Типовые подходы к защите информации АСУ ТП

Обеспечение информационной безопасности АСУ ТП – узкоспециализированная сфера. Компания «Инфосистемы Джет» занимается этой тематикой уже более 5 лет и выполнила десятки проектов по защите различных автоматизированных систем: ABB, Emerson, Октопус, Wonderware Intouch, Siemens WinCC, Текон, Пилот, Квинт, АМАКС, OMRON, Yokogawa, Bentley, Honeywell и многих других. И даже если производители АСУ ТП повторялись, у разных предприятий набор применяемых мер и технических средств защиты был различный. Каждый раз на новом объекте мы встречаем системы со своей спецификой, которая выражается в подходах к производственным процессам, требованиям к ним и условиям эксплуатации. Но несмотря на уникальность настроек каждой системы и отсутствие однозначных государственных требований что и как защищать мы смогли сформировать свой комплексный подход к обеспечению информационной безопасности. Наш подход позволяет оперативно обеспечить минимально необходимую защиту и определять вектор дальнейших работ по защите АСУ ТП. Он включает три основных блока: разработку стратегии и оптимизацию процессов ИБ, внедрение технических решений и подготовку кадров, причем каждый из них может быть использован в любой последовательности или параллельно. Рассмотрим каждый блок подробнее.

Блок «Разработка стратегии и оптимизация процессов ИБ». Зачастую мы сталкиваемся с тем, что объем работ так масштабен, что не видно конца и края. И если делать все одновременно, не хватит ни денег, ни ресурсов. Поэтому в первую очередь необходимо определить, что критично для предприятия на данном этапе развития, в средне- и долгосрочной перспективе (рис. 1). Изучая производственные бизнес-процессы предприятия и его ИТ-инфраструктуру, мы формируем программы по информационной безопасности, которые позволят спланировать оптимальные работы для предприятия. В рамках стратегии мы помогаем структурировать и спланировать состав и последовательность работ, а также определить показатели их эффективности. Сюда же может входить разработка документов и выстраивание процессов ИБ.

С точки зрения планирования затрат и ресурсов, т.е. бизнеса, это очень важный блок.

Рисунок 1. Разработка стратегии информационной безопасности

Блок «Внедрение решений по обеспечению информационной безопасности и соответствующих процессов». Здесь стоит понимать, что выбор решений, которые будут обеспечивать ИБ АСУ ТП – деликатная задача. В большинстве случаев требуется проверить корректность работы средства защиты информации по отношению к конкретной программе автоматизации и версиям контроллеров. Поэтому до начала работ по проектированию решений необходимо провести тестирование и определить перечень средств защиты информации, с которыми дальнейшая работа возможна в принципе.

Но это не значит, что каждый раз нужно начинать работу с нуля. Мы сформировали типовые подходы к ИБ АСУ ТП, которые позволяют понять минимальный набор мер и оценить порядок стоимости проекта. Как правило, именно в части технических мер защиты применяется весьма небольшой перечень решений, которые позволяют противодействовать основным угрозам. В обобщенном случае это:

  • авторизация и контроль действий пользователей;
  • ограничение возможностей нерегламентированного использования ресурсов:
  1. рабочих станций;
  2. серверов;
  3. баз данных;
  4. сетевых устройств;
  • обеспечение защищенного периметра сети АСУ ТП и разграничение прав пользователей внутри;
  • обеспечение безопасного удаленного доступа;
  • защита рабочих станций;
  • резервирование;
  • анализ защищенности и управление информационной безопасностью.

Отдельно хочу отметить, что в рамках внедрения решений по обеспечению ИБ АСУ ТП зачастую создается центр управления информационной безопасностью предприятия. Внедрение технических решений по защите АСУ ТП, данные с которых не собираются, не анализируются и не коррелируются, не дают значительного эффекта. Необходимо оперативно получать информацию о происходящих событиях, автоматически формировать план действий по устранению угроз, распределять задачи и отслеживать работы над ними. О многофункциональности задач, решаемых с помощью центра управления информационной безопасностью, речь пойдет в отдельной статье данного номера Jet Info.

Блок «Подготовка кадров». Для предотвращения киберугроз нужны тренировки. Важно отрабатывать действия всех сотрудников предприятия по аналогии с обеспечением пожарной или промышленной безопасности. Каждый сотрудник, который работает за компьютером, с интерфейсом «человек–машина» или контроллером, должен проходить эту тренировку. Естественно, для каждой специальности нужно разрабатывать свою программу тренировки. Например, для обслуживающего персонала это может быть отработка ситуации по выявлению вредоносного ПО.

Для того чтобы тренировать сотни человек в год из различных подразделений и иметь хорошо подготовленных специалистов по ИБ, в мире практикуется создание центров подготовки кадров по противодействию киберугрозам. Формат центра определяется индивидуально. Как минимум можно создать стенд, на котором будут отрабатываться различные ситуации. На одном стенде могут тестироваться технические средства защиты информации и проводиться киберучения.

Наша практика показала, что использование классических способов обучения персонала путем принудительного изучения многочисленных регламентов неэффективно. Сотрудники читают документ, ставят подпись об ознакомлении и моментально все забывают. Да, теперь они несут ответственность за выполнение регламента, но во время ЧП предприятию от этого легче не будет. Проведение очного обучения в формате презентации с последующим тестированием более эффективно, но не всегда возможно. Очень хорошо себя зарекомендовало интерактивное обучение в формате игры. Сотрудник выполняет задания, отвечает на тестовые вопросы, зарабатывает баллы, проходит через различные нештатные ситуации. Информация, поданная в таком виде, запоминается отлично, а сотрудники не отлынивают от обучения. Для напоминания правил безопасности АСУ ТП можно использовать проверенный временем формат информационного плаката, но поместить его не только на стену, но и делать почтовые рассылки, использовать как заставку сохранения рабочего стола (screensaver). Тогда каждый компьютер во время простоя становится информационным стендом. Пример такого плаката дан на развороте.

Вышеописанные типовые подходы ИБ АСУ ТП позволяют предварительно определять пути достижения целей. Вместе с тем каждый проект требует глубокого первичного изучения предприятия, так как организационно-штатная структура, повседневная работа подразделений и взаимоотношения между ними очень индивидуальны. ИБ АСУ ТП это не столько технические средства защиты информации, сколько правильно выстроенные процессы и грамотно подготовленные сотрудники.

Обеспечение безопасности АСУ ТП – краткий обзор семейства стандартов IEC 62443

Ярушевский Дмитрий, CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука»

Журнал «Information Security/ Информационная безопасность» №3, 2014 год
www.itsec.ru

Сегодня вопросы обеспечения безопасности автоматизированных систем управления технологическим процессом (АСУ ТП) становятся всё актуальнее. Если несколько лет назад эта тема в основном поднималась среди специалистов, то сейчас она стала интересна всем: собственникам систем управления, специалистам, занимающимся их эксплуатацией, разработкой и внедрением, злоумышленникам и законодателям.

Все эксперты в области информационной безопасности соглашаются, что обеспечение безопасности АСУ ТП отличается от обеспечения безопасности корпоративных информационных систем (далее – КИС). Даже сам термин «информационная безопасность», столь привычный ИТ-специалистам, как правило, не используется в отношении АСУ ТП. В первую очередь, это связано с тем, что необходимо уделять внимание не только и не столько обеспечению конфиденциальности, сколько обеспечению непрерывности и целостности самого технологического процесса. Более того, безопасность технологического процесса в общем смысле – это, прежде всего, безопасность для жизни и здоровья людей и окружающей среды. В англоязычных источниках, для определения «компьютерной безопасности» в отношении АСУ ТП используется особый термин «cybersecurity» — кибербезопасность. В наших же реалиях наблюдается явный пробел не только в нормативной и методической базе в области обеспечения безопасности АСУ ТП, но даже в терминологии.

В своих проектах наша компания использует подход, основанный на объединении существующих (и разрабатываемых) требованиях регуляторов с одной стороны, и лучших мировых практик с другой. Одним из основных набором международных методических документов по обеспечению кибербезопасности АСУ ТП, является семейство стандартов IEC 62443 (ранее известное как ISA 99). О нем и пойдет речь в этой статье.

Риск-ориентированный подход

Стандарты IEC 62443 предлагают современный риск-ориентированный подход: безопасность рассматривается как совокупность непрерывных процессов, которые необходимо поддерживать на всех стадиях жизненного цикла системы. Стандарты IEC 62443 задают требования к проектированию наложенных систем управления кибербезопасностью АСУ ТП и SCADA и к проектированию АСУ ТП c уже заложенными и интегрированными мерами безопасности.

Общий подход к процессам создания системы управления кибербезопасностью АСУ ТП, анализа и управления рисками отчасти схож с аналогичным, заданным стандартом ISO 27001 для ИТ-систем. Основой для определения требований, предъявляемых к проектируемой системе, является анализ рисков. Краеугольными камнями анализа рисков являются идентификация, классификация и оценка. Вроде бы все знакомо, но дьявол кроется в деталях – схожесть с известными для ИТ-специалистов практиками заключается в том, что надо сделать. А вот то, как это надо делать существенно отличается.

Выбор методики оценки рисков остается на усмотрение владельца АСУ ТП и зависит от специфики используемых систем. Впрочем, общие рекомендации в стандарте описаны. Мы в своей работе используем собственную методику анализа рисков, адаптированную под конкретный объект защиты, удовлетворяющую требованиям лучших практик, с одной стороны, и соответствующую российским нормативным документам – с другой.

Для большинства систем АСУ ТП наиболее важной является т.н. HSE-группа последствий, приводящая к ущербу здоровью или безопасности людей и окружающей среды (Health, Safety and Environmental), а также введенные проектом нормативных документов ФСТЭК «последствия в социальной, политической, экономической, военной или иных областях деятельности» (для простоты будем называть их ПЭВ).

В начале работ по созданию системы управления кибербезопасностью АСУ ТП проводится высокоуровневая оценка рисков, призванная определить основные финансовые, ПЭВ и HSE последствия в случае нарушения доступности, целостности или конфиденциальности. Высокоуровневая оценка дает представление об общей картине рисков и критических систем и является базисом для перехода к более детальному изучению защищаемого объекта.

Следующим шагом при создании системы управления кибербезопасностью является анализ объекта защиты, идентификация и классификация активов АСУ ТП, подлежащих защите. Несмотря на то, что процесс изучения, описания и классификации элементов объекта защиты заслуживает отдельной статьи, попробуем вкратце осветить подход, описываемый в IEC 62443.

Стадии анализа и моделирования объекта защиты

Семейство стандартов IEC 62443 предлагает несколько стадий анализа и моделирования объекта защиты. Первой стадией является создание референсной (reference) модели (или моделей, в зависимости от сложности объекта защиты, границ и рамок работы) объекта защиты, описывающей «крупными мазками» деление основных видов деятельности, ТП, АСУ и других активов на 5 логических уровней (см.рис 1).

Смотрите так же:  Мена и купля продажа сходство и различие

Рисунок 1
Нажмите, чтобы увеличить рисунок

На основе референсной модели на следующей стадии строится модель активов (asset model), описывающая иерархическую карту основных объектов и активов, взаимодействие с сетями, территориальными площадками, ключевыми подразделениями, участвующими в ТП, системами контроля и прочим технологическим оборудованием. Модель активов строится для того, чтобы обеспечить понимание иерархической структуры и процессных связей в целом или отдельно выделенного для анализа объекта защиты и дать возможность наглядно увидеть и определить критические процессы и активы (см.рис 2).

Рисунок 2
Нажмите, чтобы увеличить рисунок

На следующей стадии строится референсная модель архитектуры (reference architecture model). Она очень похожа на классическую подробную схему сети 2-го уровня и отражает все основные элементы АСУ ТП, телекоммуникационное оборудование, линии связи и т. п. Корректное построение референсной модели архитектуры крайне важно, т. к. на ее основе с учетом результатов высокоуровневой оценки рисков выполняется сегментирование объекта защиты. При сегментировании строится так называемая модель зонирования (zone and conduit model), разделяющая объект защиты (одну или несколько АСУ ТП, распределенную сеть АСУ ТП, организацию в целом или территориальный объект) на ряд зон (см. рис 3). Зоны объединяются по общим показателям риска, функциональным и/или техническим характеристикам, логическим или физическим границам, сетям передачи данных и т. д. И снова IEC 62443 оставляет «пространство для творчества», позволяя адаптировать модель зонирования в зависимости от целей и задач построения защиты и учитывать специфику объекта защиты.

Рисунок 3
Нажмите, чтобы увеличить рисунок

Для каждой выделенной зоны проводится идентификация и классификация активов, анализ уязвимостей и угроз, моделирование нарушителей и детальная оценка рисков. На основе информации о текущем состоянии системы, применяемых методах и мерах безопасности, функциональных особенностях технических средств и т. д. определяется текущий уровень безопасности для каждой зоны. Понятие «уровень безопасности» (security level) также вводится стандартом IEC 62443 и описывает реализацию требований к мерам безопасности по 7 основным направлениям: идентификация и аутентификация, контроль использования АСУ, целостность системы, конфиденциальность информации, управление информационными потоками, управление событиями, доступность ресурсов. Каждое направление содержит ряд требований, комбинации которых определяют 4 уровня безопасности.

Результаты оценки рисков и анализа возможных нарушителей определяют целевой уровень безопасности зоны. Жестких требований по выбору целевого уровня стандарт не предъявляет, то есть имеются широкие возможности для адаптации под любой объект защиты в зависимости от выявленных угроз и рисков. Возможно компенсирование одного направления (в случаях технической невозможности реализации мер высокого уровня), повышением целевого уровня по другому направлению. При условии, разумеется, что такая рокировка закроет актуальные угрозы. Также стандарт недвусмысленно регламентирует необходимость при проектировании определить меры, превышающие целевой уровень защищенности. Это связано с тем, что любая мера защиты с течением времени теряет свою эффективность (появление новых угроз и методов их реализации, выявление новых уязвимостей, устаревание технологий защиты и т. п.). Степень «перевыполнения плана» по обеспечению защиты зависит от принятой организацией периодичности проведения анализа рисков и планируемого срока пересмотра эксплуатационных характеристик системы. Таким образом обеспечивается эффективность защитных мер на всем жизненном цикле системы.

Выводы

Правильно построенные и проанализированные модели объекта защиты, адекватно и подробно заданные и описанные целевые уровни безопасности, вкупе с требованиями отечественных нормативных документов ложатся в основу ТЗ на проектируемую систему обеспечения кибербезопасности АСУ ТП. И ее эффективность напрямую зависит от тщательности и подробности проведенного обследования и анализа информации об объекте защиты, от того, все ли взаимосвязи (как технические, так и логические) между процессами, оборудованием и персоналом выявлены и проанализированы, все ли критические активы идентифицированы, все ли основные риски рассмотрены.

Кроме того, стандарт IEC 62443 требует внедрения хорошо известных специалистам, знакомым с семейством ISO 27000, процессов: управление инцидентами, управление изменениями, управление конфигурациями, планирование восстановления деятельности и непрерывности процесса, повышение осведомленности и т. д. Разумеется, с учетом специфики АСУ ТП. Ну и, разумеется, IEC 62443, как и все стандарты и best practices в области ИБ, подразумевает поддержку непрерывного жизненного цикла процессов безопасности. Такой жизненный цикл, поддерживаемый на всех стадиях существования объекта защиты, включает в себя постоянный пересмотр уже обработанных рисков, идентификация и анализ новых, анализ эффективности принятых компенсационных мер и изменяющегося пространства рисков и угроз и т.д.

С учетом все повышающегося интереса к АСУ ТП, в том числе и со стороны злоумышленников, часто распространенные в области эксплуатации АСУ ТП принципы «неизменности и верности традициям» становятся серьезным риском. Компенсационные меры в виде профиля безопасности для Windows NT и «Антивируса Касперского 4.0» на сервере SCADA пора пересмотреть, и семейство стандартов IEC 62443 дает отличное методическое пособие для этого.

Требования к информационной безопасности асу

Современные автоматизированные системы управления технологическим процессом (АСУ ТП)– это сложнейшие комплексы, состоящие из персональных и панельных компьютеров, контроллеров, активного и пассивного оборудования.

АСУ ТП существенно отличаются от традиционных корпоративных
информационных систем. Здесь используются специализированные решения, поддерживающие уникальные протоколы специфические технологии. Но самое главное – отличается защищаемый ресурс. В АСУ ТП главным защищаемым ресурсом являются технологические процессы и их непрерывность.

Однако, как и любые другие программно-технические продукты, АСУ ТП имеют множественные проблемы безопасности. При этом риски гораздо более высоки – нарушение безопасности может привести к большому экономическому ущербу, техногенным катастрофам и даже человеческим жертвам.

Это приводит к необходимости пересмотра подходов к защите критических важных объектов и функционирующих на них АСУ ТП.

К тому же необходимость обеспечения безопасности АСУ ТП обусловлена требованиями законодательства. Нарушение законодательства о
безопасности критической информационной инфраструктуры наравне с дисциплинарной, гражданско-правовой и административной будет предусмотрена уголовная ответственность.

В состав мер по обеспечению безопасности, описанных в приказе ФСТЭК №31 от 14 марта 2014 года «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», входят следующие блоки требований:

«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»

Сегодня мы беседуем с Дмитрием Латышевым, начальником отдела защиты информации ООО «Автоматика-сервис» (ГК Газпром нефть).

Расскажите, пожалуйста, чем занимается Ваше предприятие?

«Автоматика-сервис» входит в группу компаний «Газпром нефть» и оказывает сервисные услуги в части АСУ ТП всем дочерним организациям группы компаний. Политика нашего Корпоративного центра направлена на то, чтобы оказание услуг осталось внутри периметра. В частности мое подразделение занимается защитой информации непосредственно «Автоматика-сервис» и обеспечением информационной безопасности систем промышленной автоматизации в рамках оказания услуг: в зону нашей ответственности входят проектирование, сервис, консалтинг и развитие этих направлений.

Есть ли в Вашей компании классификация АСУ ТП?

Да, в соответствии с требованиями нормативных документов и методик, на первом этапе наше подразделение проводит классификацию систем по принципу критичности и важности. Решение об использовании мер защиты принимается исходя из установленного класса или категории объекта. Основная цель – это формирование адекватной системы обеспечения информационной безопасности.

Давайте уточним, что мы будем считать АСУ ТП?

Существует общепринятое понятие, объединяющее в термин «АСУ ТП» персонал и технические средства автоматизации, так называемый человеко-машинный интерфейс. Я думаю, что вопрос с терминологией актуален для всех, кто занимается обеспечением информационной безопасности АСУ ТП. Специалисты, которые создают и эксплуатируют непосредственно АСУ ТП, относят к этому понятию вполне конкретные системы, в частности, систему автоматизированного управления технологическим процессом в рамках определенной технологической установки. При обеспечении ИБ мы рассматриваем АСУ ТП немного шире. К этому понятию мы относим также SCADA-, MES-системы и другие инструменты, способные оказывать воздействие на ее работу. Для нас АСУ ТП – это все, что управляется и контролируется технологическим процессом до момента передачи данных в корпоративную сеть.

Насколько, на Ваш взгляд, тема защиты АСУ ТП актуальна сегодня?

Считаю, что более чем… Сейчас только в передаче «Спокойной ночи, малыши» не рассказывают о кибератаках и кибероружии (смеется). Об актуальности данной темы говорит и современная политика. Уже сейчас часть боевых действий ведется не только с помощью танков и ракет, в них используется политическое и экономическое давление, в том числе с использованием нелегальных групп хакеров и анонимных групп несуществующих подразделений, которые дестабилизируют обстановку либо пытаются нанести существенный экономический вред государству. Наша задача – обеспечить ИБ АСУ ТП на крупных экономикообразующих предприятиях, сбой в работе которых может привести к катастрофе. Конечно, чтобы выстроить грамотную защиту, в первую очередь нам нужно оценить потенциальных нарушителей. Отдельный злоумышленник, который преследует только цели наживы, – это одно дело, и совсем другое – группа высококвалифицированных хакеров, действующая в интересах какого-то государства. Защищаться нужно и от тех, и от других, но уровень угроз, связанный с их деятельностью, будет несопоставим.

Что Вы понимаете под термином «информационная безопасность АСУ ТП»?

Как и в любом процессе, в обеспечении информационной безопасности АСУ ТП сначала формируется нормативная база. На данный момент выпущено достаточно много регламентирующих документов государственными регуляторами, например, ФСТЭК, а также компаниями, перед которыми стоит задача по обеспечению ИБ АСУ ТП. В нашем случае Корпоративный центр Газпром нефть издал ряд нормативных документов, регламентирующих деятельность в данном направлении. На сегодняшний день камнем преткновения является формирование единой терминологии. Я считаю крайне важным, чтобы регуляторы, специалисты по ИБ и бизнес-структуры начали говорить на одном языке. Для этого необходимо создать единую понятийную базу, описывающую то, что конкретно мы защищаем. В контексте тех документов, которые существуют, информационная система – это система, выдающая ответы на определенные запросы, автоматизированная система – это система, обеспечивающая технологический процесс по определенным параметрам. Применительно к деятельности нашего подразделения эти определения немного модифицированы: для меня и для моих коллег автоматизированные системы – это системы, управляющие предприятием и технологическими процессами.

Смотрите так же:  Растаможка калининград стоимость

Всем известны три принципа ИБ: конфиденциальность, целостность и доступность. В производственном процессе конфиденциальность стоит на последнем месте, в технологической сети обычно конфиденциальной информации нет или ее не так много. А вот доступность и целостность систем принципиально важны. Мы параллельно движемся сразу в нескольких направлениях. С одной стороны, перед нами стоит задача сформировать нормативную базу, организовать процесс защиты информации и создать определенную систему управления ИБ на предприятиях для предотвращения аварий и катастроф, вызванных киберугрозами, с другой – противодействовать хищениям, мошенничеству или коррупции. Работа, лежащая в этой плоскости, более понятна, так как она применяется локально в каждой конкретной системе и даже подсистеме.

– Какие задачи Вы перед собой ставите?

По большому счету в группе компаний подразделения корпоративной защиты есть во всех дочерних обществах. Сейчас их работа построена прецедентно: сложилась определенная ситуация, они решили, как на нее реагировать; возникла следующая, они думают, как с ней бороться. Для примера: проехала машина там, где не нужно, – установили шлагбаум; сотрудники что-то выносят – поставили камеры. Нам в рамках оказания сервисных услуг необходимо подхватить то, что уже сейчас делается, при этом наращивая свой контроль над системами с целью минимизации рисков. При этом мы видим, что подходы у каждого дочернего общества свои, и мы, имея полномочия Центра компетенций по ИБ АСУ ТП группы компаний, хотим построить оптимальную систему, которую в дальнейшем можно будет тиражировать и масштабировать. Корректировка этой системы будет осуществляться за счет обратной связи с подразделениями.

Вы можете привести какой-то яркий пример, демонстрирующий важность обеспечения информационной безопасности АСУ ТП?

В нашей работе лучше обходиться без таких примеров – обычно все, что запоминается, связано с авариями. Такие инциденты, конечно, редко становятся достоянием общественности, потому что ни одна компания не захочет рассказывать об этом публично, чтобы не потерять свой авторитет и не демонстрировать свои уязвимые места злоумышленникам. Мне сложно описать конкретный случай. Если не говорить о масштабных происшествиях, могу привести пример массовых рассылок, где для доставки вируса на рабочую станцию сотрудника злоумышленники используют социальную инженерию. Например, для конкретного человека формируется письмо со «зловредом» внутри, он воспринимает его как обычное сообщение. Если пользователь переходит по ссылке в письме, то шифруются все данные его компьютера. Такие прецеденты есть в корпоративных сетях, но им ничего не мешает появиться и в АСУ ТП.

Какой подход к защите АСУ ТП Вы сформировали для себя? Что необходимо сделать в первую очередь?

Если говорить о стратегии развития Центра компетенций, нашим приоритетным направлением является оказание сервисных услуг в соответствии с теми требованиями по информационной безопасности, которые уже сформулированы. Внутри подразделения мы строим сервисную модель оказания услуг по ИБ АСУ ТП. По мере того как будут выходить те или иные нормативные документы, мы постараемся максимально типизировать системы защиты. Кроме того, перед нами стоит задача систематизировать подходы к обеспечению информационной безопасности при проектировании и заниматься их дальнейшим развитием. Если говорить о конкретных шагах, в будущем наше подразделение должно будет оказывать услуги и по проектированию подсистем обеспечения информационной безопасности. Однако раздувать штат мы не можем, поскольку бизнес ориентируется на принцип «покажи мне доход, и я скажу, сколько мы можем на тебя потратить». Поэтому мы рассчитываем на те силы и средства, которыми сейчас располагаем. Если говорить о ближайших наших шагах, я вижу их такими:

  • администрирование проектной деятельности;
  • оценка потребностей предприятий в обеспечении ИБ АСУ ТП;
  • повышение осведомленности специалистов по АСУ ТП;
  • формирование и обслуживание систем мониторинга и контроля средств защиты.

В настоящее время мы применяем те решения, которые нам предлагают сторонние компании. Работая с разными компаниями, мы анализируем и стараемся систематизировать их подходы, типизировать те задачи, которые ставятся перед подрядными организациями. Возможно, в будущем какие-то работы мы будем брать на себя, увеличивая долю своего участия, но не все. В закрытых процессах всегда нужен «глоток свежего воздуха». Если обучать и выращивать специалистов только на наших предприятиях, полагаю, они не смогут обладать всем объемом экспертных знаний, чтобы оценивать ситуацию объективно и непредвзято, а содержать штатных аналитиков для нас нерентабельно. Мы не готовы тратить бюджеты на то, чтобы специалист, съездив в Японию или в США, констатировал, что в мире появился новый подход, и теперь нужно строить автоматизированную защиту на базе не двух, а трех рабочих мест. В этом случае нам проще обратиться к крупному интегратору.

Можете ли Вы отметить отраслевую специфику по защите АСУ ТП?

Про отраслевую специфику говорить сложно, поскольку у нас даже внутри группы компаний «Газпром Нефть» есть различия: блок разведки и добычи, блок нефтепереработки и логистики. В чем тут принципиальная разница? В том, что нефть может добываться где угодно – и в тундре, и в Антарктиде. Защита небольших локальных предприятий, например, буровой вышки, ближе к физической защите. Тут необходимо предусмотреть меры, чтобы злоумышленник не мог проникнуть на объект. Совсем другое дело нефтеперерабатывающий завод, который находится в крупном населенном пункте. Очевидно, в зависимости от территориального расположения и выполняемых задач требования к защите будут разными. Если одна буровая остановится или на ней произойдет авария, вряд ли нанесенный ущерб будет сопоставим с аварией на нефтехимическом производстве, которое находится рядом или в черте населенного пункта. Последствия будут значительно масштабнее, однозначно эта ситуация опаснее.

Я думаю, специфика накладывает свой отпечаток на характер и объем выполняемых работ. В части информационной безопасности состав этих мер примерно везде схожий, различия кроются в целях защиты информационных сетей и технологических процессов, так как определены разные приоритеты, имеет место многофакторность угроз.

Одно дело защищать конфиденциальность информации в офисной сети, совсем другое предусмотреть защиту сервера с информацией от «человека с топором», который может физически его уничтожить. Я уже говорил, что для нас приоритетны доступность и целостность информации в технологической сети. А здесь – свои меры и средства защиты, отличные от предыдущих, но включающие и физическую защиту.

– Есть ли у Вас пожелания к отрасли и регуляторам?

Регуляторы на то и регуляторы, чтобы им доносить до нас свое видение. С позиции подразделения ИБ мне бы хотелось, чтобы документы, которые готовят представители регуляторов, носили больше директивный характер, а не только рекомендательный. Информационная безопасность – это всегда затратная часть для бизнеса. При этом постоянно возникает парадокс: хорошая безопасность – это, когда ее не видно, когда ничего не происходит, но в этой ситуации очень сложно убедить бизнес, что нужно именно сейчас вложить деньги, чтобы завтра ничего не произошло. Гораздо проще сказать: вот видите, вчера произошел инцидент – нам нужно защищаться. К сожалению, сегодня происходит именно так: только когда что-то происходит, выделяются средства на безопасность. Сейчас экономическим обоснованием, побуждающим бизнес заниматься темой ИБ, являются требования регуляторов. Возможно, пока бизнес не очень понимает, для чего конкретно нужна ИБ, но уже понимает, что заниматься ей нужно, а это вселяет оптимизм.

Специфика защиты АСУ ТП

Специфика защиты АСУ ТП

Владимир Назаров, руководитель отдела безопасности промышленных систем управления, Positive Technologies
Алексей Петухов, руководитель направления информационной безопасности АСУ ТП Центра информационной безопасности компании “ИнфосистемыДжет»

Егор Литвинов, ведущий специалист по безопасности АСУ ТП DigitalSecurity
Виктор Сердюк, генеральный директор АО “ДиалогНаука»
Антон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры “ЛабораторииКасперского»

Егор Литвинов

– Наверное, один из ключевых моментов – надежность/безотказность системы. В отличие от корпоративной сети (КС), когда пропадает связь между устройствами в технологической сети (ТС), может произойти аварийная остановка (как минимум). ТС включает в себя «зоопарк» различных протоколов, «железок» и операционных систем. И если в КС накатить обновление на клиентскую машину не составит труда, то в ТС это иногда вообще невозможно по причине отсутствия обновлений для данной ОС. Возможно также, что используемая ОС просто не поддерживается либо может потребоваться перезагрузка контроллера/HMI для того, чтобы применить обновление.

Виктор Сердюк

– Можно выделить следующие основные особенности защиты АСУ ТП:

  • при создании систем защиты АСУ ТП на первый план выходит задача обеспечения целостности и доступности. Вопрос обеспечения конфиденциальности, как правило, неактуален ввиду того, что сама по себе информация, циркулирующая в АСУ ТП, не представляет интереса для потенциального злоумышленника;
  • для защиты АСУ ТП необходимо применять специализированные средства, которые не влияли бы на сам технологический процесс и в то же время учитывали его специфику с точки зрения выявления действий злоумышленника;
  • для защиты АСУ ТП должны привлекаться специалисты, которые не только разбирались бы в вопросах ИБ, но и понимали специфику защищаемых технологических процессов.

Владимир Назаров

– В данном случае главная специфика заключается в «опасности безопасности». Неаккуратные действия при аудите, внедрении системы ИБ, а также ложные срабатывания могут привести к нарушению производственного процесса, что в условиях промышленности и критических производств недопустимо.

Антон Шипулин

– Информационные системы АСУ ТП кардинально отличаются от «офисной» информационной среды или использования технологий в личных целях. Ключевым моментом здесь является задача обеспечения непрерывности технологического процесса. Если для рядовых пользователей приоритетом является конфиденциальность информации, а целость и доступность данных имеют меньшую значимость, то в технологических системах управления приоритеты другие, и первостепенное значение здесь имеют как раз целостность и доступность данных, благодаря которым и обеспечивается непрерывность процесса управления. Например, злоумышленники могут манипулировать сетевым трафиком (отправляя команды управления, подменяя значения параметров, логику процесса в контроллере) что, в частности, может прервать техпроцесс именно в тот момент, когда остановка производственной линии будет недопустима, или привести к более опасным последствиям.

Основным показателем защищенности АСУ ТП является их способность поддерживать стабильность, непрерывность и корректное функционирование технологического процесса, будь то генерация и транспортировка электроэнергии, очистка воды, управление производством или другие технологические процессы, независимо от внешних воздействий.

Смотрите так же:  Пенсия коэфицент

Владимир Назаров

– В контексте реализации и, что важно, эксплуатации систем АСУ ТП стоит понимать, что работы выполняются различными организациями, контролировать которые с точки зрения ИБ затруднительно. Угрозы и риски, связанные с внешними субподрядчиками, являются одними из самых главных в данном случае.

Виктор Сердюк

– Одна из основных проблем заключается в том, что АСУ ТП, которые сейчас эксплуатируются во многих российских компаниях, создавались без учета требований по защите информации и долгое время вопросам информационной безопасности этих систем не уделялось должного внимания. Ситуация осложняется тем, что подразделения, ответственные за эксплуатацию АСУ ТП (технологи), также ранее не сталкивались с необходимостью защиты информации, что тоже является сдерживающим фактором в реализации системы защиты АСУ ТП.

Антон Шипулин

– Можно выделить три основные группы рисков. Первая и наиболее распространенная – человеческий фактор. Из-за усталости, загруженности, недовольства или по другой причине специалист может выполнить действие, не совместимое с регламентом управления производственной системой, что может привести к нарушению работы штатных процессов, например к остановке или поломке оборудования.

Вторая группа – это вопросы промышленного мошенничества. В данном случае основной целью злоумышленников являются физические активы компаний. Заказчиками могут выступать конкуренты, подрядчики, организованная преступность. Третья – это целевые атаки, направленные на конкретные предприятия. Целей может быть несколько, от чисто прагматических, чтобы завладеть активами компании, до организованных политических акций либо со стороны государств, либо со стороны конкурентов. В таких случаях важны не деньги, а факт потерь. Подобные атаки приносят самый значительный ущерб.

Владимир Назаров

– Как с качественной, так и с количественной точки зрения оценивать реальные атаки на АСУ ТП довольно сложно, так как нет сложившейся практики раскрытия фактов таких атак. Многими исследованиями подчеркивается то, что зачастую киберинциденты даже не регистрируются как таковые, ввиду того что организации, эксплуатирующие АСУ ТП, не имеют в своем распоряжении соответствующих систем ИБ, как не имеют и соответствующих процедур.

Антон Шипулин

– Атаки программ-шифровальщиков на серверы и рабочие станции операторов. Сетевые штормы и отказ работы сети, случайные вирусные заражения, несанкционированный сетевой доступ за счет подключения к внешним сетям.

Владимир Назаров

– Основные угрозы исходят от стремительной конвергенции ИТ и АСУ ТП. Постоянное увеличение числа систем АСУ ТП, подключенных к сети Интернет, которое мы отмечаем в последние годы, свидетельствует о появлении новых для АСУ ТП угроз, характерных прежде только для публичных и офисных сетей.

Егор Литвинов

– Начать с очевидного – реализовать хорошую сегментацию сети. В нашей практике встречались объекты, на которых корпоративная сеть и технологическая сеть представляли собой нечто единое. Также необходимо исключить возможность установки стороннего ПО на рабочие места операторов, возможность подключать различные внешние носители информации. Стоит использовать IPS/IDS системы. Необходимо всегда иметь в виду, что атака может начаться со стороны полевых шин и устройств.

Для связи корпоративной и технологической сети рекомендуется использовать «одноноправленные диоды», тем самым исключив возможность отправки различных команд из корпоративной сети в технологическую.

Владимир Назаров

– Для повышения защищенности АСУ ТП, как правило, достаточно применять базовые принципы обеспечения информационной безопасности. Например, реализовать сегментацию сети, отделить технологическую сеть АСУ ТП от корпоративной ЛВС и внешних сетей. Обеспечивать защиту сетевого периметра с организацией промежуточных зон безопасности (демилитаризованные зоны, DMZ) для исключения прямого взаимодействия технологического сегмента с внешними сетями. Контролировать настройки сетевого оборудования и правила фильтрации трафика на межсетевых экранах. Размещать компоненты АСУ ТП в пределах контролируемой зоны. Использовать строгую парольную политику. Регулярно обновлять ПО и устанавливать обновления безопасности ОС. Защищать привилегированные учетные записи. Минимизировать привилегии пользователей и служб. Проводить регулярные тренинги, направленные на повышение осведомленности пользователей в вопросах информационной безопасности, проводить оценку эффективности таких тренингов. Для своевременного выявления атак использовать специализированные системы управления инцидентами кибербезопасности АСУ ТП. Регулярно проводить анализ защищенности АСУ ТП для выявления новых векторов проникновения и оценки принятых мер защиты на практике.

Алексей Петухов

– Защита промышленных сетей электросетевой компании и металлургического комбината – разные задачи, так как это два совершенно разных объекта защиты. Поэтому сразу стоит отметить, что ответ тоже достаточно концептуальный. На сегодняшний день полноценная безопасность промышленной сети обеспечивается не только МЭ, с системой обнаружения и/или предотвращения вторжений. Все чаще возникают потребности обмена информацией самих производственных систем со смежными и внешними ИТ-системами. Все больше пользователей пользуются сетью для эксплуатации и поддержания работоспособности производственного процесса. Поэтому, чтобы фактическая безопасность была обеспечена, зачастую требуются решения по управлению конфигурациями средств периметральной защиты и сетевых устройств, а также выявления нелегитимных подключений пользователей к сети.

Антон Шипулин

– Прежде всего необходимо обеспечить комплексный последовательный подход к управлению рисками. Нужно адекватно идентифицировать и закрывать все актуальные каналы угроз. Одним из важнейших механизмов является знание своих систем, сетей, а также понимание участников и коммуникаций, происходящих в промышленной сети. Вот почему мониторинг систем и сетей является важнейшей мерой защиты. Кроме того, он является пассивной мерой, не влияющей на работоспособность объекта мониторинга, но способной оперативно информировать о появляющихся угрозах. Также необходимо использовать надежные и комплексные системы защиты от компаний, специализирующихся на разработке защиты систем АСУ ТП. Зачастую для предотвращения хакерских атак на индустриальные объекты специалисты службы безопасности используют обычные антивирусы. Это не совсем правильно, поскольку существуют различия между информационными системами и АСУ ТП. То решение, которое зарекомендовало себя в качестве надежного средства защиты информационных систем, может оказаться неприменимым для работы в промышленной среде.

Владимир Назаров

– Вопрос формирования требований по защите АСУ ТП лежит в плоскости аудита конкретной информационной системы. Именно поэтому, говоря о системах защиты АСУ ТП, принято оперировать моделью комплексного решения, а не коробочного продукта. В любом случае система защиты соответствующей системы АСУ ТП должна не только уметь выявлять инциденты сетевого уровня, но и быть в состоянии проводить глубокий анализ используемых промышленных протоколов, оперируя терминами модели технологического процесса.

Виктор Сердюк

– На сегодняшний день основополагающим документом, на основе которого определяются требования к защите АСУ ТП, является приказ ФСТЭК № 31.

Согласно данному приказу предусмотрен следующий порядок определения требований по защите АСУ ТП:

  • принятие решения о необходимости защиты информации в автоматизированной системе управления;
  • классификация АСУ ТП по требованиям защиты информации;
  • определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования АСУ ТП, и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты автоматизированной системы управления.

Антон Шипулин

– Наличие сетевых подключений, удаленного доступа, современность применяемого оборудования, сетевых технологий, операционных систем.

Антон Шипулин

– В таких случаях целесообразно провести аудит своими силами, изучить опыт крупных международных компаний и попытаться использовать что-то у себя, использовать штатные механизмы защиты оборудования промышленной сети.

Егор Литвинов

– Конечно, главный совет – всегда быть начеку. Быть готовым к тому, что может быть применена социальная инженерия, начиная от живого общения на улице и до возможных рассылок на электронную почту различных указаний от ИT-отдела или руководства. Должно быть понимание, что АСУ ТП изначально строилось на «доверительной системе», где каждый узел доверяет другому узлу. Не стоит исключать ситуации, при которой атака может идти не только со стороны Интернета на корпоративную сеть и пытаться «достучаться» до технологической сети, но и в обратном направлении. Кибератака может начаться со стороны полевых устройств и идти в сторону корпоративной сети.

Алексей Петухов

– Обеспечение информационной безопасности – это процесс, который должен существовать столько же, сколько существует предприятие. Поэтому независимо от нынешнего уровня защищенности компании необходимо оттачивать процессы обеспечения информационной безопасности по мере сил и возможностей. В части защиты производственных процессов, во-первых, рекомендую не спешить. Быстро сделать не получится даже формально. Во-вторых, лучше изначально стараться найти взаимосвязь с бизнесом. План работ по информационной безопасности необходимо связать с планами по развитию предприятия и везде обозначать полезную нагрузку решений ИБ. Таким образом, рекомендую не подходить к задаче обеспечения информационной безопасности производства как к проекту одного года, а также не стараться решить ее формально. Опыт подтверждает, что работы исключительно на соответствие требованиям регулятора хоть и повышают уровень защищенности, но становятся значительным дополнительным финансовым и ресурсным бременем для предприятий.

Антон Шипулин

– Начните c аудита и инвентаризации активов промышленных систем, их коммуникаций. Знайте свои активы. Регулярно контролируйте изменения и активность в промышленной сети, c применением автоматизированных средств мониторинга.

Другие публикации:

  • Сайт налог 58 «Налог на Google» принес 12 млрд рублей российскому бюджету в 2018 году Иностранные ИТ-компании внесли в 2018 году в российский бюджет 12 млрд рублей по «налогу на Google». Информация об этом появилась на сайте Федеральной налоговой […]
  • Приказ 12112009 n 893 Приказ Федеральной службы по экологическому, технологическому и атомному надзору от 15 августа 2017 г. N 314 "О внесении изменений в Порядок оформления декларации промышленной безопасности опасных производственных объектов и перечень […]
  • Договор по сбору денежных средств Агентский договор по сбору средств для благотворительных и некоммерческих организаций Имеется такой расклад. Сейчас собираемся запустить краудфандинговую платформу суть которой такова: - благотворительные и некоммерческие организации […]
  • Растаможка машин в кыргызстане Тарифы на 2018 год для растаможки авто в Кыргызстане, для физических лиц Мы предлагаем Вам воспользоваться одной из услуг нашего таможенного брокера растаможка авто в Кыргызстане. Наши специалисты приложат максимум усилий для оформления […]
  • Приказ о комиссии по соблюдению требований к служебному поведению Двинско-Печорское бассейновое водное управление федерального агентства водных ресурсов Оперативный дежурный: +7-921-077-01-33 Приказ и Положение о создании Комиссии по соблюдению требований к служебному поведению федеральных […]
  • Коэффициенты осаго по территории 2019 Коэффициенты ОСАГО в 2019-м году Начиная с 2019-го года, в России последовательно начинается реализация мероприятий, направленных на либерализацию рынка ОСАГО. Реализуется данный механизм в числе прочего через изменение величины основных […]
Требования к информационной безопасности асу