Защита автоматизированных систем управления технологическими процессами
Чемпионат мира по футболу 2018 продемонстрировал готовность РФ к отражению внешних воздействий - спецслужбы России совместно с правоохранительными органами из 34 стран (всего 126 специалистов из 55 структур) успешно отразили порядка 25 млн кибератак и других преступных действий на информационные структуры страны. Однако, в повседневной жизни злоумышленники осваивают новые, плохо защищенные отрасли. Одним из приоритетных направлений для них стал промышленный сектор, кибератаки на который оказывают непосредственное влияние на непрерывность бизнеса и могут нанести серьезный урон как финансовой, так и репутационной составляющей компании.
По данным исследования, проведенного Лабораторией Касперского и B2B International в 2017 г среди 962 представителей промышленных компаний по всему миру, каждая вторая (48%) отметила, что обладает недостаточными знаниями об угрозах, с которыми сталкивается их бизнес. При этом 87% опрошенных признались, что столкнулись как минимум с одним сложным киберинцидентом в течение года. На обнаружение атаки каждое пятое (20%) промышленное предприятие тратит до нескольких недель, каждое третье выявляет ее за несколько дней.
Дополнительный всплеск киберугроз в промышленном секторе вызван активным развитием технологий и растущим уровнем автоматизации процессов, призванным повысить эффективность производства, качество выпускаемой продукции и безопасность. На промышленных предприятиях для автоматизации управления технологическим оборудованием создают комплексы технических и программных средств - автоматизированные системы управления технологическими процессами (АСУ ТП).
Почему данные системы вызывают активный интерес со стороны киберпреступников, и какие существуют подходы к защите АСУ ТП рассмотрим ниже.
Об автоматизированных системах управления технологическими процессами
В составе АСУ ТП могут быть как отдельные системы автоматического управления, так и комплекс автоматизированных устройств. Как правило, автоматизированная система управления технологическими процессами имеет:
единую систему управления технологическим процессом, представленную одним или несколькими пультами управления;
средства обработки и хранения информации о ходе процесса;
типовые элементы автоматики, такие как исполнительные устройства, датчики, устройства управления и т.д.
В контексте технической защиты АСУ ТП разделяют на три уровня:
Верхний уровень - уровень визуализации, диспетчеризации и сбора данных. Здесь находятся операторские станции и системный сервер. Зачастую данный уровень представляет собой единый комплекс управления и мониторинга АСУ ТП. Как правило, только на этом уровне присутствует взаимодействие с внешними источниками. По этим причинам его защита максимально критична.
Средний уровень - уровень обработки и прямого влияния на контрольно-измерительную информацию, которая является наиболее критичным типом данных АСУ ТП. Средний уровень также нуждается в технической защите.
Нижний уровень - уровень контрольно-измерительного оборудования. Как правило, он надежно защищен физически и неизвестен злоумышленникам.
Основные функции АСУ ТП призваны:
Автоматизировать управление параметров технологического процесса. Контроллером системы осуществляется регулирование для достижения оптимальных процессов остановки и запуска оборудования, а также оперативной реакции системы на внешние изменения. Это положительно отражается на качестве других технологических процессов.
Осуществлять мониторинг, обработку и выдачу управляющих воздействий и регистрировать данные о технологическом процессе и оборудовании. Контроллер системы автоматически собирает и обрабатывает информацию от датчиков процесса. Оператор видит результат в режиме реального времени.
Распознавать, оповещать и регистрировать аварийные ситуации и технические сбои. Контроллер системы либо сообщает о нарушениях оператору, либо автоматически блокирует развитие непредвиденной ситуации.
Дистанционно управлять технологическим оборудованием автоматически, либо вручную с рабочего места оператора.
Регистрировать контролируемые параметры, такие как действия или бездействия оператора, и автоматически архивировать их в базе данных на сервере системы с привязкой ко времени. Это позволяет определить причину аварийной ситуации и предпринять необходимые меры во избежание повторения подобных случаев.
Предоставлять текущую и архивную информацию из базы данных в виде графиков, таблиц и трендов. Это позволяет организовать делопроизводство более качественно.
Ограничивать доступ к системе различными уровнями паролей. Предусмотрен уровень оператора, руководителя и ограниченный доступ инженерному составу.
Автоматизация процессов имеет множество плюсов и действительно способна повысить экономическую эффективность предприятия, но несоблюдение требований обеспечения информационной безопасности (ИБ) могут сделать автоматизацию критически опасной.
По данным Всемирного экономического форума, в 2017 году мировой ущерб от кибератак составил около триллиона долларов. По прогнозам экспертов эта сумма может увеличиться в разы если уже сегодня не начать предпринимать серьезные меры как для оперативного выявления, так и своевременного реагирования на атаки, причем на федеральном и региональном уровнях.
Для защиты сложных автоматизированных промышленных процессов на предприятиях критической важности необходим комплексный подход к обеспечению ИБ, внедрение специализированных средств, решений и подходов. Безопасность промышленных сетей и АСУ ТП осуществляется с учетом специфики и особенностей таких систем, а также требований международных стандартов и российских нормативных документов по обеспечению ИБ. К ним относятся:
отраслевые стандарты NERC Critical Infrastructure Protection (NERC CIP);
стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security;
рекомендации NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» и NIST SP 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations»;
и, конечно, приказ ФСТЭК России №31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». В нем отражены основные подходы к обеспечению защиты информации, такие как: разработка и документирование правил и процедур обеспечения информационной безопасности, реализация системы обеспечения ИБ, обучение персонала и отработка действий пользователей в случае возникновения непредвиденных ситуаций, а также требования по безопасной разработке ПО, инцидент-менеджменту и анализу угроз безопасности.
Комплексный подход включает регулярный аудит состояния защищенности АСУ ТП путем интервьюирования сотрудников предприятия, анализа документации, конфигурации и структуры систем и т.д. Полученные в результате аудита данные позволяют проанализировать риски и определить угрозы, влияющие на функционирование объекта.
Обеспечить защиту информации в АСУ ТП под силу экспертам, имеющим опыт как в сфере ИБ, так и в реализации проектов в области создания инфраструктуры АСУ ТП. Такими компетенциями, а также знанием специфики работы промышленных систем и особенностей работы сетевых протоколов АСУ ТП обладают специалисты компании ЗИКС – системного интегратора в области информационной безопасности.
На счету компании ряд успешно реализованных проектов. Так, сотрудники компании ЗИКС совместно с Российской Корпорацией Систем Связи (РКСС) провели комплексный аудит систем информационной безопасности одного из крупнейших российских промышленных холдингов. На более чем 20 объектах территориально распределенной информационно-телекоммуникационной инфраструктуры (ИТКИ) заказчика эксперты определили границы аудита ИБ и инфраструктуры, осуществили сбор и анализ исходных данных об ИТКИ, идентифицировали критичные информационные ресурсы и провели их категорирование. В рамках выявления уязвимостей было проведено инструментальное обследование, включающее PENTEST - тест на проникновение, и анализ векторов возможных атак. Оценка рисков информационной безопасности и анализ эффективности применяемых мер, процедур и средств защиты информации позволили сформировать важные и своевременные рекомендации по совершенствованию системы информационной безопасности и приведению ее в соответствие требованиям российского законодательства и международным стандартам.
В рамках другого проекта эксперты компании ЗИКС совместно со специалистами компании Газэнергострой изучили нормативную базу документов в части защиты АСУ ТП, требования потенциальных заказчиков и общие тенденции на рынке информационной безопасности в данном направлении, учли положения Приказа ФСТЭК России №31, определяющего требования к обеспечению защиты информации в АСУ ТП. При поддержке крупнейшего разработчика и производителя оборудования и прикладного ПО в сфере промышленной автоматизации и контрольно-измерительного оборудования проанализировали ключевые аспекты для проектирования эффективной системы защиты АСУ ТП. В их числе как программные продукты и оборудование, документация и системные решения, так и организационные меры. Предпринятые действия позволили выработать полноценный комплекс мер для эффективной и всесторонней защиты АСУ ТП.
Классификация решений для обеспечения информационной безопасности АСУ ТП
Все решения по обеспечению информационной безопасности автоматизированных систем управления технологическими процессами делятся на две категории:
Система мониторинга активности, обнаружение угроз и уведомления служб безопасности. Данная система разделяется на классы:
система обнаружения компьютерных атак и сетевых аномалий;
система пассивного анализа уязвимостей;
система мониторинга событий информационной безопасности и беспроводных сетей;
система анализа конфигураций оборудования, правил доступа сетевого оборудования;
система контроля целостности данных и ПО.
Система предотвращения угроз.
Системы информационной безопасности АСУ ТП разделяют также на традиционные (применимы на промышленных предприятиях для построения архитектуры, управления информационными потоками) и специализированные (актуальны для компаний тяжелой промышленности, должны учитывать ПО, промышленный трафик и т.д.).
Незащищенные АСУ ТП грозят владельцам крупных предприятий нарушением технологических процессов, многомиллиардными убытками и даже техногенными катастрофами в случае несанкционированного доступа к объектам управления и нарушения целостности АСУ ТП. Своевременное осознание необходимости защиты автоматизированной системы управления технологическими процессами и принятие комплекса мер позволит избежать крупные потери и урон репутации.
О Компании ЗИКС
ООО «Компания ЗИКС» - современный, успешно развивающийся участник рынка информационной безопасности, объединивший в своих рядах высококлассных специалистов с многолетним проектным опытом реализации комплексных систем защиты информации. Компания оказывает консалтинговые и интеграционные услуги в области информационной безопасности.
