Актуальные вопросы защиты АСУ ТП

АСУ ТП сама выполняет роль обеспечения безопасности производственного процесса. Обычно любые задержки в ее работе могут отрицательно сказаться на самом производственном процессе. Уровень ответственности решаемых задач таков, что допустить вмешательство в свою работу внешних систем (например, систем информационной безопасности) не представляется возможным. С другой стороны, в АСУ ТП проникли и заняли достойное место стандартные IP-устройства, данные АСУ ТП используются множеством различных IP-систем, и количество информационных угроз растет в геометрической прогрессии.

Специфичных моментов много. Начиная с того, что АСУ ТП – это не ИТ-система в стандартном понимании, и заканчивая пониманием степени критичности АСУ ТП и ИТ-систем. АСУ ТП напрямую взаимодействует с "физическим миром" и сама по себе должна быть надежной. Но исторически сложилось, что при создании автоматизированной системы управления в расчетах показателей надежности не учитывалась возможность деструктивного информационного воздействия.

Без ложной скромности стоит отметить, что в защите технологического сегмента предприятий ключевым аспектом является отсутствие права на ошибку. Задачи по обеспечению ИБ технологического сегмента особенно актуальны именно предприятиям КВО. Поэтому надо понимать, что объектами защиты выступают системы, выход из строя или даже нештатная работа которых может привести к катастрофическим последствиям. Не говоря уже об огромных финансовых потерях для владельцев предприятий.

Специфика задачи защиты АСУ ТП от угроз информационного характера заключается в том, что необдуманное применение меры защиты может приводить к снижению общей надежности системы. Соответственно, нужно тщательно выбирать средства информационной безопасности и подходы к защите и оценивать последствия их применения. Меры защиты должны не создавать новых проблем нормальному функционированию АСУ ТП, а устранять существующие.

С точки зрения защиты информации АСУ ТП специфика состоит в расстановке приоритетов: наивысший должен быть для защиты "доступности", далее "целостности" и потом "конфиденциальности".

С точки зрения безопасности целью является не защита АСУ как таковой, а защита объекта автоматизации: оборудования, людей и функций. В частности, взлом частей АСУ ТП с полной потерей "доступности", "целостности" и "конфиденциальности" не будет рассматриваться как инцидент, если дублирующие системы АСУ (не цифровые) не позволят ухудшить функциональную безопасность, надежность и выпуск продукции.

Поэтому в качестве одних из популярных радикальных мер для защиты применяются "обесточивание", "выключение" и "перезагрузка". Не только при инцидентах, но и как профилактические меры.

В Росатоме торжествует точка зрения, что наиболее критичные цифровые системы нужно дублировать релейными.

Настройка оборудования под конкретные схемы управления заказчика, интеграция в АСУ ТП существующих каналов передачи данных. Проверка соответствия конфигураций и параметров, установленных на объектах компонентов АСУ ТП.

Основные проблемы, с которыми приходится сталкиваться, – это слабость научной и методической базы, расплывчатость и противоречивость требований.

Одна из главных особенностей в проектах по обеспечению ИБ технического сегмента – работа с системами реального времени и сложными технологическими процессами, не допускающими даже кратковременной остановки в работе. Специалистам, знакомым с принципами работы подобных систем, хорошо известно, что даже регламентные работы могут проводиться лишь в запланированные технологические окна и по предварительно согласованному со всеми задействованными структурами компании плану.

Неправильные настройки оборудования, искажения первичных сигналов, проблемы систем передачи данных, синхронизация времени, ошибки персонала.

Риски нужно оценивать на всех этапах жизненного цикла, исходя из специфики объекта автоматизации и АСУ ТП.

Основной риск – нарушение работоспособности объекта защиты. Избежать этого можно, лишь выбрав в качестве исполнителя проекта грамотную команду специалистов, обладающих должными компетенциями и опытом. Единственным верным вариантом является проведение проекта строго в соответствии c отработанной методикой, согласованной с представителями предприятия и производителями промышленного оборудования.

Сама по себе передаваемая информация если и представляет какую-то ценность, то только косвенную, поэтому корректней говорить о безопасности инфраструктуры, а не о безопасности информации.

Угрозы безопасности инфраструктуры:

• нарушение технологического процесса;
• вывод из строя оборудования, задействованного в технологическом процессе;
• угроза жизни людей, участвующих в оперативном и оперативно-ремонтном обслуживании технологического процесса;
• нарушения договорных обязательств;
• техногенные и экологические катастрофы;
• влияние на процессы и людей, зависимых от данного технологического процесса.

По частоте и массовости это угрозы, связанные с нецеленаправленными атаками на общепромышленное оборудование, применяемое в АСУ ТП. По тяжести ущерба – целенаправленные атаки.

Основная и уже не такая экзотическая и маловероятная, как раньше, угроза – это угроза вмешательства террористических, экстремистских и враждебно настроенных государственных групп в управление автоматизированными системами критически важных объектов и вывод их из строя. В подтверждение этому можно назвать Указ Президента Российской Федерации от 31 декабря 2015 года № 683 "О Стратегии национальной безопасности Российской Федерации" где в п. 43 указывается, что основными угрозами государственной и общественной безопасности является в том числе деятельность террористических и экстремистских организаций, направленная на уничтожение или нарушение функционирования военных и промышленных объектов, объектов жизнеобеспечения населения, транспортной инфраструктуры, а также устрашение населения, в том числе путем нарушения безопасности и устойчивости функционирования критической информационной инфраструктуры Российской Федерации. Также угроза кибертерроризма появляется в прогнозе чрезвычайной обстановки на территории Российской Федерации на 2016 г. от МЧС. В нем отмечается, что в настоящее время уровень информационной безопасности не соответствует уровню угроз в данной сфере, и в 2016 г. возможно повышение хакерских атак с целью создания условий для возникновения техногенных чрезвычайных ситуаций. Из промышленных объектов наиболее уязвимы при хакерских атаках энергетические и коммуникационные сети России.

И действительно, террористические организации повышают частоту атак на КВО. В частности, в 2015 г. ФБР США сообщило, что хакеры организации "Исламское государство" (запрещена в России) предпринимают попытки взлома сетей американских энергетических компаний. Пока террористы не применяли сложных инструментов, которые могли бы вызвать отказ в работе объектов, и, соответственно, их попытки атак были безуспешны. Что касается России, то в 2015 г. российская компания Group-IB выпустила отчет, согласно которому за прошедший год более 600 российских интернет-ресурсов были атакованы хакерами террористической организации "Исламское государство Ирака и Леванта" (запрещена в России). Учитывая интерес подобных группировок к предприятиям КВО США, интерес к российским информационным ресурсам, их мотивированность и финансовые ресурсы, многие эксперты прогнозируют рост угрозы российским критически важным объектам, что находит место в государственных документах.

Информация является закрытой, компании обычно неохотно предоставляют такую информацию общественности и прессе.

На западе достаточно много публикаций о различных инцидентах, из последних можно упомянуть сталелитейный завод в Германии и Облэнерго Ивано-Франковской области Украины.

Инциденты ИБ на предприятиях КВО – как суслик в известном фильме: ты их не видишь, а они есть. По ряду причин не допускается публичная огласка мало-мальски значимых инцидентов. Хотя при этом "в кулуарах" зачастую можно услышать довольно курьезные случаи, большинство из которых, как правило, связано с нарушениями техники безопасности и разгильдяйством персонала.

Дело в том, что в России статистики как таковой не ведется. За рубежом с аналитикой немного получше. Например, ICS CERT раз в два–три месяца публикует отчеты с подобной информацией, но данные по российским предприятиям туда не попадают. Информация об инцидентах не публикуется намеренно. Также и результаты аудитов являются практически во всех организациях конфиденциальной информацией. Никто не хочет открыто заявлять о своих уязвимостях. А для крупных компаний это еще и репутационные риски.

По оценке международных экспертов, за последние два года 80% инцидентов, связанных с информационной безопасностью, имели место в промышленных сетях.

К сожалению, если произошло проникновение в промышленные сети, владелец предприятия/ завода старается об этом не распространяться. Другой вопрос – что считать проникновением в промышленную сеть. Как пример – Maroochy Water Breach (сброс сточных вод и загрязнение окружающей среды). Когда инцидент произошел, и о нем стало известно общественности, его не сочли проникновением в промышленную сеть, поскольку злоумышленник являлся сотрудником пострадавшей компании. Некоторые данные можно почерпнуть из базы статистики инцидентов в области АСУ ТП, представленной здесь: http://www.risidata.com/Database/ event_date/desc.

Официально подтвержденных примеров в России, насколько мне известно, нет. Западная же статистика говорил о сотнях инцидентов за год, произошедших в компаниях различных отраслей – от нефтедобычи и металлургии до фармацевтики и пищевых производств.

Тянет на название книги. Однозначного ответа на этот вопрос нет. Гарантированной защиты на 100% не существует. Безопасность промышленной сети – это не результат, а процесс, который обеспечивается сочетанием организационных, методологических и технических мероприятий.

Для обеспечения безопасности промышленной сети необходимо применять комплекс мер, начиная от физической безопасности различных датчиков и исполнительных механизмов. На сегодняшний день современные датчики становятся достаточно "умными", что может быть использовано как во благо, так и во вред. Не стоит также забывать тот момент, что различные протоколы обмена данных в АСУ ТП были разработаны в середине XX в. и не предполагают, что устройство может отвечать "неверными данными".

Изоляция. Однонаправленная связь. Механическая защита помещений, кабельных каналов, приборных стоек. Шифрование следует применять, только когда элементы сети выходят за зону охраны.

Одна из фундаментальных основ ИБ технологической сети – соответствие ее архитектуры требованиям безопасности. В связи с этим большая часть проектов по созданию системы ИБ промышленного объекта базируется на сегментировании технологической сети и формировании выделенных контролируемых зон.

Безопасность промышленной сети, как и безопасность всей АСУ ТП, элементом которой является сеть, обеспечивается применением комплексного последовательного подхода, учитывающего специфику и особенности промышленных систем и основанного на требованиях и рекомендациях как международных стандартов, так и российских нормативных документов по обеспечению информационной безопасности промышленных систем. В числе последних, в частности, приказ ФСТЭК России № 31, определяющий требования к обеспечению защиты информации в АСУ ТП.

Что касается комплексного подхода, то он включает в себя проведение регулярного аудита состояния защищенности АСУ ТП на основе интервьюирования специалистов заказчика, анализа документации, структуры и конфигурации систем, а также проведение инструментального анализа защищенности с целью поиска уязвимостей и с соблюдением предосторожностей, связанных с критичностью обследуемых систем. На основе полученных по итогам аудита данных производится анализ рисков, в результате которого определяются угрозы, представляющие опасность функционированию объекта. Для борьбы с данными угрозами разрабатываются организационные и технические меры защиты АСУ ТП. Данный процесс не должен прерываться и повторяется периодически. Только так можно адекватно оценить состояние систем и соответствующие им угрозы, а также своевременное предотвращение данных угроз. Одним из важнейших инструментов такого подхода является процесс мониторинга состояния сети и происходящей сетевой активности, что позволяет вовремя реагировать на подозрительные инциденты.

Миф, распространяемый людьми, весьма далекими от АСУ ТП. Оборудование АСУ ТП всегда серийно. Автомобиль "Победа" давно не выпускается, но это не мешает действующим машинам ездить по современным дорогам. Запчасти давно не выпускаются, но документация и автомеханики есть. Аналогичная ситуация со старым оборудованием АСУ ТП, используемые протоколы известны, характеристики тоже.

Это усложняет не столько защиту, сколько организацию атак. Вообще нужно подходить индивидуально.

Большинство средств защиты, применяемых в технологическом сегменте, являются наложенными, поэтому степень устаревания целевых систем зачастую может не иметь значения. Хотя, безусловно, это правило действует до определенного предела – когда, к примеру, речь не заходит об аналоговых и механических системах.

Средств защиты много, но подавляющее большинство нельзя использовать в АСУ ТП по требованиям качества, которое должно обеспечиваться на всех этапах жизненного цикла (контролируется Ростехнадзором). Специалистов с опытом по защите АСУ ТП очень мало. Защиту от целенаправленных атак создавать практически не из чего и некому: крайне мало доверенных решений по компонентам и ПО, нет качественных нормативов и, как следствие, образования.

Рынок информационной безопасности АСУ ТП только формируется, основная проблема в отсутствии эсперанто ("единого языка общения") между специалистами ИТ, ИБ и АСУ ТП.

Тема ИБ АСУ ТП стала широко востребованной среди отечественных предприятий последние 1–2 года, и число компаний, заинтересованных в ее развитии, растет буквально с каждым днем: среди них и предприятия, и интеграторы, и производители средств защиты. Как известно, спрос рождает предложение, а значит, дефицит специалистов по ИБ АСУ ТП, который остро чувствуется до сих пор, со временем сократится.

Во-первых, необходимо разделять понятия "бюджетные" и "российские" решения, так как на сегодняшний день нельзя однозначно заявить, что приобретение отечественных решений всегда выгоднее, даже несмотря на текущую экономическую ситуацию.

Выбор в пользу отечественных решений определяется их большей (в сравнении с импортными) адаптированностью под российские реалии. Сегодня многие отечественные производители ИБ-решений обратили свой взгляд на безопасность промышленных объектов и разрабатывают свои продукты с четким пониманием специфики российского рынка ИБ, требований бизнеса и регуляторов. Поэтому их использование можно считать вполне целесообразным.

Нет понятия "бюджетные российские продукты", есть решения для различных классов задач (среди них уже достаточное число и российских).

Для КВО должны применяться только доверенные российские решения с технической поддержкой на всем этапе жизненного цикла.

Для прочих АСУ российские элементы должны иметь приоритет на законодательном уровне.

Методы обеспечения безопасности АСУ ТП делятся на две категории. Первая – защита периметра, куда входят различные устройства типа Gateway, и вторая – контроль и анализ отклонений внутри сегмента АСУ ТП.

Разработки ведутся в обеих категориях, так как попытки использовать ИТ-наработки, к сожалению, дают только частичный результат. Уже есть специализированные решения, но развитие продолжается.

Все можно использовать, но с адаптацией под специфику АСУ ТП.

Требования по защите АСУ ТП формируются исходя из модели угроз для данного конкретного объекта или компании.

Защита должна исключать неприемлемые риски, связанные со спецификой функций объекта. Например, для электростанции: "не допускается остановка производства электроэнергии из-за кибератак чаще 1 раза в 5 лет на срок более 2 часов".

С помощью программных и технических средств (в том числе систем видеонаблюдения).

Это входит в сферу ответственности специальной безопасности. При оценке рисков необходимо рассматривать особенности этой защиты, которые служат барьерами проникновения опасного оборудования и злоумышленников для организации атак на АСУ ТП. В ИПУ РАН разработана методика расчета рисков нарушения информационной безопасности, учитывающая такого рода барьеры.

Да, возможно: установить специализированное ПО.

Организационно-методический реинжиниринг существующих процессов и информационных потоков, а также использование специализированного ПО класса Predictable Analytics.

Периметр корпоративной сети существует в любом случае, даже если мы говорим о транснациональной компании с выносом основной работы сотрудников в облако. Устарела концепция периметра как локализованного объекта, концепции его защиты не поменялись, просто часть функций обеспечивается внешней организацией.

Адаптация к современным условиям необходима. По существу, контуры управления современными промышленными предприятиями вышли за пределы охраняемых зон. Этот феномен требует научного изучения и описания.

Никак, биометрия – один из способов аутентификации пользователей, при этом уже есть варианты ее обхода тоже. Для работы с паролями на рынке предлагаются системы менеджмента паролей с высоким уровнем защиты и шифрования данных. Треть пользователей записывают пароли, а 90% устройств АСУ ТП используются с заводскими паролями, но эта проблема не имеет отношения к способу аутентификации, а, скорее, к культуре организации эксплуатации того или иного объекта или системы.

Я согласен, что пароли являются устаревшим и подчас опасным средством. В критических ситуациях они могут серьезно мешать работе.

Биометрия представляется лучшим решением. Но это нужно обосновать путем проведения специальных научных исследований, которые подтвердили бы надежность и безопасность для персонала и технологического процесса.

Странный вопрос: если сформулирована задача, например при работе с оперативно-ремонтным персоналом, то имеет место внедрение СРО. Этапы стандартные, ТЗ, проектирование, поставка оборудования и ПО, наладка, внедрение.

К ним нужно применять требования по надежности, точности и т.п. и строить по ГОСТ 34.

Многое зависит от специфики производства. Базовые функции стандартные, а форм-фактор, питание, электромагнитная совместимость и каналы коммуникаций определяются требованиями заказчика и решаемой задачей.

Мы проводили исследования, можно ли видеонаблюдение использовать для контроля доступа к элементам АСУ ТП. Вывод, скорее, отрицательный. Дело в том, что элементы АСУ ТП размещаются в помещениях сложной конфигурации, сами элементы часто очень сложные и включают маленькие детали, которые нетрудно подменить. Видимо, для современных промышленных АСУ ТП видеонаблюдение не способно заменить надзор со стороны людей.