Информационная безопасность АСУ ТП КВО
Сложно переоценить безопасность автоматизированных систем управления технологическими процессами критически важных объектов (АСУ ТП КВО). Нарушения в их работе могут повлечь за собой не только нарушение или полный отказ технологического процесса и экономические убытки, но и другие катастрофические последствия, связанные с безопасностью людей и серьезным ущербом для окружающей среды. В этой связи важно понимать, что обеспечение безопасности АСУ ТП КВО (как физической, так и информационной) — приоритетная задача для любого производства
Содержание |
Технологические аспекты
Если физическая безопасность критически важных объектов может быть решена на самом высоком уровне, то некоторые проблемы информационной безопасности (ИБ) вызывают ряд вопросов. Эти проблемы не являются уникальными для АСУ ТП КВО — они встречаются и в корпоративных сетях. Но несмотря на разную степень критичности, их распространенность в первом и втором случае несопоставима: в корпоративных сетях такие проблемы чаще бывают решены, в АСУ ТП КВО — гораздо реже. Это обусловлено несколькими заблуждениями:
- будто бы достаточно обеспечить защиту периметра АСУ ТП на логическом и физическом уровнях (межсетевое экранирование, пропускной и внутриобъектовый режим);
- якобы АСУ ТП безопасна, потому что взломщик никогда не поймет, как она работает;
- считается, что `наши АСУ ТП` не интересны для атак.
По статистике NIST (National Institute of Standards and Technology), опубликованной в `Руководстве по безопасности автоматизированных систем управления` (Guide to Industrial Control Systems (ICS) Security, Special publication 800-82), самыми опасными являются нацеленные внешние атаки. Хотя при этом они и самые малочисленные. Наиболее вероятными считаются непреднамеренные угрозы и рассерженные сотрудники, в том числе и бывшие[1].
Обновление программного обеспечения
Как правило, установка обновлений безопасности на компоненты АСУ ТП осуществляется очень редко. Обусловлено это несколькими факторами:
- необходимость непрерывности технологического процесса (для установки обновления может потребоваться перезагрузка/выключение АСУ ТП);
- недопустимость автоматического обновления и необходимость предварительного тестирования обновлений в силу критичности АСУ ТП КВО;
- зависимость от разработчика программного обеспечения АСУ ТП.
Отсутствие своевременных обновлений позволяет злоумышленникам нанести вред системе, используя известные уязвимости ПО. Для всех системных компонентов и ПО должны быть установлены самые последние обновления безопасности, предоставленные производителями.
Управление доступом и парольная политика
Для работы на операторских/диспетчерских рабочих станциях часто используются административные учетные записи с легкими для перебора или угадывания паролями. При этом они могут быть `зашиты` весьма небезопасным способом и храниться (передаваться) в открытом виде. А иногда этих паролей может и вовсе не быть.
Таким образом, достаточно получить физический доступ к данному компоненту АСУ ТП, чтобы в дальнейшем скомпрометировать всю систему. В качестве оправдания владельцы АСУ ТП КВО обычно указывают на требование непрерывности технологического (производственного) процесса или мониторинга. По их мнению, процедуры идентификации и аутентификации пользователей (операторов и диспетчеров), которым сложно запоминать длинные пароли, могут этой непрерывности помешать. В качестве компенсационной меры они считают достаточной организацию строгого пропускного и внутриобъектового режима.TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг
Но действительно ли этого достаточно? Чтобы ответить на данный вопрос, можно вспомнить внутренних нарушителей, социальную инженерию, а также обычные вирусные заражения, которые могут привести к плачевным результатам.
Управление инцидентами
Процессы управления инцидентами ИБ, как правило, не документированы и не осуществляются должным образом. Между тем предприятию необходимо определить, какие события и на каких компонентах АСУ ТП должны отслеживаться, а также кто и как часто должен осуществлять их мониторинг и анализ.
Характерный пример: по результатам оценки рисков установка ограничений по количеству попыток ввода пароля может быть признана опасной с точки зрения обеспечения непрерывности технологического процесса. Но в таком случае в качестве компенсационной меры обязательно должен вестись мониторинг событий неправильного ввода пароля. Эта мера может помочь своевременно выявить заражение компонентов АСУ ТП вредоносным ПО, которое часто сопровождается попытками подбора паролей для дальнейшего заражения и распространения.
Отсутствие системы мониторинга ИБ-событий и реагирования на инциденты не позволяет оперативно отслеживать возникающие критические события и деструктивные действия злоумышленников, чтобы своевременно принять необходимые и адекватные меры противодействия. Вместе с тем организацию системы централизованного сбора и анализа событий ИБ сложно отнести к дорогостоящим процедурам. По крайней мере, она не требует покупки программно-аппаратных комплексов, которые стоят больших денег.
Мониторинг сетевой инфраструктуры АСУ ТП
Мониторинг сетевой инфраструктуры АСУ ТП КВО часто ограничивается выявлением неисправностей или сбоев сетевого оборудования. В отсутствие средств обнаружения вторжений невозможно определять атаки на сетевые ресурсы и своевременно противодействовать им. Это особенно критично, если технологическая сеть подключена к корпоративной, а корпоративная — к Интернету.
С учетом требований к непрерывности технологических процессов рекомендуется использовать системы пассивного обнаружения вторжений, которые будут осуществлять анализ сетевого трафика без вмешательства в процессы передачи данных.
Осведомленность сотрудников в области ИБ
Еще одной существенной проблемой для безопасности АСУ ТП КВО является неосведомленность в области ИБ персонала, обслуживающего АСУ ТП. Знание и соблюдение простейших правил информационной безопасности может предотвратить как минимум реализацию непреднамеренных угроз безопасности АСУ ТП. А осознание того, что служба безопасности отслеживает и контролирует действия обслуживающего персонала, может снизить вероятность реализации преднамеренных угроз.
Отмеченные выше ИБ-проблемы не исчерпывают весь перечень. Вместе с тем нужно отметить, что владельцы АСУ ТП КВО, отечественные и зарубежные регуляторы, ИБ-интеграторы все чаще правильно оценивают их критичность и необходимость решать их.
Вопросы регулирования
Роль ФСТЭК в обеспечении ИБ
ФСТЭК России в соответствии с положением о федеральной службе осуществляет полномочия по обеспечению безопасности ключевых систем информационной инфраструктуры, в том числе – обеспечение безопасности в АСУ ТП критически важных объектов.
Первоочередное внимание в этом уделяется безопасности систем управления организаций ОПК, систем управления объектами атомной и гидроэнергетики, добычи и транспортировки нефти и газа, управления транспорта. В ФСТЭК отмечают, что объекты таких организаций находятся не только под пристальным вниманием террористических организаций, но также под вниманием иностранных спецслужб. Нарушение работы автоматизированных систем на этих объектах может привести к гибели людей, к технологическим и экологическим катастрофам, потере госуправления и к другим чрезвычайным ситуациям.
Нормативно-правовые акты ФСТЭК
В числе мер по обеспечению информационной безопасности (ИБ) автоматизированных систем критически важных объектов – разработка нормативно-правовых актов, методических документов, национальных стандартов. Основными документами ФСТЭК для обеспечения ИБ критически важных объектов, действующими по состоянию на середину 2015 года, является группа документов, изданных службой в 2007 году. В их числе - базовая модель угроз безопасности и методика определения актуальных угроз безопасности в ключевых системах информационной инфраструктуры.
Рассказывая о нормативно-правовой базе обеспечения безопасности АСУ ТП критических объектов в рамках конференции «Безопасность критически важных объектов ТЭК» в июне 2015 года, заместитель начальника управления ФСТЭК Дмитрий Шевцов в своем докладе отметил, что наиболее важным документом, выпущенным их службой в части обеспечения ИБ АСУ ТП критически важных объектов, является приказ №31. Документ был издан в марте 2014 года, а в 2015 году был зарегистрирован Минюстом России.
Данный приказ утверждает требования к обеспечению защиты информации в АСУ ТП на критически важных объектах, потенциально опасных объектах, а также на объектах повышенной опасности для жизни и здоровья людей и природной среды. По словам Шевцова, к разработке этих требований привлекались специалисты ФСБ, Минэнерго, Минпромторга, Минтранса, Роскосмоса, «Росатома», «Газпрома» и ряда других государственных и частных организаций, в ведении которых находятся критически важные объекты. При разработке документа был учтен не только российский опыт, но и передовой опыт иностранных государств.
Представитель ФСТЭК также пояснил, что приказом определен гибкий подход по заданию требований к обеспечению защиты информации в автоматизированных системах управления, который позволяет учитывать и нейтрализовывать все актуальные угрозы для владельца объекта, а также позволяет учитывать все структурно-функциональные характеристики и нюансы этого объекта.
В 2016-2017 гг. в развитие приказа №31 ФСТЭК планирует выпустить методический документ, определяющий меры защиты информации в автоматизированных системах управления. Еще одним документом станет методика определения угроз безопасности информации в автоматизированных системах управления и целый ряд моделей типовых угроз ИБ для различных видов систем управления. Также планируется выпустить методические документы, описывающие порядок выявления и устранения уязвимостей в автоматизированных системах управления и порядок реагирования на инциденты.
Уровень ИБ АСУ ТП: результаты проверок
В ФСТЭК отмечают, что в большинстве государственных и частных компаний, у которых имеются критически важные объекты, вопросам обеспечения безопасности АСУ ТП уделяется значительное внимание. В госкорпорации «Росатом», в «Газпроме», «Роснефти», «РусГидро», ФСК ЕЭС и ряде других интегрированных структур введены отраслевые корпоративные стандарты, регламентирующие вопросы обеспечения безопасности АСУ ТП. Данные стандарты в основе своей полагаются на нормативно-правовые акты и методические документы. По словам Дмитрия Шевцова, его служба считает разработку таких стандартов положительной практикой и готова поддерживать эту работу, проводимую компаниями.
Вместе с тем, есть и отрицательные моменты относительно обеспечения безопасности информации в АСУ ТП в компаниях, которые выявляются по итогам проверок, проводимых службой, отмечает Дмитрий Шевцов. Так, в отдельных АСУ ТП практически отсутствуют механизмы, обеспечивающие защиту систем от внешних информационных угроз. Недостаточное внимание уделяется вопросам защиты от несанкционированного доступа и угрозам от внутреннего нарушителя, не принимаются меры по безопасному межсетевому взаимодействию.
«Анализ выявленных недостатков показывает, что большинство проблем в этой области связаны с попыткой реализации мер по защите информации уже на стадии приема АСУ ТП в эксплуатацию, а не на ранних стадиях их создания. По нашим оценкам, недостатки в защите АСУ ТП критически важных объектов в большинстве случаев вызваны отсутствием должного внимания со стороны руководителей, в ведении которых находятся объекты», - говорит Дмитрий Шевцов.
Еще одной важной проблемой, которую видят в ФСТЭК, является нежелание разработчиков АСУ внедрять меры защиты на этапе их разработки. В результате вся ответственность ложится на плечи тех, кто эти системы эксплуатирует, и зачастую на стадии эксплуатации принять эти меры невозможно, отметил Шевцов: система уже работает, ее невозможно остановить и сложно заменить какие-то ее элементы.
«В связи с этим мы считаем исключительно необходимым принимать меры по информационной безопасности на всех стадиях жизненного цикла АСУ ТП», - резюмировал Дмитрий Шевцов.
Вопросы обеспечения безопасности критически важных объектов регламентируются целым рядом отраслевых законодательных актов: это и ФЗ о безопасности объектов ТЭК, о транспортной безопасности, о промышленной безопасности производственных объектов, об использовании атомной энергии и др. Данными законодательными актами установлены нормы, согласно которым на критически важных объектах и потенциально опасных объектах должны приниматься меры по обеспечению их безопасного функционирования.
Дмитрий Шевцов отмечает, что в целом такие меры принимаются, однако в большинстве своем носят организационный характер, а вопросам технической защиты АСУ ТП от угроз ИБ уделяется мало внимания. Вместе с тем, автоматизация большинства критически важных объектов достигла такого уровня, что безопасность их функционирования неразрывно связана с информационной безопасностью АСУ ТП, добавил он.
«Лебедь, рак и щука»: другие регуляторы
Важно отметить, что приказ №31 ФСТЭК хоть и является важным документом в обеспечении ИБ АСУ ТП критически важных объектов, но, по сути, не носит обязательного характера к применению для организаций, в чьем ведении такие объекты находятся. Данный документ применяется при принятии владельцем АСУ решения о необходимости защиты информации, и в ФСТЭК считают его применение необходимым для этой цели.
Помимо ФСТЭК регулирование вопросов безопасности информационной инфраструктуры критически важных объектов осуществляют и другие организации – ФСБ и Ростехнадзор. Однако по состоянию на середину 2015 года еще не сформирован перечень в полной мере дополняющих друг друга нормативно-правовых актов от всех регуляторов, которые предписывали бы общие обязательные стандарты обеспечения ИБ АСУ ТП критически важных объектов.
По ожиданиям участников рынка, с которыми пообщался TAdviser, точки над «и» в этом вопросе должен расставить федеральный закон о безопасности критически важной информационной инфраструктуры, разработанный ФСБ. В августе 2013 года ФСБ опубликовала[2] два законопроекта, регулирующих эту область. Первый из них определяет, за счет чего в России обеспечивается безопасность критической информационной инфраструктуры и устанавливает принципы обеспечения такой деятельности, а также полномочия госорганов в данной области.
Второй законопроект определяет меры ответственности за нарушение законодательства о безопасности критической информационной инфраструктуры. При этом наравне с дисциплинарной, гражданско-правовой и административной за нарушение разработанного ФСБ закона предусматривается и уголовная ответственность.
В 2014 году ожидалось, что данные законопроекты будут приняты в 2015 году, однако в уже наступившем году, по данным участников рынка, ФСБ теперь обозначает сроки принятия закона 2016 годом. Дмитрий Шевцов из ФСТЭК отметил, что после появления данного федерального закона должно стать ясно, обязательным ли является ключевой приказ их службы в области обеспечения ИБ АСУ ТП критически важных объектов или нет.
Смотрите также
Безопасность операционных технологий (ОТ)