В рубрику "АСУ ТП" | К списку рубрик | К списку авторов | К списку публикаций
К счастью, результатом этого стал не только информационный шум вокруг темы и рост ее популярности в профильных кругах, но и реальная заинтересованность представителей промышленности и ТЭК в обеспечении ИБ технологического сегмента своих компаний. Основан этот интерес на вскрывшемся, как наболевший нарыв, понимании всей остроты текущей ситуации.
Суровая реальность заставляет признать, что для промышленных объектов различного масштаба (от завода или нефтеналивной станции вплоть до АЭС и обогатительных комбинатов) одним из ключевых рисков все так же остается человеческий фактор. Однако теперь в новой ипостаси. Раньше к нештатной ситуации могли привести преимущественно только внутренние угрозы, такие, к примеру, как нарушение техники безопасности или правил эксплуатации оборудования, халатность или некомпетентность сотрудников. Можно вспомнить массу историй, доступных даже в открытых источниках, о вирусных заражениях рабочих станций в результате использования операторами рабочего места для компьютерных игр и других развлечений в ночные смены. Теперь же к ним добавились риски внешнего и, что самое страшное, удаленного несанкционированного доступа и воздействия на стабильность работы технологических объектов.
Такие (недавно еще фантастические) угрозы, как хакерские атаки, в наши дни стали всего лишь несколькими новыми пунктами в моделях угроз и нарушителей – документах,еще некоторое время назад незнакомых специалистам, занимающимся эксплуатацией промышленных систем. Порой страшно представить, что доступ к дорогостоящему оборудованию и крайне сложным технологическим системам, чей выход из строя может привести к ужасным последствиям (вплоть до экологических катастроф), возможно получить банально через интернет. Что характерно, для получения несанкционированного доступа к ним порой даже нет необходимости обладать специфическими знаниями.
И даже если дополнительная информация потребуется – ее вполне можно найти в открытых источниках. Хорошо известно, что зачастую в нарушение всех мыслимых и немыслимых требований по безопасности при переводе объекта в промышленную эксплуатацию в SCADA-проектах и настройках оборудования оставляют штатные идентификационные и аутентификационные данные, доступные в публичной документации на системы. В сети находится большое количество аналитических обзоров, а западные центры мониторинга событий ИБ ежегодно (а иногда и ежеквартально) публикуют материалы со статистикой инцидентов – внешних атак различного типа на заводы, энергетические и нефтяные компании и технологические предприятия других отраслей. Картина получается неутешительная, и с каждым годом краски на ней все темнее и темнее. К примеру, только в США за 2014 г. было официально зарегистрировано 245 внешних атак на технологические объекты. О том, сколько их было в действительности, не беря в расчет призму официальной отчетности, можно только догадываться.
С учетом этого приятно отметить, что от понимания и признания проблематики многие компании уже перешли к активным действиям по предотвращению подобных инцидентов. Для них ключевым вопросом на старте проекта по безопасности технологических объектов является выбор наиболее верной методики. Это особенно важно, так как в рамках подобных проектов ценой ошибки могут оказаться не только огромные убытки, но и человеческие жизни.
Как же выбрать правильный подход и на чем стоит сделать особые акценты? Большинство компаний, занимающихся тематикой ИБ промышленных объектов, исповедуют единый, канонический подход – последовательное и тщательное выполнение аудита объекта, проектирование и внедрение систем защиты с их последующим сопровождением в режиме 24х7.
Последовательность этапов, казалось бы, схожа с классическими "корпоративными" ИБ-проектами. Основное отличие – необходимость наличия профильных знаний, опыта и глубокого понимания всех особенностей проведения проекта в технологическом сегменте предприятия. Ведь зачастую системы, для которых предстоит создать защиту от несанкционированного доступа и вывода из строя, функционируют в реальном времени. Этот фактор, так же как и отсутствие возможности проведения ряда работ вне технологических окон со строгим соблюдением техники безопасности и лишь при наличии необходимых допусков, формирует специфику проекта.
Проектная команда исполнителя в данном случае должна состоять из высококвалифицированных ИБ-специалистов, обладающих глубокими знаниями в области промышленных систем и систем автоматизации. Лишь в этом случае выполнение каждого проекта с учетом всех технологических особенностей каждой из выделенных на этапе обследования контролируемых зон, подбор (а зачастую и адаптация) средств обеспечения безопасности принесут ожидаемый положительный результат.
При таком подходе ряд угроз может быть выявлен еще на раннем этапе проекта путем анализа архитектуры технологической сети и контроля ее изоляции от корпоративного сегмента. К сожалению, даже эти проблемы, кажущиеся очевидными, встречаются сплошь и рядом и требуют четкой проработки и решения.
Кроме того, одним из наболевших мест для представителей подразделений ИБ в компаниях, обладающих собственным производством, является необходимость предоставления удаленного доступа производителям технологического оборудования. Реалии таковы, что прямо в тексте договора на поставку, к примеру, станка для металлопрокатного цеха, прописано жесткое условие о наличии выделенного канала "станок–производитель". Официально данное требование обосновано задачей мониторинга состояния оборудования со стороны производителя и его удаленной отладки. Но сам факт возможности удаленного управляющего воздействия открывает огромные перспективы для злоумышленника. Не говоря уже о возможных ошибочных действиях со стороны самого производителя.
Данная проблема знакома многим, и в кулуарных беседах часто можно услышать о ситуациях, когда производственный сегмент некоторых отечественных предприятий (в том числе федерального значения) "вставал" или был на грани остановки в связи с ошибками при перепрошивке оборудования со стороны как российских, так и западных производителей. Это особенно характерно и вызывает опасения в условиях текущей политической ситуации.
Безусловно, по результатам выполнения комплексного проекта обеспечения ИБ предприятия упомянутые угрозы будут нейтрализованы или кардинально снижены риски, к которым они могут привести. Но есть один существенный нюанс – некоторые из них требуют незамедлительного решения.
Как правило, каждый из этапов комплексного проекта занимает от полугода до 1,5–2 лет – в зависимости от масштабов производства и ряда внутренних факторов конкретной компании. Оставлять на этот период те угрозы, о которых уже известно, – не самое разумное решение.
Оптимальный выбор в данном случае – работа на опережение: параллельно с ходом комплексного проекта вне зависимости от его текущего этапа можно сразу закрывать ключевые болезненные места. При грамотном подходе точечное внедрение таких средств защиты, как межсетевые экраны, системы контроля привилегированных пользователей, антивирусные системы и др., может существенно снизить риски, связанные с рядом типовых угроз.
К сожалению, такой подход лишь отчасти позволит чувствовать себя спокойнее при выполнении основного проекта по обеспечению безопасности технологического сегмента. Важно понимать, что этими действиями нельзя ограничиваться. Специфика обеспечения безопасности промышленных предприятий особенно не располагает к работе по порочному принципу "поставил и забыл". Помимо внедрения средств защиты необходимо особенно чуткое, внимательное и квалифицированное сопровождение проектного решения, которое в должном объеме может обеспечить лишь компания, обладающая, среди прочего, командой высококлассных специалистов, оказывающих поддержку в режиме 24х7.
Однако точечное закрытие "больных мест" пусть и не сможет кардинально переломить ситуацию с низкой защищенностью производства от современных угроз, но будет являться важным шагом на пути к ее обеспечению. А также наглядно продемонстрирует, что специалисты подразделения ИБ компании, не теряя времени даром, обеспечивают защиту своих технологических объектов с максимальной эффективностью.
Опыт выполнения проектов по проведению аудитов информационной безопасности промышленных систем автоматизации и управления на предприятиях ТЭК, в металлургической отрасли и др. показывает, что в качестве первоочередных мер далеко не всегда требуется внедрение технических средств. Так, например, из технических мер защиты на большинстве (88%) обследованных объектов уже были реализованы меры сетевой безопасности (той или иной степени полноты и достаточности), но при этом в 17% случаев для АСУ ТП присутствовал удаленный доступ и/или доступ из корпоративной сети. Встроенные механизмы защиты применяются в основном для ограничения несанкционированного взаимодействия на уровне человек-машина (режим киоска и пр.), на нижнем же уровне (ПЛК) такие механизмы чаще всего либо не настроены, либо отключены. Антивирусная защита иногда применяется (в 25% случаев), но базы почти не обновляются (обновления осуществляются только в 11%), да и сами своевременные обновления системного и прикладного ПО встречались у 8% АСУ ТП. Таким образом, существенно повысить уровень защищенности часто можно и без приобретения дорогостоящих средств защиты. Грамотно выполненный квалифицированными специалистами аудит информационной безопасности АСУ ТП позволяет определить правильные компенсирующие меры, эффективные как с точки зрения обеспечиваемого уровня защищенности, так и с точки зрения экономической обоснованности. Применение же технических средств защиты должно обязательно учитывать особенности объекта защиты – нужно принимать во внимание различные режимы работы АСУ ТП (штатный/нештатный, автоматизированный/автоматический и т.д.), а также максимально исключить влияние средства защиты непосредственно на сам технологический процесс.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2015