Интерес к проблеме возник после появления червя Stuxnet, который предназначался для атаки на системы автоматизированного управления технологическими процессами в Иране. До этого предполагалось, что АСУ ТП физически отделены от Интернета и атаки на них невозможны. Однако случай с червем, проникшим в системы компании Siemens, отвечающие за управление центрифугами для очистки урана, заставил сотрудников безопасности на российских предприятиях заинтересоваться проблемами защиты своих систем.
Проблема в том, что в России, как заверяет Андрей Степаненко, директор по развитию бизнеса «Информзащиты», собственных разработчиков современных АСУ ТП для топливно-энергетической отрасли у нас нет. Решения в основном поставляются из-за рубежа, а иногда приходится даже обеспечивать сотрудникам производителя канал удаленного доступа к их системам — для технического обслуживания. Существующие же сейчас системы управления как в нефтегазовой, так и в энергетической отрасли были спроектированы в 80-х годах и уже не отвечают современным требованиям ни по качеству управления, ни по защите от посторонних воздействий.
По словам Дмитрия Крымова, заместителя директора департамента «Информзащиты» по работе с ТЭК, государственные органы никак не стремятся улучшить ситуацию. Есть закрытый список критически важных объектов, атаки на которые могут нанести вред системе управления России в целом, однако АСУ ТП в него, как правило, не входят: считается, что их взлом не может нанести вред критически важным инфраструктурам и органам госуправления. Хотя понятно, что выполнение посторонних команд системой управления, например нефтеперерабатывающего завода, может не только вывести из строя само предприятие, но и причинить ущерб целому региону.
Есть также федеральный закон № 256 «О топливно-энергетической отрасли», где в статье 11 изложены требования по безопасности предприятий, однако в трех выпущенных на текущий момент постановлениях никаких требований по информационной безопасности нет. Впрочем, полагает Крымов, проблема в том, что в Минэнерго просто отсутствуют кадры, которые разбирались бы в информационной безопасности. Часто чиновники министерства ссылаются на требования ФСБ и ФСТЭК, однако в АСУ ТП проблемой является не защита персональных данных или конфиденциальной информации, а целостность и корректность работы системы управления, для которых существует совсем другая модель угроз. Поэтому компаниям отрасли при модернизации систем управления приходится создавать свои правила защиты, чье качество даже проверить некому.
Между тем в странах Евросоюза и других над проблемой защиты АСУ ТП уже задумались и даже выпустили некоторые рекомендации. В частности, для реализации требований Евросоюза была разработана новая технология защиты — система однонаправленной передачи данных, так называемый диод данных. Блокировка канала обратной передаче данных выполняется на физическом уровне — оптический канал имеет излучатель только с одной стороны. Таким диодом можно отделить, например, сеть датчиков АСУ ТП, из которой сведения получить можно, но в нее никаких команд на изменение конфигурации подать нельзя. Если же нужно перенастроить датчики, то устраивается дополнительный канал управления со специальным фильтром, пропускающим только явно разрешенные команды.
В частности, для России диоды данных предлагает компания Fox-IT, которая разработала их для стран ЕС. С применением этих диодов МАГАТЭ, например, получает сведения о ядерных объектах в Европе. Компания предлагает не только само устройство, но и необходимые агенты, которые позволяют корректно работать сети при однонаправленной передаче данных, в том числе и в случае TCP-соединения. Такие агенты уже разработаны для 350 стандартных приложений, однако для поддержки нового протокола требуется две-три недели в рамках предпродажного проекта. У решения даже есть положительное заключение от ФСТЭК, причем как на устройство, так и на агенты.
Сама «Информзащита» предоставляет услуги по построению защищенного промышленного сегмента корпоративной сети предприятия, где элементы АСУ ТП защищаются с помощью межсетевых экранов нового поколения и тех самых диодов. Компания также проводит тесты на проникновение, в которых берет на изучение используемые в производстве датчики и проверяет их на предмет взлома и влияния на всю систему управления. Однако при отсутствии четких требований от государства не так уж много компаний реализует подобные проекты по совершенствованию защищенности своей промышленной системы управления.