W latach 90 inżynierowie z firmy Tennessee Eastman opublikowali w internecie szczegółowy model matematyczny chemicznego procesu przemysłowego. Głównym celem tego działania było udoskonalenie różnych modeli sterowania procesami przemysłowymi (logiki PLC itp.).

Model Tennessee Eastman Process (TEP) składa się z czterech głównych jednostek. Gazy oddziałują egzotermicznie wewnątrz reaktora. Produkty te opuszczają reaktor jako opary i są wprowadzane do skraplacza, następnie do separatora pary i cieczy. Płyn dostaje się do kolumny odpędowej, w której oddzielane są frakcje. W efekcie powstają dwa produkty. Chociaż jest to proces produkcji chemicznej, takie instalacje są typowym elementem wielu środowisk przemysłowych.

Na podstawie modelu TEP wdrożyliśmy model matematyczny w Pythonie służący do symulacji procesów fizycznych, jak również logikę sterowania dla modelu fizycznego w postaci programu PLC. Aby móc wizualizować symulowane procesy, wdrożyliśmy model TEP 3D i połączyliśmy go z wygenerowanym modelem fizycznym oraz danymi telemetrycznymi PLC. Aby sterować wieżą, opracowaliśmy specjalną konsolę dla iPada, której można używać do symulowania różnych scenariuszy cyberataku. W efekcie otrzymaliśmy bardzo realistyczny symulator produkcji chemicznej.

Symulator TEP został zainstalowany na jednym laptopie, na którym działa również matematyczny model Tennessee Eastman Process i jego wizualizacja 3D. Jako sterownik PLC używany jest sterownik firmy Schneider. Za pomocą przełącznika sieciowego kopia ruchu procesowego symulatora produkcji chemicznej jest wysyłana do rozwiązania Kaspersky Industrial CyberSecurity for Networks, które analizuje ruch i przesyła uzyskane z niego wartości telemetrii do Kaspersky MLAD.

Nasz symulator TEP ma wiele parametrów, które możemy kontrolować: obejmuje to nie tylko czujniki, ale także polecenia — w sumie istnieje około 60 znaczników. Określane są również parametry biznesowe, co pozwala nam obliczyć koszty operacyjne dla przedsiębiorstwa (na podstawie godzin). Dzięki temu można oszacować ogólne szkody powstałe w wyniku ataku cyberprzestępców: nawet jeśli atak nie doprowadzi do najgorszego możliwego rezultatu (eksplozji lub innej katastrofy), firma może ponieść straty finansowe.

Eksperymentalne ataki na symulator pokazały, że rozwiązanie Kaspersky MLAD wykrywa anomalie w procesach technologicznych na ich wczesnych etapach i jest w stanie objąć znacznie szerszy zakres połączeń między sygnałami przemysłowymi niż tradycyjny system zabezpieczający oparty na regułach. W tradycyjnym wyspecjalizowanym systemie ochronnym reguły są często uogólniane, aby pasowały do różnych warunków. To spowalnia aktywowanie ochrony w sytuacjach awaryjnych. Bardziej dopasowany system oparty na uczeniu maszynowym reaguje wcześniej w przypadku wystąpienia w procesach nietypowych zmian.

W scenariuszu tym istnieją trzy gazy. Czujniki wskazują ilość gazu dostającego się do reaktora. Zgodnie z tym schematem osoba atakująca zastępuje wartość znacznika, który odpowiada odczytom z czujnika A zasilania gazem. W efekcie sterownik otrzymuje informacje, że gaz nie płynie; otwiera więc zawór, zwiększając przepływ gazu. Nieprawidłowe odczyty czujników sprawiają, że sterownik całkowicie otwiera zawór. Ciśnienie w reaktorze niebezpiecznie się zwiększa.

Rozwiązanie Kaspersky MLAD wykrywa anomalię już na początku ataku. W tym przypadku ciśnienie w reaktorze osiąga wartość progową, która uruchamia system ochrony awaryjnej trzy godziny od rozpoczęcia ataku (zgodnie z wewnętrznym czasem symulacji). Zgodnie ze scenariuszem wyłączono system ochrony awaryjnej; gdyby został włączony, zostałby aktywowany po upłynięciu trzech godzin od wykrycia anomalii przez Kaspersky MLAD. Innymi słowy, od momentu wykrycia przez Kaspersky MLAD anomalii, dopóki atak nie wejdzie w fazę krytyczną, operator ma wystarczająco dużo czasu na podjęcie wszelkich niezbędnych kroków i zapobiegnięcie wypadkowi. Gdy MLAD wykryje anomalię, na monitorze wyświetlane są szczegółowe informacje o tym, gdzie błąd jest najbardziej widoczny. Dzięki temu operator może szybko zlokalizować źródło problemu i podjąć właściwą decyzję.

W przypadku jakichkolwiek pytań dotyczących np. możliwości współpracy skontaktuj się z nami

Kaspersky Lab Polska

ul. Trawiasta 35, 04-607 Warszawa

E-mail

sprzedaz@kaspersky.pl