Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Методы борьбы с киберугрозами АСУ ТП современного предприятия

Методы борьбы с киберугрозами АСУ ТП современного предприятия

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Методы борьбы с киберугрозами АСУ ТП современного предприятия

В работе приводятся сведения о результатах теоретических и прикладных исследований ИПУ РАН в области защиты от киберугроз современных промышленных предприятий: метод определения возможного ущерба, методика расчета и управления рисками, предложения по созданию автоматизированных систем внешнего сопровождения на этапах жизненного цикла, использование формальных моделей.
Данная статья призвана ознакомить инженеров и специалистов по защите информации с некоторыми результатами этих исследований.
Алексей
Полетыкин
Институт проблем управления им. В.А. Трапезникова РАН, г. Москва
Виталий
Промыслов
Институт проблем управления им. В.А. Трапезникова РАН, г. Москва

Необходимость защиты АСУ ТП от киберугроз декларируется во многих нормативных документах, принятых в России и за рубежом. В РФ рабочим документом является Приказ ФСТЭК 31 [3], в котором приводятся правила оценки рисков, исходя из возможной тяжести ущерба, а для их парирования предлагается дифференцированный комплекс мер.

Для исполнения приказа требуется уметь решать две основные задачи:

  1. Определять возможный ущерб от кибератаки на АСУ ТП для каждого из его компонентов.
  2. Применять меры по защите в соответствии с присвоенным компоненту уровнем информационной безопасности.

Для решения первой задачи предлагается использовать подход, основанный на понятиях штатных и скрытых функций, которые были введены в теории киберустойчивости [4].

Процесс применения мер по защите предлагается реализовывать с помощью автоматизированных средств внешнего сопровождения (АСВС) [5].

Приказ [3] не носит обязательного характера. Это объяснимо, поскольку применение мер защиты для существующих систем может быть невозможным. В этом случае необходимо производить анализ угроз и оценку рисков индивидуально, учитывая источники угроз, уязвимости и возможные виды и тяжесть ущербов от кибератак. Для этого предлагается использовать методику оценки и управления рисками, основанную на анализе физических, информационных и иных барьеров, препятствующих кибератакам [6].

Независимо от того, как были выбраны и реализованы меры для функции ИБ, необходимо уметь доказывать их достаточность для противодействия киберугрозам и непротиворечивость со штатными функциями управления. Для этого предлагается применять формальные модели и основанные на них методы компьютерного моделирования [7, 8].

Определение возможного ущерба

Пример 1 Для специалиста по защите информации полное уничтожение всей информации с последующим восстановлением из эталонной копии вряд ли покажется приемлемым. Однако для АСУ ТП это вполне приемлемый способ радикально избавиться от подозрений о вторжении.

С точки зрения разработчиков-технологов АСУ ТП служит для достижения четко выраженных единичных или множественных целей и выполняет определенные штатные функции, и их нарушение может привести к материальному ущербу. И защищать от киберугроз нужно именно эти функции. Это отличается от понимания специалистов по информационной безопасности (ИБ), которые чаще всего целью считают защиту конфиденциальности, целостности и доступности информации, содержащейся в вычислительных комплексах (пример 1).

Пример 2 Допустим, в АСУ ТП обнаружен вирус, который собирает информацию, но не влияет на работу. С точки зрения специалистов по АСУ ТП никакого инцидента не произошло, и ничего предпринимать не нужно. Для специалистов по ИБ инцидент с вторжением налицо, и нужно применять меры. Мнение специалистов по АСУ ТП изменится, если будет установлено, что вирус способен выдавать ложные команды управления. Это показывает, что оценивать нужно не сам факт появления новых функций в АСУ ТП, а их возможный ущерб для объекта управления.

Второй источник взаимного непонимания специалистов по АСУ ТП и специалистов по защите информации лежит в области понятия "отказ". Специалисты по АСУ ТП под этим понимают то, что штатные функции перестают выполняться, возможно, частично. Специалисты по ИБ пользуются понятием "вторжение", при котором АСУ ТП изменяет алгоритм работы, что может привести или не привести к изменениям выполняемых штатных функций, а может и привести к появлению новых, возможно, вредоносных функций (пример 2).

Для того, чтобы перейти к предмету раздела, расчета ущербов от кибератак на АСУ ТП, введем понятие скрытых функций, под которыми будем понимать те, что не входят в перечень штатных функций, но могут выполняться в силу физических особенностей объекта управления и наличия возможности внесения изменений в программно-технические комплексы АСУ ТП.

С учетом введенных понятий расчет возможного ущерба может проводиться по следующему алгоритму:

  • составить перечень штатных функций;
  • оценить возможный ущерб объекту управления от отказов каждой из них;
  • составить перечень скрытых функций;
  • оценить возможный ущерб от активизации каждой из них;
  • вычислить максимум из величин ущербов.

Составление перечней штатных и скрытых функций и оценка ущерба от нарушений каждой из них является сложной задачей, решение которой лежит целиком в зоне компетенций создателей объекта управления: проектантов, технологов, конструкторов технологического оборудования и АСУ ТП, экономистов, юристов и др. (пример 3).

Обеспечение кибербезопасности на различных этапах жизненного цикла (ЖЦ) АСУ ТП с использованием АСВС

Предположим, что возможные ущербы от кибератак оценены, и необходимо приступать к работе по внедрению мер, указанных в [3], по полному ЖЦ: технические требования, проектирование, изготовление, монтаж, наладка и эксплуатация. Какие для этого есть ресурсы? Методические материалы крайне скудные, специалистов с опытом работы почти нет. Насчет технического оснащения ситуация лучше: можно применять устройства и решения, опробованные в спец. системах, банках и т.п. Но, опять-таки, условия работы АСУ ТП иные, и опыт можно применять только выборочно.

Пример 3 Приведем пример. Рассмотрим АСУ для управления сотовой связью. Штатными функциями для нее являются обеспечение телефонной связи, CMS, Интернет. Отказ этих штатных функций вызовет неудобство, но не аварию. Перечень скрытых функций не так прост. Приведем только одну: организация массовых сообщений о начале катастрофы, войны и т.п..Если ввести эту функцию в действие, то последствия могут быть гораздо серьезнее. Поэтому, АСУ ТП сотового оператора нужно присвоить не 3-й, а 2-й класс согласно приказу [3].

ИБ АСУ ТП является типичным представителем областей, где обычные методы организации работы практически не применимы из-за ограниченности человеческих и методических ресурсов. Для этого предлагается использовать сетевые технологии, позволяющие концентрировать усилия экспертов с разной специализацией для решения сложных задач. Данный вид систем, АСВС, описан в [5], где приводится также пример применения для целей обеспечения ИБ.

Как средство автоматизации, АСВС может иметь целями достижение требуемых показателей по ИБ объекта на всех этапах ЖЦ.

Основными функциями АСВС на всех этапах ЖЦ являются:

  • организация разработки, согласования и поддержки документов;
  • организация и поддержка работы целевых экспертных групп для решения проблем.

Основными специфическими задачами АСВС на этапе эксплуатации являются:

  • периодический или инициированный операторами мониторинг и прогнозирование состояния объекта управления;
  • классификация, установление причин инцидентов;
  • прогноз состояния объекта управления вследствие действия причин инцидентов;
  • выработка управляющих решений;
  • мониторинг реализации управляющих решений.

Вспомогательными задачами АСВС являются:

  • ведение базы данных о состоянии объекта управления; l ведение базы данных инцидентов;
  • создание, поддержание и расширение базы знаний о причинах, протекании, эффективности мер по противодействию инцидентов на основе автоматического, автоматизированного и экспертного анализа научно-технической литературы (данные об испытаниях, статьи и т.д.);
  • ведение базы данных экспертов;
  • организация интерсубъектного взаимодействия экспертов, собственных и внешних баз знаний и данных;
  • организация удаленного взаимодействия через персонал и напрямую с компьютерными моделями объекта (при наличии и доступности).

Целью АСВС на этапе проектирования/конструирования является обеспечение качества документов, на этапе изготовления/испытаний – разработка способов тестирования на вторжения и др., на этапе эксплуатации – сохранение основных штатных и недопущение активизации вредоносных скрытых функций путем удаленного аудита, анализа инцидентов, консультирования и т.д.

Корневой алгоритм решения задач в АСВС представляет собой типовую последовательность действий, характерную для решения задач (подзадач) группами экспертов:

  • а) идентификация проблемы;
  • б) постановка задачи;
  • в) назначение ответственного (ведущего ЭГ);
  • г) решение задачи ведущим с использованием баз данных/знаний, пакетов прикладных программ или с привлечением экспертов-представителей компетентных организаций, в последнем случае:
    • выбор ведущим ЭГ состава экспертов и метода работы с экспертами;
    • составление ведущим с участием экспертов информационной базы;
    • обсуждение проблемы в группе; l подготовка решения ведущим или автоматическим алгоритмом;
    • согласование и утверждение решения экспертами.

Процесс решения задач в АСВС выглядит как выполнение корневого алгоритма один и более раз. Если исходная задача разбивается на независимые подзадачи, то корневой алгоритм может выполняться параллельно для всех подзадач. Могут быть случаи, когда задача может быть решена итеративным способом, при котором решения, полученные применением корневого алгоритма, затем используются для уточнения постановки задачи на последующих итерациях. Могут быть и смешанные случаи, когда часть итераций может быть выполнена параллельно.

Методика оценки управления рисками ИБ

ИБ АСУ ТП можно с достаточной степенью общности понимать как систему дополнительных барьеров, которые действуют совместно с другими (защитой труда, физической, технологической и др.) для того, чтобы исключить риски неприемлемых ущербов объекту управления. При этом барьеры ИБ ориентированы на специфические сценарии умышленного или злонамеренного нанесения вреда: через отказы штатных и активизацию скрытых функций.


На рис. 1 представлена упрощенная блок-схема алгоритма расчета рисков на примере АСУ ТП АЭС, более подробно описанная в [6].

Формальные модели (ФМ)

Проведенные исследования ФМ на основе мультиграфов показали, что с их помощью можно эффективно описывать политику ИБ [7] (см. рис. 2). Это позволяет осуществить проектирование АСУ ТП с заданными характеристиками ИБ и обеспечить гарантии выполнения требований ИБ на последующих этапах ЖЦ.


На основе ФМ в ИПУ РАН разрабатывается программный сервис для моделирования, в частности, иерархической структуры и отношений доступа в АСУ ТП, пути распространения прав доступа [8].

Заключение

Главное отличие и источник сложностей ИБ АСУ ТП состоит в "междисциплинарности" и слабой формализованности проблемы, и для ее обеспечения необходимо вовлекать технических специалистов разной квалификации, которые имеют разные ценностные ориентиры, входят в разные организационные структуры, говорят на разных языках и не привыкли работать в единых командах.


ИПУ РАН планирует продолжать теоретические работы в данной области ИБ (см. www31.ipu.rssi.ru) и создавать новые аналитические продукты (см. пример прототип сервиса моделирования на основе ФМ [8]).

Литература

  1. Менгазетдинов Н.Э. Комплекс работ по созданию первой управляющей системы верхнего блочного уровня АСУ ТП для АЭС "Бушер" на основе отечественных информационных технологий / Н.Э. Менгазетдинов, М.Е. Бывайков, М.А. Зуенков, В.Г. Промыслов, А.Г. Полетыкин, В.Н. Прокофьев, И.Р. Коган, А.С. Коршунов, М.Е. Фельдман, В.А. Кольцов [Электронный ресурс]: монография. – М.: ИПУ РАН, 2013.
  2. Промыслов В.Г., Полетыкин А.Г., Менгазетдинов Н.Э. Новые кибернетические угрозы и методы обеспечения кибербезопасности в цифровых системах управления // Энергетик. – 2012. – № 7. – С. 18–23.
  3. Приказ ФСТЭК России от 14 марта 2014 г. № 31 "Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".
  4. Полетыкин А.Г. Критерии устойчивости объектов с цифровыми системами управления к воздействиям кибератак на основе анализа штатных и скрытых функций / Материалы Седьмой международной конференции "Управление развитием крупномасштабных систем (MLSD'2013)". – М.: ИПУ РАН, 2013. – Т. 1. – С. 104–105.
  5. Полетыкин А.Г. Автоматизированные системы внешнего сопровождения и пример применения для обеспечения кибербезопасности / Труды восьмой международной конференции "Управление развитием крупномасштабных систем MLSD'2015". – М.: ИПУ РАН, 29 сентября – 1 октября 2015 г. – Т. 2. – C. 123–129.
  6. Полетыкин А.Г. Формализованный метод оценки и управления рисками для обеспечения кибербезопасности больших систем управления / Материалы восьмой международной конференции "Управление развитием крупномасштабных систем MLSD'2015". – М.: ИПУ РАН, 29 сентября – 1 октября 2015 г. – Т. 1, Пленарные доклады. – C. 123–129.
  7. Промыслов В.Г., Полетыкин А.Г. Формальная иерархическая модель безопасности верхнего уровня АСУ ТП АЭС // Ядерные измерительно-информационные технологии. – 2012. – Т. 4 (44). – С. 39–53.
  8. Сервис моделирования кибербезопасности CybersMod [online]. Доступ через http://193.232.208.45/.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2016

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"