Защита АСУ ТППрежде чем что-то внедрять

Тем не менее, говорить о том, что тема кибербезопасности АСУ ТП активно развивается в нашей стране, пока рано. Она активно обсуждается на всевозможных форумах, крупные компании-разработчики периодически объявляют о релизах специализированных продуктов для обеспечения безопасности АСУ ТП. Но реальные проекты стартуют с большими сложностями. Отдельные проекты готовились в течение полутора–двух лет и практически сразу после старта признавались провальными. Результаты же успешных проектов нигде не опубликованы. В основном из-за того, что никто не хочет предавать огласке те проблемы, которые вскрываются в рамках обследований и аудитов.

Специалисты компании "Информзащита" попытались обобщить весь спектр доводов "за" и "против", которые высказывались как владельцами АСУ ТП, так и производителями решений в области автоматизации и информационной безопасности.

Аргументы "против"

• АСУ ТП имеют высокие показатели функциональной надежности.
• АСУ ТП строят в отказоустойчивых конфигурациях.
• Параллельно строятся системы противоаварийной автоматики.
• Предусматривается возможность перехода на ручные режимы управления.
• АСУ ТП принято физически отделять от корпоративных сетей и систем.
• Уровень компетенций и производственной дисциплины в подразделениях АСУ выше.
• Критически важные объекты оснащены системами физической защиты (защита периметра, видеонаблюдение, охранная сигнализация, контроль доступа персонала и т.д.).
• Деструктивное воздействие извне трудно реализовать ввиду сложности самого технологического процесса и систем управления.
• Наличие уязвимостей не говорит о том, что есть возможность их эксплуатации.
• Раньше инцидентов ИБ в АСУ ТП не было, с какой стати им появиться сейчас?
• Руководству предприятия обычно сложно доказать, что функционирующая без сбоев система или предприятие действительно уязвимы, и еще сложнее обосновать стоимость возможного ущерба при инцидентах.
• Сложно доказать эффективность инвестиций в ИБ АСУ ТП.

Основные аргументы "за"

• Согласно отчету ICS-SERT, в 2015 г. из 295 инцидентов ИБ в АСУ ТП в 12% атак зафиксировано проникновение в технологические сети систем управления производством.
• Регуляторы и МВД уже ведут проверки объектов на предмет соответствия требованиям нормативно-правовой базе.
• Основной тип нарушителя – внутренний, а не внешний, поэтому реализованные на предприятии меры защиты периметра систем бесполезны.
• Микропроцессорные системы защиты и контроллеры АСУ ТП взламываются за несколько часов.
• Основной объем компонентов – иностранного производства, и большинство не сертифицированы по требованиям защиты информации (например, на НДВ).
• Встроенные механизмы защиты компонентов либо слабо реализованы, либо не используются на местах.
• Контроль качества проектирования АСУ ТП в части разработки решений ИБ не ведется либо ведется формально.
• Фактическая реализация АСУ ТП и физическая защита объекта сильно отличаются от проектных решений и защиту от информационного воздействия не обеспечивают.
• Решения для защиты систем от производителей компонентов АСУ ТП, как правило, не закупаются в целях экономии бюджетов либо не реализуются в целях упрощения эксплуатации системы.

Приведен далеко не полный перечень аргументов. При этом есть определенная закономерность в обеих группах аргументов. Аргументы "против" ориентированы в основном на более глубокое понимание функциональных и технических возможностей АСУ ТП. Но аргументы "за" основаны прежде всего на опыте исследований компонентов систем и имеющейся сегодня (хотя и не такой большой) статистике по инцидентам в АСУ ТП различных отраслей, а также результатах аудитов систем, которые, в свою очередь, показывают реальную ситуацию с безопасностью на реальных объектах.

Проектный опыт компании "Информзащита" показывает, что, несмотря на заверения специалистов в области автоматизации об устойчивости и надежности их систем, повышение уровня защищенности от киберугроз АСУ ТП большинства предприятий во всех ключевых отраслях промышленности сегодня является уже необходимостью, а не просто "распиаренным трендом".