Система моделювання кібератаки підміною ОРС-сервера при комп'ютерному управлінні технологічними установками

Abstract

Відповідно до звіту компанії Positive Technologies за вересень 2021р. 91% промислових компаній світу мають вразливі до кібератак інформаційні системи. Промисловий сектор – це другий за кількістю кібератак сектор в США, й ведучий в розвинутих країнах. Шосте й сьоме місце в топ двадцятці серед найбільших виробничих атак займає Україна. Сектору промислової кібербезпеки в світі присвячено багато наукових публікацій, але, нажаль, в Україні цією сферою кібербезпеки займаються слабо. Для розвитку тематики підвищення рівня кібербезпеки промислових систем керування, ми зосередились на проблемах кіберзахисту нижньої ланки керування – операторської станції керування технологічною установкою. Попередньо нами досліджена проблема кіберзахисту промислової комп’ютерної мережі нижчого рівня Modbus RTU. Продовжуючи тему, в цій роботі дослідитимо кібербезпеку важливого програмного забезпечення – ОРС сервера. В дослідженні пропонується звернути увагу на вразливість, якої ще не досліджено. Ця вразливість зв’язана з тим, що маючи розгалужену мережу робочих станцій на підприємстві, зловмисник може підмінити ОРС-сервер на будь якій робочій станції (зазвичай, найбільш важливій на виробництві) власним ОРС-сервером і зробити таким чином, щоб з одного боку привести технологічний апарат обраної ділянки до зупинки чи аварії, а з другого боку, щоб оператор технологічної установки, спостерігаючи за SCADA- системою на екрані комп’ютера, нічого не помітив. Для виявлення кібератаки розроблено спеціальну діагностичну систему. Розроблено відповідне програмне забезпечення та, за його допомогою, всі рішення промодельовано в реальному часі з використанням компонентів реального промислового програмного забезпечення та моделі мережі Modbus. Розроблені рішення та програмне забезпечення можуть бути використані в промисловості.

According to a September 2021 report by Positive Technologies, 91% of the world's industrial companies have information systems vulnerable to cyberattacks. The industrial sector is the second most attacked sector in the U.S., and the leading one in developed countries. Ukraine ranks sixth and seventh in the top 20 for the largest industrial attacks. Many scientific publications are devoted to industrial cybersecurity in the world, but, unfortunately, in Ukraine this area of cybersecurity is poorly studied. To develop the topic of increasing the level of cybersecurity of industrial control systems, we focused on the problems of cybersecurity of the lower level of control - the operator control station of the technological plant. Previously, we investigated the problem of cybersecurity of the industrial computer network of the lower level Modbus RTU. Continuing the topic, in this paper we investigate the cybersecurity of important software - the OPC server. This study proposes to pay attention to a vulnerability that has not yet been investigated.This vulnerability is related to the fact that having an extensive network of workstations in the enterprise, an attacker can substitute OPC server on any workstation (usually the most important one in production) with his own OPC server and do it in such a way that on the one hand to bring the technological unit of the selected site to stop or crash, but on the other hand to prevent the operator of technological unit, watching the SCADA-system on the computer screen, from noticing anything. A special diagnostic system has been developed to detect a cyber attack. Appropriate software has been developed and, with its help, all solutions have been simulated in real time using components of real industrial software and Modbus network model. The developed solutions and software can be used in industry.