Автоматизированные системы управления сложными технологическими процессами современных промышленных предприятий – это многофункциональные программно-аппаратные комплексы, в которых применяются серверы приложений и баз данных, автоматизированные рабочие места на основе персональных, панельных, мобильных компьютеров, программируемые логические контроллеры (ПЛК) различных производителей. Для взаимодействия этих инфраструктурных компонентов и исполняемых ими приложений используются сетевые устройства, включая их модели в промышленном исполнении, специализированные и стандартные протоколы обмена данными, в том числе стеки TCP/IP. Все чаще можно видеть внедрение в АСУ ТП фрагментов беспроводных локальных сетей, а также средств дистанционного доступа к самой системе и ее подсистемам через Интернет и веб-интрефейсы.
Информационная безопасность АСУ ТП стала предметом самого пристального внимания после появления вируса, получившего известность как Rootkit.Win32.Stuxnet, который распространяется через флэш-накопители и поражает ПЛК, используя уязвимость в операционных системах Windows (см. «Уязвимость АСУ ТП», «Директор информационной службы», № 8, 2011). Атаке Stuxnet подверглась система диспетчерского управления и сбора данных (Supervisory Control And Data Acquisition, SCADA) Siemens WinCC, о потенциальных уязвимостях которой сообщили специалисты компании Positive Technologies (см. «В системах промавтоматизации еще полно дыр», Computerworld Россия, 12 ноября 2012).
Распространение Stuxnet явилось свидетельством новых угроз, которые добавились к уже известным проблемам, возникшим в результате создания единой сетевой инфраструктуры промышленных и производственных предприятий, объединяющей АСУ ТП и информационные системы верхних уровней. Такая интеграции повысила степень «открытости» АСУ ТП, увеличив опасность внешних проникновений и распространения вредоносных кодов, а также атак, вызывающих отказы в обслуживании, которые способны привести к непредвиденным и весьма опасным последствиям.
Редакция Computerworld Россия обратилась к представителям ряда компаний, деятельность которых связана с информационной безопасностью АСУ ТП, чтобы они прокомментировали ситуацию в этой области.
Специфика АСУ ТП
Методы и средства информационной безопасности корпоративных ИС хорошо известны. Возникает вопрос об их применимости в АСУ ТП и специфических особенностях комплексов промышленной автоматизации, которые влияют на организацию их защиты.
Сергей Гордейчик, заместитель генерального директора Positive Technologies, считает, что одной из основных задач защиты АСУ ТП является обеспечение целостности и доступности систем. Нарушение технологических процессов способно нести серьезный ущерб и в наихудших случаях стать причиной техногенных катастроф. Такую возможность следует учитывать при проектировании и внедрении средств защиты, которые, выполняя возложенные на них функции, должны тем не менее оказывать минимальное влияние на стабильность и непрерывность технологического процесса.
«Что же касается модели угроз, то в АСУ ТП наиболее широко распространены инциденты, связанные с нарушениями правил безопасности их операторами, а также инженерами-разработчиками. Следует учитывать и чреватые непредвиденными последствиями риски таких распространенных решений, как предоставление удаленного доступа к системам АСУ ТП производителям продуктов автоматизации, а также системным интеграторам», — пояснил он.
По мнению Александра Большева, исследователя безопасности компании Digital Security, к комплексам АСУ ТП применимы все стандартные методы и средства в области информационной безопасности, которые используются в распределенных корпоративных информационных системах. Тем не менее в системах промышленной автоматизации следует учитывать множество дополнительных факторов.
Линии связи и промышленные протоколы, к примеру, как правило, гораздо более уязвимы к снифингу и спуфингу пакетов, нежели компоненты современных корпоративных систем, а промышленные контроллеры и зачастую SCADA-системы не обладают достаточной устойчивостью к некорректным входным пакетам.
Оборудование и программное обеспечение ряда АСУ ТП разработано и внедрено довольно давно, существуют системы SCADA, которые способны работать только с Windows NT или Windows 98, что приводит к повышенным рискам информационной безопасности. «Такие риски можно снизить при помощи современных технологий виртуализации, но отнюдь не всегда и не везде. Поэтому серверы SCADA и OPC (OLE for Process Control), ПЛК и другие компоненты систем автоматизированного управления должны быть изолированы от Интернета. Следует учитывать также, что использование беспроводных технологий позволяет потенциальному злоумышленнику проникнуть с применением направленной антенны в АСУ ТП, находясь от нее на значительном удалении. Поэтому обеспечение и информационной, и физической безопасности, то есть ограничение доступа к компонентам АСУ ТП и линиям связи, является очень важной задачей», — подчеркнул Большев.
Владимир Черкасов, старший консультант компании «Информзащита», отмечает дальнейшие нюансы безопасности АСУ ТП: «Конфиденциальность информации, обрабатываемой в АСУ ТП, часто не так важна, как ее целостность и доступность. Существует мнение, будто бы достаточно обеспечить защиту периметра АСУ ТП на логическом и физическом уровне, то есть использовать межсетевое экранирование, организовать пропускной режим и контроль доступа персонала. Однако наряду с этим следует учитывать, что в АСУ ТП предъявляются особые требования к обновлению ПО безопасности, к обеспечению доступности компонентов АСУ ТП и каналов связи, к аутентификации и идентификации и к ряду других процессов и процедур. В АСУ ТП могут возникнуть также сложности с применением средств защиты, которые не протестированы и не одобрены производителями аппаратных и программных продуктов. Все эти проблемы нужно решать с пониманием того, что инциденты в области безопасности систем промышленной автоматизации могут нанести ущерб здоровью и безопасности людей, в то время как в корпоративных информационных системах речь идет прежде всего о финансовых рисках».
Что происходит на производстве
Обеспечение безопасности как АСУТП, так и корпоративных информационных систем требует разработки и внедрения комплекса технологических и организационных мероприятий. Аудит автоматизированных систем управления технологическими процессами российских промышленных предприятий, проведенный специалистами компании «Информзащита», свидетельствует о том, что в большинстве обследованных организаций отсутствуют процедуры управления инцидентами безопасности и их анализа, не используются системы обнаружения и предотвращения внешних вторжений, нет средств выявления сетевых аномалий, не проводится аудит состояния информационной безопасности и анализ защищенности комплексов АСУ ТП (см «Защита АСУ ТП», Computerworld Россия, № 29, 2013).
Выявлены также отсутствие сотрудников, ответственных за информационную безопасность АСУТП, и дефицит квалифицированного эксплуатационного персонала. Кроме того, нет четких требований и документированных процедур безопасности в АСУ ТП, не выполняются базовые требования по информационной безопасности, не проводятся критически важные обновления системного и прикладного программного обеспечения, малоэффективна или полностью отсутствует аутентификация в большинстве компонентов АСУ ТП.
Тем не менее технологии не стоят на месте, и производители повышают информационную защиту компонентов АСУ ТП. В современных системах SCADA и HMI (Human-Machine Interface) уже сделано довольно много на пути повышения их безопасности. Поддерживаются отказоустойчивость, процедуры восстановления в случае сбоев, ролевая модель управления доступом на основе технологии разделения обязанностей, применяются стойкие к атакам механизмы аутентификации и авторизации, изоляция пользователей от интерфейсов «нижележащей» ОС и другие средства. «Однако даже при хорошо защищенной SCADA соседние системы, включая ПЛК и каналы связи, не обладают достаточными уровнями защиты и являются слабыми местами в безопасности всего комплекса АСУ ТП», — считает Большев.
Поскольку функции безопасности АСУ ТП основаны в ряде случаев на средствах базовой операционной системы, такой уровень безопасности не выдерживает никакой критики, отмечает Гордейчик. Специалистами Positive выявлены уязвимости в механизмах аутентификации системы Siemens WinCC и цифровой системы автоматизации Emerson DeltaV, позволяющие не только обходить процедуры проверки, но и выполнять в SCADA произвольный код.
Проблемы уже устранены производителями, но неизвестно, как скоро бреши будут ликвидированы в промышленных системах, где обновления в основном осуществляются только во время плановых остановок производства на ремонт, и сколько еще уязвимостей предстоит найти.
В компании «Информзащита» отмечают, что к наиболее часто встречающимся инцидентам безопасности в АСУ ТП относятся сбои программно-аппаратного обеспечения в результате непреднамеренных действий пользователей АСУ ТП или ошибок в программном обеспечении, заражение вредоносным кодом, неисправности исполнительных устройств вследствие программных и аппаратных сбоев, отключение оборудования АСУ ТП из-за обесточивания, отказы сетевого оборудования и нарушения в работе каналов связи.
Эти и другие инциденты, которые способны привести к аварийным прерываниям производственных процессов, могут быть вызваны действиями возможных злоумышленников, а также пользователей и обслуживающего персонала.
«Особенно остро стоит сегодня проблема обучения персонала, поскольку большинство инженеров АСУ ТП — люди, далекие от информационной безопасности. При построении распределенных комплексов промышленной автоматизации допускаются, зачастую из благих побуждений, ошибки, которые могут привести к возникновению проблем в защите», — утверждает Большев.
Анализ защищенности АСУ ТП показывает, что в большинстве случаев уровень информационной безопасности современных АСУ ТП можно охарактеризовать как низкий, что обусловливает необходимость дополнительных мер, считают в компании «Информзащита».
Рынок и регулятор
«Защита АСУ ТП входит в число наиболее обсуждаемых сегодня в мире и в России вопросов. Внимание к информационной безопасности систем промышленной автоматизации соответствует важности проблем, поскольку число угроз и уязвимостей стремительно растет. Масштабы этого сегмента рынка беспрецедентны, несмотря на характерную для него инерционность», — считает Алексей Мальнев, руководитель отдела защиты ключевых систем информационной инфраструктуры «АМТ Груп».
ИТ-рынок активно реагирует на возникший спрос. Для защиты АСУ ТП интеграторы стремятся разработать типовые решения и сформировать портфель предложений в области промышленной информационной безопасности. Активное участие в этой деятельности принимают такие компании, как «АМТ Груп», «Крок», «Инфосистемы Джет», «Информзащита», ЛАНИТ, НИИ систем обеспечения комплексной безопасности, «РТСофт», «Уральский центр систем безопасности», и ряд других организаций.
Формируется сегмент аудита и анализа защищенности АСУ ТП. Кроме интеграторов, традиционно проводящих предпроектные обследования предприятий, в этой области работают компании Digital Security, Group-IB, Positive Techologies, «Перспективный мониторинг».
Такая активность игроков различных сегментов рынка должна со временем изменить ситуацию в информационной безопасности АСУ ТП, при создании которых долгое время решались задачи повышения быстродействия и оптимизации стоимости, а защите от потенциальных угроз не уделялось должного внимания.
Важная роль в этой области отводится государственному регулированию. Два года назад принят федеральный закон «О безопасности объектов топливно-энергетического комплекса», который затрагивает большую, но тем не менее ограниченную группу критически важных объектов.
Летом 2013-го появился законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», разработанный в рамках реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года. Проект закона (его инициатором стала Федеральная служба безопасности) предусматривает разработку критериев определения категорий опасности критической информационной инфраструктуры, формирование требований к системам безопасности объектов критической информационной инфраструктуры, а также регламентирует их взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Проблемы протокола HART
HART (Highway Addressable Remote Transducer Protocol) — промышленный протокол передачи данных интеллектуальных полевых устройств, предназначенный для сбора показаний датчиков, а также для управления датчиками и исполнительными устройствами с использованием модулированных сигналов, которые накладываются на токовую несущую традиционной аналоговой токовой петли. Специалисты компании Digital Security выяснили, что в системах, использующих протокол HART, существуют множественные уязвимости. Согласно опубликованным Digital Security данным, внедрение в программное обеспечение, работающее с протоколом HART, специальным образом сформированных пакетов способно вызвать отказ в обслуживании как самого ПО, так и драйверов последовательных портов операционной системы. Наряду с этим обнаружены уязвимости в программной реализации технологии Field Device Tool/Device Type Manager (FDT/DTM), обеспечивающей дистанционную параметризацию полевых устройств, а также в сервере HART OPC Server. Потенциальные злоумышленники, получившие физический доступ к токовой петле, с которой работают HART-датчики, могут фальсифицировать их показания, вызвать отказ в обслуживании системы мониторинга и даже получить доступ к корпоративным информационным системам через уязвимости в DTM-компонентах. Все это может повлечь за собой сбои в технологических процессах таких крупных промышленных объектов, как электростанции или химические заводы.