Контакты
Подписка
МЕНЮ
Контакты
Подписка

Некоторые вопросы обеспечения безопасности АСУ ТП

Некоторые вопросы обеспечения безопасности АСУ ТП

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Некоторые вопросы обеспечения безопасности АСУ ТП

Вопросы обеспечения безопасности автоматизированных систем управления технологическим процессом (АСУ ТП) становятся все актуальнее. Темы по обеспечению безопасности АСУ ТП затрагиваются почти на всех мероприятиях по ИБ, вступают в действие новые нормативные документы. В этой статье мы остановимся на некоторых вопросах, требующих осмысления при обеспечении безопасности АСУ ТП.
Сергей Корольков
Технический директор ЗАО “ДиалогНаука"

Эксперты в области ИБ соглашаются, что обеспечение безопасности АСУ ТП отличается от обеспечения безопасности корпоративных и нф ор маци онны х систем (КИС). Обычно говорится о том, что необходимо уделять внимание не только обеспечению конфиденциальности, но и о том, что жизненный цикл у них отличается, и технологические окна КИС совсем не такие. Остановимся на этом подробнее.

Объект защиты

Что же является объектом: информация, процесс, средства, реализующие процесс, или документы?

Вероятно, уважаемый читатель уже обратил внимание на то, что в этой статье термин "информационная безопасность" не употреблялся в отношении АСУ ТП. Связано это с тем, что корректная терминология в отношении безопасности АСУ ТП еще не выработана, а если и выработана, то еще не устоялась.

Российская нормативная база ориентирована на защиту информации. Например, ФСТЭК в принятой 7 лет назад и действующей нормативной документации ведет речь о безопасности информации в ключевых системах информационной инфраструктуры. То есть изначально в основе требований находится предположение, что необходимо защищать именно информацию в системе управления. В недавно введенных в действие так называемым 31-м приказом требованиях к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах уже появился текст, раскрывающий вопрос объекта защиты. В соответствии с этим документом объектом защиты является не только информация, а программно-технический комплекс и средства защиты информации.

Зарубежные стандарты и практики предусматривают еще более широкое понятие объекта защиты: вся информация, программно-технические средства и персонал, влияющий на технологический процесс (ТП). И такой подход является более правильным: при обеспечении безопасности должны быть рассмотрены любые нетехнологические активы, влияющие на ТП.

Обладает ли ТП свойством конфиденциальности?

Наверное, большинство представителей профессии, в названии которой есть слово "безопасность", не представляют ее таковой без обеспечения конфиденциальности. С одной стороны, данные о потреблении электричества клиентами энергокомпании или, например, данные об отгрузках нефтепродуктов конкретным потребителям представляют коммерческую тайну. Но эта информация является конфиденциальной с точки зрения всего бизнеса предприятия. Следует ли из этого, что ТП обладает свойством конфиденциальности? С точки зрения самого ТП и результата его работы конфиденциальность данных не играет никакой роли. Более того, сложно представить ТП, где разглашение информации о нем, его результатах работы может непосредственно и негативно повлиять на сам ТП. Хотя и были случаи, когда, например, утечка некорректных показателей одного датчика на АЭС может привести к развитию нежелательных социальных последствий в целом регионе.

Отличия в жизненном цикле систем

Изоляция АСУ ТП – миф Как следствие, специалисты по безопасности и эксплуататоры АСУ ТП в качестве защитной меры избирают изоляцию системы. В реальности изоляция АСУ ТП – это миф! Добиться изоляции практически невозможно. Связано это с тем, что современный бизнес требует получения оперативной информации о параметрах ТП. Это подразумевает наличие канала связи сегментов сети АСУ ТП и КИС. Необходимость проведения обслуживания системы, ее модернизации и обновления приводит к тому, что появляются определенные лица, которые периодически получают доступ к системе с широкими полномочиями. Операторы системы часто подключают к АРМ свои гаджеты и сменные носители информации. И нельзя забывать о том, что и у АСУ ТП есть администраторы, которые организуют себе удаленный доступ, в том числе и с домашнего дивана.

Жизненный цикл КИС протекает, в общем, перед глазами специалиста по ИБ. В начале с ним согласовывается техническое задание на создание или модернизацию системы, через несколько месяцев начинается реализация системы, в течение ближайших лет система переходит в эксплуатацию. Специалист по ИБ имеет возможность принимать меры по повышению уровня ИБ на всех стадиях жизненного цикла. У КИС обычно есть технологические окна, резервные копии, тестовые сегменты, которые позволяют управлять изменениями системы, не снижая показателей надежности. В большинстве систем управления ТП отсутствуют механизмы, позволяющие апробировать меры по ИБ, а технологические окна предусмотрены и "заняты" операциями технического характера.

В случае с АСУ ТП специалист по ИБ чаще всего "появляется" уже на этапе промышленной эксплуатации. При этом АСУ создавалась годы или десятилетия назад. Создатели системы и ее компонентов не могут ответить на все вопросы о ее функционировании, так как уже находятся за пределами доступности специалиста по безопасности. Те документы и записи, которые были оставлены при создании системы и запуске ее в эксплуатацию, сейчас не всегда могут быть понятны. То есть перед специалистом по ИБ есть система управления, которая в ряде случаев не может быть адекватно проанализирована, осмыслена и не может быть изменена. Лица, эксплуатирующие систему, и специалисты по безопасности могут только ей доверять и наблюдать за тем, как она работает. Это сильно ограничивает количество и качество мер, которые специалист может применить.

Слабое звено всех технологических систем

Традиционно самое слабое звено всех технологических систем – человек. Это касается и обеспечения безопасности АСУ ТП. Особенности АСУ ТП не позволяют использовать специалиста с навыками защиты КИС для защиты АСУ ТП: требуются другие базовые знания, применяются другие меры, ответственность также совершенно иная. Если в области безопасности КИС есть приток кадров, отработанные процедуры повышения квалификации, сообщества, то в области обеспечения безопасности АСУ ТП всего этого нет.

Ответственность, лежащая на специалисте по безопасности АСУ ТП, совершенно иная, она не измеряется тем универсальным мерилом, к которому все привыкли в случае с КИС, – оценкой величины ущерба в деньгах.

Сотрудники, обеспечивающие безопасность КИС, привыкли к тому, что рынок средств защиты находится в развитом состоянии, средства защиты есть в любых ценовых категориях, от различных производителей, как прошедшие оценку соответствия, так и нет. В случае с АСУ ТП таких средств крайне мало. Да и сами категории средств защиты могут отличаться от привычных, при условии, что под специфический промышленный протокол вообще удастся найти СЗИ. Попытки использовать СЗИ для КИС в АСУ ТП не всегда бывают успешными. Например, применение аппаратных замков на АРМ операторов ТП иногда бессмысленно: работа сменная, при пересменке перезагрузка системы или смена учетной записи пользователя не осуществляется.

Еще раз о нормативной базе

О состоянии нормативной базы по вопросам безопасности АСУ ТП в России не писал только ленивый. Необходимо отметить, что обязательность применения нормативных документов неочевидна, и это признают даже регуляторы. Данный вопрос предполагается решить выпуском Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Как отмечалось выше, в марте 2014 г. ФСТЭК были приняты требования к обеспечению защиты информации в АСУ ТП. Анализ требований 31-го приказа показал, что сами требования не противоречат, а местами и удачно пересекаются с требованиями, которые выдвигаются к системам защиты АСУ ТП в международных стандартах и лучших практиках.

На основании каких характеристик АСУ ТП должны быть сформированы требования по защите?
Вот тут встает первый краеугольный камень для специалиста по ИБ, решившего системно подойти к вопросу защиты АСУ ТП. В разъяснении, выпущенном ФСТЭК по вопросам применения 31-го приказа, говорится о том, что для определения актуальных угроз необходимо использовать принятые ранее (в 2007 г.) документы. Однако, как отмечалось выше, в документах 2007 г. защита КСИИ рассмотрена с точки зрения обеспечения защиты файлов и директорий от разглашения, каталог угроз не учитывает ряд современных технологий. Можно ли на основании такого анализа угроз сформировать корректным образом требования к защите?

Для формирования целостного и системного подхода к определению требований по безопасности для конкретной АСУ ТП необходимо не только пользоваться действующей нормативной базой, но и учитывать накопленный в виде международных стандартов опыт.

Комментарий эксперта

Безопасность АСУ ТП - вопрос неоднозначный

Игорь Решетников
Президент ООО “Нефте-газсофтсервис", руководитель российского MES-центра

Мне, как практику, больше нравится, когда безопасность трактуется как степень защищенности. Когда мы говорим о безопасности КИС, то не забываем о вирусах, доступе в серверные помещения и т.п. Хотелось бы, чтобы и для систем АСУ ТП понятие безопасности рассматривалось именно как обеспечение стабильной и бесперебойной работы. И тут подходы, надо отметить, полностью противоположны защите КИС. Антивирусное ПО уже не помощник, а враг № 1, его на терминалах АСУ ТП быть не должно. Спрятать шкаф АСУ ТП в отдельное помещение с журналом доступа также невозможно. И далее, в том же духе. АСУ ТП - это, прежде всего, задачи управления. В связи с этим ремарка, что "изоляция АСУ ТП - это миф" кажется несколько странной. Никто и никогда не должен иметь доступа к системам управления "с дивана". К данным - да, к управлению - нет. Для этого придуман целый класс специализированных систем сбора данных и предоставления их в удобном агрегированном виде, от классических MES-систем и до узкоспециализированных систем. Есть чудесные примеры, когда даже такие объекты, как АЭС, управляются издалека: в центре поддержки, в 100 км от самой станции видно все, что происходит на АЭС, но все команды управления формируются только на самом объекте. Поэтому сети АСУ ТП не только могут, но и должны быть физически разделены с остальными ЛВС предприятия.

В статье все отмечено очень точно, но не стоит забывать еще и о таком аспекте: серьезная угроза кроется в том, что сложность систем АСУ ТП растет, и на этот уровень перетекают многие задачи визуализации, управления, хранения, которых там быть не должно, - это задачи SCADA и MES-уровня. В результате даже контроллеры уже имеют встроенную ОС, требуют постоянного обновления и отдельного внимания. Что там внутри - загадка. АСУ ТП - это прежде всего простота и надежность. Встроенные беспроводные средства передачи данных, средства графической визуализации и т.п. неоправданно усложняют систему управления и снижают надежность. Если же эта самая система управления сконфигурирована правильно, то есть АСУ ТП имеет минимум возможностей, но решает свои задачи управления и передачи данных на верхний уровень, в том числе - данных о состоянии объекта управления, а система уровнем выше (MES, DGS) следит за корректностью, авторизует оператора, хранит архивные данные и пр., то только тогда будет обеспечена максимально возможная безопасность системы управления, так как задачи управления и контроля независимы и разделены.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014
Посещений: 6661

Приобрести этот номер или подписаться
  Автор

Сергей Корольков

Сергей Корольков

Технический директор ЗАО “ДиалогНаука"

Всего статей:  3

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций