Эта проблема приобретает особую важность в условиях постоянного роста киберпреступности.
«Безопасность и АСУ ТП – вещи в некотором смысле несовместные», — признал Андрей Брызгин, руководитель направления аудита и консалтинга компании Group-IB, характеризуя состояние информационной безопасности в области промышленной автоматизации в нашей стране. Схожие выводы сделали ранее в компании «Информзащита» по результатам аудита автоматизированных систем управления технологическими процессами отечественных промышленных предприятий (см. «Защита АСУ ТП», Computerworld Россия, № 29, 2013).
О состоянии дел в этой области в глобальном масштабе может свидетельствовать, например, база данных Repository of Industrial Security Incidents, содержащая сведения о сотнях инцидентов, при том что, как считают аналитики, в нее попадает информация только об одном из ста инцидентов.
Согласно данным, приведенным на конференции, 20% инцидентов в области информационной безопасности АСУ ТП вызвано действиями хакеров и инсайдеров (приблизительно поровну между ними), а оставшиеся 80% связаны с вредоносными программами, ошибками и действиями персонала. Поэтому обеспечение безопасности АСУ ТП необходимо рассматривать как комплексный процесс, сочетающий организационные и технологические компоненты. Начинать же повышение уровня информационной безопасности промышленных предприятий, считает ряд экспертов, нужно с наведения общего порядка, включая распределение ответственности должностных лиц, разработку инструкций на рабочих местах, обучение персонала, определение мест хранения оборудования горячего резерва.
Что же касается самих систем автоматизации, то в них сравнительно легкой добычей становятся персональные компьютеры, круглосуточный режим работы которых препятствует обновлениям ПО безопасности, включая антивирусы.
Проблемы вызывают также контроллеры, основная задача которых – поддержка операций в режиме реального времени, тогда как информационной защите и безопасности сетевых соединений в этих устройствах не уделяется нужного внимания.
Наряду с этим отмечаются наличие множественных неконтролируемых точек возможного входа в сеть, включая USB-порты и средства дистанционного взаимодействия с АСУ ТП, а также неэффективное сегментирование сетей промышленных предприятий. Ко всему этому можно добавить отсутствие разграничения прав доступа персонала к информационным ресурсам АСУ ТП.
Как следует из выступлений участников конференции (среди них представители компаний R-Plus, «Ай-Теко», «ДиалогНаука», «ПроСофт»), эти и другие проблемы целесообразно решать с привлечением работающих в данной области системных интеграторов, которые готовы провести аудит систем автоматизации промышленных объектов, а также разработать и внедрить организационные и технологические мероприятия, повышающие уровень их защиты.
Продукты и решения
Один из стандартных приемов реинжиниринга АСУ ТП — разбиение их на зоны, защита каждой зоны, организация безопасного взаимодействия между ними, а также защита общего периметра предприятия.
На этом приеме основан, в частности, способ безопасного взаимодействия сетей АСУ ТП, предложенный компанией Boeing (см. «‘Черные ящики’ АСУ ТП», Computerworld Россия, № 30, 2013). На конференции были представлены продукты информационной безопасности Belden, которыми компания обзавелась в результате ряда поглощений.
Так, в частности, устанавливаемые на границе сети промышленные межсетевые экраны Belden Eagle, работающие в расширенном диапазоне температур, поддерживают технологии VLAN и VPN, протоколы резервирования HiperRing и Virtual Router Redundancy Protocol.
Для ядра сети предназначены устройства Eagle Tofino и Tofino Xenon, которые работают на втором сетевом уровне, не имеют IP-адресов и обладают функциональностью глубокого анализа пакетов. Они исследуют проходящий трафик и способны разбираться в протоколах Modbus/TCP, OLE for Process Control, Ethernet/IP и определять наличие некорректных кодов.
В результате сотрудничества Rockwell Automation и Cisco Systems разработана архитектура Converged Plantwide Ethernet и выпущены такие устройства, как коммутаторы Allen-Bradley Stratix 5700 и Cisco Industrial Ethernet 3000.
На более высоком уровне могут использоваться программные комплексы управления конфигурациями сетевых устройств и серверных платформ виртуализации, средства мониторинга активности пользователей и анализа угроз безопасности, а также инструменты бизнес-анализа, способные учитывать специфические особенности работы объектов АСУ ТП. Эти и другие средства применяются в корпоративных информационных системах, имеется также опыт их внедрения в промышленных компаниях, включая Airbus, British Energy, GM, Shell, «Газпром», и других организациях.
Побудительные мотивы
Тем не менее повторим: обеспечение информационной безопасности АСУ ТП и технологических сетей – комплексный процесс, эффективность которого зависит от взаимодействия разработчиков средств автоматизации, интеграторов систем автоматизации и решений безопасности, персонала промышленных объектов.
Несмотря на обилие программных и аппаратных решений, способных обеспечить нужный уровень информационной безопасности промышленных объектов, руководство отечественных предприятий очень сдержанно подходит к их внедрению. Причины этого — в желании «не навредить», не нанести ущерб непрерывности технологических процессов, а также в банальной нехватке средств.
Выпущенный в марте 2014 года приказ ФСТЭК № 31 продолжает унификацию требований к защите информации в системах, которые управляют производственными и технологическими процессами критически важных объектов. Имеется также стандарт IEC 62443, регламентирующий требования к безопасности промышленных сетей и систем. Однако эти документы бесполезны, пока задачей обеспечения защиты информации не озаботится владелец автоматизированной системы.
Пока же разговор между представителями служб АСУ ТП и информационной безопасности часто происходит на повышенных тонах, делится опытом Георгий Цедилкин, генеральный директор компании ANP Ceges Technology. «Эти люди – по разные стороны баррикад. Но задачу необходимо решать, наращивая компетенции и с уважением относясь к мнению всех специалистов».