. Потому что последствия компрометации - немного разного масштаба.

ФреймворкФокусСильные стороны для OTОграничения
NIST CSF 2.0Организационный риск-менеджментGovern-функция, привязка к бизнес-миссииНе задаёт конкретную архитектуру OT-сети
NIST SP 800-82Безопасность ICSДетальные рекомендации по сегментации, учёт OT-ограниченийUS-контекст, обновляется реже
IEC 62443Промышленная автоматизацияЗоны и кондуиты, Security Levels, lifecycleСложность внедрения, требует зрелого процесса
NERC CIPЭлектроэнергетикаОбязательный для bulk electric systemТолько электроэнергетика

На реальных проектах оценки рисков используется комбинация: NIST CSF 2.0 как организационный фреймворк кибербезопасности OT, IEC 62443 для архитектуры и зонирования, NIST SP 800-82 для детализации контролей. Привязка к российской нормативке (ФЗ-187 "О безопасности КИИ", приказы ФСТЭК 235/239) добавляется поверх - но сам по себе compliance-подход без OT-специфичной модели угроз порождает бумажную безопасность. Категорию КИИ присвоили, галочку поставили, а historian торчит в корпоративную сеть без единого ACL.

Пошаговая методология оценки рисков промышленного объекта​

1783412089874.webp

Asset inventory в изолированной OT-сети​

Оценка киберрисков критической инфраструктуры начинается с инвентаризации - и именно здесь большинство проектов спотыкается. В IT можно запустить nmap и получить картину за часы. В OT активное сканирование способно вызвать fault state на PLC - контроллеры серий Siemens S7-300/400 могут переходить в STOP при активном S7comm-опросе или fuzzing промышленных протоколов (Digital Bond Project Basecamp, ICS-CERT ICSA-15-202-01). Положили контроллер сканером - получили остановку процесса. Не лучший способ начать проект.

Решение - пассивный мониторинг трафика. Инструменты класса Claroty, Nozomi Networks, Dragos Platform подключаются к SPAN-порту коммутатора и анализируют трафик без отправки единого пакета в сеть. Они разбирают промышленные протоколы (Modbus, DNP3, S7comm, EtherNet/IP) и строят карту активов с firmware-версиями и communication patterns.

В одном задокументированном кейсе (Shieldworkz, 2024) крупная североамериканская энергокомпания обнаружила более 2 400 ранее неучтённых OT-активов при первом пассивном сканировании. Две с половиной тысячи устройств, которых не было ни в одной записи CMDB. Большинство сидели в операционной сети и молча работали годами.

Требования к окружению для пассивного мониторинга:
  • SPAN/mirror-порт на managed-коммутаторе OT-сегмента
  • Сервер/ноутбук: минимум 16 ГБ RAM, 4 CPU cores (захват на скорости 1 Gbps)
  • Wireshark с диссекторами промышленных протоколов или специализированный OT-инструмент
  • Согласование с OT-инженерами: точки подключения, время захвата, технологический регламент
Если специализированного инструмента нет, базовый захват трафика для первичной разведки активов:
Bash:
# Захват OT-трафика на SPAN-порту
tcpdump -i eth0 -w ot_capture.pcap port 502 or port 20000 or port 44818
# port 502 = Modbus TCP
# port 20000 = DNP3
# port 44818 = EtherNet/IP (CIP)
В Wireshark display filter modbus покажет Unit ID каждого slave-устройства, function code и данные регистров. Это даёт стартовую карту: кто с кем общается, по какому протоколу, какие операции выполняются. Уже на этом этапе часто всплывают сюрпризы - устройства, которые общаются с тем, с чем общаться не должны.

Моделирование угроз и attack path analysis​

После инвентаризации строится threat model. Для OT-среды работает модифицированный STRIDE, где каждая категория переосмысливается через физический процесс:
  • Spoofing - подмена команд контроллеру (атакующий отправляет легитимный function code от имени SCADA)
  • Tampering - изменение уставок, логики PLC, калибровки датчиков
  • Repudiation - логирование часто отсутствует на Level 1-2 (что произошло - никто не знает)
  • Information Disclosure - утечка engineering diagrams, relay settings (по данным BigID, эта информация часто хранится на незащищённых файловых шарах вне контура OT)
  • Denial of Service - остановка процесса через переполнение буфера контроллера
  • Elevation of Privilege - из корпоративной сети (Level 4-5) в OT (Level 1-3) через скомпрометированный historian
Типичная цепочка атаки на OT через призму MITRE ATT&CK:
  1. Reconnaissance: Vulnerability Scanning (T1595.002) - обнаружение HMI-интерфейсов и SCADA-порталов на периметре
  2. Initial Access: Exploit Public-Facing Application (T1190) - эксплуатация web-интерфейса HMI, или External Remote Services (T1133) - VPN/RDP до инженерной станции, или Valid Accounts (T1078) - учётные данные по умолчанию на shared accounts
  3. Lateral Movement: из IT-сети через historian или jump-server в OT-сегмент
  4. Impact: Service Stop (T1489) - остановка критических сервисов, Data Destruction (T1485) - уничтожение конфигураций PLC, Data Encrypted for Impact (T1486) - ransomware на Level 3, Impair Defenses (T1685) - отключение логирования
MITRE поддерживает отдельную матрицу ATT&CK for ICS с техниками серии T0xxx, специфичными для промышленных систем - манипуляция I/O-модулями, подмена firmware, вмешательство в физический процесс. При моделировании угроз для конкретного объекта обе матрицы используются совместно: Enterprise - для IT-части цепочки, ICS - для финального воздействия на технологический процесс.

Отдельный вектор, который часто пропускают: компрометация через легитимную инженерную станцию. Инженер подключает ноутбук с Step7/TIA Portal к сети Level 2 для обновления проекта PLC. Ноутбук скомпрометирован через фишинг или вредоносный USB. Из инженерной среды атакующий получает прямой доступ к контроллерам - со всеми правами на запись проекта, изменение логики, перезагрузку PLC. CVSS отдельной уязвимости этот сценарий не покрывает: атака использует легитимные функции, а не эксплойт. Вот и попробуй объясни аудитору, что Medium-уязвимость - это ворота к физической катастрофе.

[Применимо: внутренний пентест OT-сети, grey box (доступ к инженерной станции с валидными учётными данными)]

Почему CVSS не работает для оценки уязвимостей ICS SCADA​

CVSS разработан для IT-контекста. Его метрики не учитывают:
  • Safety: уязвимость с CVSS 4.0 на контроллере SIS может привести к травмам и гибели людей
  • Каскадные эффекты: отказ одного контроллера вызывает цепную реакцию в технологическом процессе
  • Стоимость простоя: для нефтеперерабатывающего завода час простоя - потери в десятки миллионов рублей
  • Экологический ущерб: разлив, выброс, загрязнение - последствия, которые CVSS не моделирует
Для оценки рисков промышленных систем работает матрица likelihood × impact с OT-специфичными категориями:

Impact-категорияНизкий (1)Средний (2)Высокий (3)Критический (4)
БезопасностьНет пострадавшихЛёгкие травмыТяжёлые травмыУгроза жизни
ДоступностьДеградация <1 чОстановка <8 чОстановка <72 чОстановка >72 ч
ЭкологияНетЛокальный ущербЗначительныйКатастрофический
Финансы<1 млн руб1-50 млн руб50-500 млн руб>500 млн руб

Для количественной оценки зрелые организации переходят на FAIR (Factor Analysis of Information Risk): вместо цветовой кодировки - распределение вероятности убытков в рублях. FAIR позволяет говорить с руководством на финансовом языке: "вероятность инцидента с ущербом более 100 миллионов рублей в течение 12 месяцев - 15%". Это понятнее для бизнеса, чем "у нас 47 рисков в красной зоне". Красная зона - это что? А 100 миллионов - это конкретно.

Чеклист: управление киберрисками промышленных систем​

Нумерованный чеклист для передачи OT-команде или включения в отчёт по результатам оценки:
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Этот чеклист - стартовая точка для оценки киберрисков критической инфраструктуры. Полная методология требует адаптации под конкретную отрасль (энергетика, водоснабжение, транспорт, нефтехимия) и зрелость процессов на объекте.

За последние три года я оценивал OT-безопасность десятков промышленных объектов - и паттерн повторялся каждый раз. Формально risk assessment проведён, категория объекту КИИ присвоена, набор защитных мер на бумаге определён. При этом ни один документ не содержал анализа того, как конкретный Modbus FC16 на конкретном PLC приводит к конкретному физическому событию.

Оценка рисков в OT - это не таблица с цветовой кодировкой. Это карта, показывающая путь от скомпрометированного ноутбука инженера до открытия задвижки на магистральном трубопроводе, с оценкой на каждом шаге: какова вероятность, какой ущерб, что мешает атакующему и что ему помогает.

Пока оценка строится по IT-шаблонам с CVSS-рангами вместо анализа физического импакта, она остаётся ритуалом для аудитора, а не инструментом киберустойчивости. Проверьте свой historian-сервер прямо сейчас: show ip route на ближайшем L3-коммутаторе покажет, есть ли прямой маршрут в корпоративную сеть. Если есть - у вас та же проблема, с которой начиналась эта статья.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab