АСУ ТП – краткий экскурс в историю и проблематику
Проблематика защиты автоматизированных систем технологического управления обсуждается в специализированной прессе и в выступлениях ведущих экспертов по информационной безопасности (ИБ) достаточно давно. Однако заметного прогресса в защите АСУ ТП систем этого класса за прошедшие 10 лет не произошло. Давайте разберемся, почему.
Наиболее распространенные угрозы безопасности в настоящий момент связаны с криминализацией киберпреступности, т. е. с получением денежной выгоды от реализации тех или иных атак на инфраструктуру. И с точки зрения потенциального внешнего нарушителя системы управления технологическими процессами малопривлекательны.
Причина этого довольно проста. Основная информация, циркулирующая в системах технологического управления, – это информация о технологических процессах (обьектах физического мира, их состоянии и динамике) и об управляющих воздействиях. Обладание этой информацией без физического доступа к обьекту управления не дает возможности совершить кражу, что резко ограничивает круг потенциальных нарушителей. Риски, связанные с мошенническими операциями в АСУ ТП, можно ограничить действиями внутреннего нарушителя – собственного персонала компании или компаний-партнеров. К примеру, для реализации схем с модификацией данных по расходу топлива на автозаправке надо иметь возможность слива и реализации этого топлива.
Среди монетизируемых внешних атак на ресурсы АСУ ТП наиболее распространенными остаются промышленный шпионаж (в тех случаях, когда данные технологического процесса представляют ценность для конкурентов) и в редких случаях – шантаж и заказные акции против конкурентов. Остальные инциденты являются немонетизируемыми: месть уволенных работников, нарушение функционирования вредоносным кодом, случайные взломы «подростками».
Из вышеописанного следует, что количество публично известных нарушений функционирования подобных систем крайне невелико. Кроме того, в случае серьезных нарушений функционирования процессов, контролируемых системой управления, борьба с последствиями не будет отличаться от борьбы с техногенной аварией. Системы технологического управления рассчитываются на быстрое восстановление после сбоев как в случае автоматизации, так и без нее. Да и компании, эксплуатующие системы автоматизации, все-таки уделяют внимание ИБ систем.
Однако низкая вероятность внешних атак на системы АСУ ТП не снижает актуальность угроз для систем управления. Согласно общепринятой практике актуальность угрозы пропорциональна как вероятности реализации угрозы, так и возможному ущербу от ее реализации.
А если говорить о возможном ущербе от реализации угрозы, то здесь системы управления, особенно системы управления опасными производственными циклами или системы жизнеобеспечения целых городов и областей, будут вне конкуренции.
Возможный ущерб от реализации подобных атак включает, кроме финансовых потерь, репутационные риски и риски, связанные с потерей здоровья и жизни, а также риски возникновения экологических катастроф. Даже единичное нарушение функционирования систем технологического управления может привести к катастрофическим последствиям. Инциденты ИБ в системах технологического управления при их обнародовании вызывают большой общественный резонанс.
Особенности АСУ ТП как обьекта защиты
Проблемы ИБ, связанные с развитием и функционированием современных систем управления, представлены в табл. 1.
Табл. 1. Проблемы ИБ, связанные с развитием и функционированием современных систем управления
Эра после Stuxnet
Наиболее публичным инцидентом, показывающим уязвимость и возможность эксплуатации данной уязвимости сетей управления на практике, явился обнаруженный в июле 2010 г. вирусный код Stunxnet.
Данный вирус содержал целевой код, удовлетворяющий целому ряду специфических требований и реализующий полноценную атаку на системы АСУ ТП производства компании Siemens. В частности, для реализации потенциала нападения вирус требовал наличия частотных конверторов производства 2 компаний – «Vacon» (Финляндия) и «Fararo Paya» (Иран), – работающих на частотах от 807 до 1210 Гц. Наличие подобных требований позволило большинству экспертов, исследовавших данный код, сделать вывод о том, что вирус предназначался для точечной атаки вполне определенного производства или ряда производств.
Согласно анализу, проведенному специалистами компании Symantec, вредоносный код Stuxnet-а реализовывал атаку сразу на нескольких уровнях: на уровне операционных систем Windows, ПО управления АСУ ТП Siemens WinCC/PCS 7 и непосредственно контроллеров программируемой логики Siemens S7-300, обслуживающих конверторы частоты (которые, в свою очередь, управляли скоростью вращения электромоторов).
Атака вредоносного кода Stuxnet на уровне операционной системы не представляла из себя ничего особенного, за исключением эксплуатации беспрецедентно высокого количества уязвимостей нулевого дня – 4 уязвимости за раз. Как правило, вредоносный код, создаваемый киберпреступниками, не реализует больше 1–2 подобных уязвимостей за раз.
При заражении обычного компьютера вредоносный код вел себя как обычный вирус, занимаясь распространением своих копий и попытками установить связь с командным центром в случае наличия такой возможности. Однако при заражении компьютера с установленным ПО Siemens WinCC/PCS 7 вирус реализовывал следующий уровень атаки – перехват управления контроллерами программируемой логики Siemens путем внедрения в ПО управления (используя еще одну уязвимость нулевого дня – фиксированный пароль для работы ПО управления с СУБД). После чего посредством ПО управления вредоносный код реализовывал третий уровень атаки, «прошивая» в память контроллеров программируемой логики «боевую» часть своего кода.
Существует несколько вариаций вируса Stuxnet, отличающихся «боевым» наполнением. Но наибольший резонанс в сфере ИБ, дошедший до правительства ряда стран, вызвала одна из вариаций, проводившая время от времени модификацию частоты, генерируемой конверторами (и, соответственно, скорости вращения электродвигателей), сначала выше максимального предела оборотов, затем – ниже минимального, далее – устанавливая значение по умолчанию и скрывая при этом произведенные изменения от управляющего ПО. В результате выполнения данных команд происходило следующее: электродвигатели раскручивали находящуюся на них нагрузку до предельных оборотов и резко останавливались. При этом ПО управления и операторы, удаленно контролирующие работу аппаратуры, не фиксировали никаких изменений в функционировании производственного процесса.
Законодательные инициативы
Зарубежный опыт
В области защиты систем управления (Control Systems, SCADA) в настоящий момент существует целый ряд стандартов и рекомендаций. Они включают как отраслевые решения (к примеру, в США присутствует стандарт NERC для систем управления электрическими сетями, стандарт ChemITC для химической индустрии), так и рекомендации общего уровня (стандарты NIST, ISA и др.). Однако каких-либо обязательных требований к соответствию определенным критериям безопасности для коммерческих компаний не предьявляется.
Табл. 2. Источники угроз для ключевых систем управления технологическими процессами и меры по их предотвращению
Правовое поле Российской Федерации
В правовом поле Российской Федерации существует понятие ключевой системы информационной инфраструктуры (КСИИ), определяемое как информационная система, осуществляющая функции управления чувствительными для Российской Федерации процессами, нарушение ее функционирования приводит к значительным негативным последствиям. Предполагается, что система автоматизирует функционирование обьектов, включая социально значимые производства или технологические процессы, нарушение штатного режима функционирования которых приводит к чрезвычайной ситуации определенного масштаба. Среди подобных обьектов, кроме информационных систем государственных органов, присутствуют системы технологического управления в нефтегазовой отрасли, энергетике, на экологически опасных производствах, системы управления жизнеобеспечением городов и т. д. Федеральным органом исполнительной власти, уполномоченным в области обеспечения ИБ в КСИИ, Указами Президента РФ № 314, № 1085 был определен ФСТЭК России.
Способы защиты систем АСУ ТП
Основные угрозы ИБ АСУ ТП
Организация обеспечения безопасности АСУ ТП – совокупность согласованных по цели, задачам, месту и времени мероприятий, направленных на ликвидацию (нейтрализацию) внутренних и внешних угроз безопасности информации в АСУ ТП и на минимизацию ущерба от возможной реализации таких угроз.
Введение термина «угроза безопасности информации» позволяет объединить в одно понятие все возможные негативные условия и факторы, влияющие прямым или опосредованным образом на безопасность информации, т. е. на ее целостность, доступность или конфиденциальность.
Среди угроз ИБ, свойственных АСУ ТП, можно выделить 3 класса: угрозы техногенного, антропогенного характера и несанкционированного доступа.
В зависимости от назначения, размещения и особенностей функционирования АСУ ТП различается состав конкретных угроз безопасности, следовательно, и содержание предъявляемых требований по ее обеспечению.
Угрозы техногенного характера – угрозы, обусловленные физическими воздействиями на компоненты АСУ ТП. Для защиты от данного класса угроз применяются меры и средства обеспечения безопасности от несанкционированного физического доступа, которые предотвращают проникновение нарушителей на охраняемую территорию и обеспечивают технический контроль доступа к ключевым компонентам АСУ ТП.
К угрозам антропогенного характера относятся угрозы преднамеренного и непреднамеренного действия людей, занятых обслуживанием АСУ ТП, в том числе ошибки персонала или ошибки в организации работ с компонентами АСУ ТП.
Угрозы несанкционированного доступа для АСУ ТП рассматриваются ввиду наличия взаимодействия ее компонент с ЛВС предприятия для передачи информации о состоянии технологической среды, а также формирования управляющих воздействий на технологические объекты. В связи с этим обязательными становятся меры по формированию выделенных технологических сетей передачи данных и использованию периметральных средств защиты (таких, как средства межсетевого экранирования, обнаружения вторжений криптографической защиты каналов связи).
Подход к реализации системы ИБ АСУ ТП
Реализация системы ИБ АСУ ТП представляет собой комплексную задачу, решение которой должно выполняться на следующих уровнях:
- административном;
- процедурном;
- уровне программно-технических мер.
Административный уровень
К административному уровню ИБ относятся действия общего характера, предпринимаемые руководством предприятия.
Главная цель мер административного уровня – формирование программы работ по обеспечению ИБ АСУ ТП с учетом общей концепции защиты АСУ ТП. Основой программы является набор документов, которые регламентируют высокоуровневый подход по обеспечению ИБ, а также описывают политику развития системы ИБ АСУ ТП.
Процедурный уровень
Процедурный уровень ИБ АСУ ТП ориентирован на человеческий фактор.
Главная цель – определение и выполнение требований по обеспечению безопасности компонентов АСУ ТП за счет формирования и принятия пакета организационной документации, направленной на создание и поддержание режима ИБ АСУ ТП.
Уровень программно-технических мер
Уровень программно-технических мер образует основной рубеж обеспечения ИБ АСУ ТП.
На этом уровне реализуются следующие сервисы ИБ:
- управление доступом;
- обеспечение целостности;
- обеспечение безопасного межсетевого взаимодействия;
- антивирусная защита;
- анализ защищенности;
- обнаружение вторжений;
- управление системой ИБ (непрерывный мониторинг состояния, выявление инцидентов, реагирование).
Конкретные требования к перечисленным сервисам предъявляются на основании анализа обрабатываемой информации и оценки угроз безопасности АСУ ТП.
Табл. 3. Меры по предотвращению ошибок сотрудников предприятия
Управление доступом
Решение задачи разграничения доступа в АСУ ТП, как и в любых других информационных системах, выполняется как на сетевом, так и на прикладном уровне.
Управление доступом на сетевом уровне
Решение задачи управления доступом на уровне сетевого взаимодействия выполняется за счет создания демилитаризованных зон с применением средств межсетевого экранирования.
Подобные зоны представляют собой точку обмена информацией между различными ЛВС АСУ ТП с системами управления предприятием, обеспечивая баланс между доступностью и безопасностью информации.
Рис. 2. Классы принимаемых на процедурном уровне мер
Особенность построения таких зон при обеспечении ИБ АСУ ТП заключается в том, что корпоративная сеть рассматривается в качестве внешнего, недоверенного сегмента. Поэтому выделенная зона соответствующим образом обеспечивает как защиту информации, передаваемой из ЛВС АСУ ТП во внешние системы, так и блокировку внешних несанкционированных обращений к компонентам АСУ ТП.
Управление доступом на прикладном уровне
Программные средства блокирования несанкционированных действий, сигнализации и регистрации могут быть реализованы практически во всех подсистемах обеспечения безопасности АСУ ТП. Это специальные, не входящие в ядро какой-либо ОС программные и программно-аппаратные средства для защиты ОС, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами и направлены на исключение или затруднение выполнения опасных для АСУ ТП действий пользователя или нарушителя.
Обеспечение целостности
Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций используются преимущественно на ОС и СУБД и основаны на расчете так называемых «контрольных сумм» – уведомлений о сбое в передаче пакета сообщения, в повторе не принятого пакета и т. д.
Обеспечение безопасного межсетевого взаимодействия
Использование Ethernet при создании сетей передачи данных, голоса и видео хорошо зарекомендовало себя в корпоративных сетях, где данная технология успешно применяется при объединении
АРМ, серверов АСУ ТП и контроллеров.
В настоящее время стало возможным использование Ethernet как единой среды передачи данных для самого нижнего уровня АСУ ТП, где размещаются контрольные датчики и исполнительные механизмы, подключаемые по протоколам Modbus/TCP, EtherNet/IP, PROFInet и др.
Для подключения устройств всех уровней АСУ ТП рекомендуется использование коммутаторов Ethernet, способных обеспечивать защиту от таких угроз, как:
- прослушивание трафика (с использованием атак переполнения таблицы MAC);
- подмена адресов участников информационного обмена (с использованием атак подделки сообщений протокола ARP, подделки IP-адресов, подделки MAC-адресов);
- несанкционированная передача трафика в другие виртуальные сегменты сети (с использованием атак прохождения VLAN);
- атака на сам коммутатор и сеть (с использованием особенностей протокола Spanning Tree, передачи анормального трафика и др.).
В некоторых случаях целесообразно использование технологии аутентификации устройств и/или пользователей при подключении к коммутируемой сети (например, по стандарту 802.1x).
Однако не следует забывать, что при осуществлении взаимодействия средств АСУ ТП через сети общего пользования (например, с ЛВС предприятия) обязательным является создание доверенного (защищенного) канала связи между взаимодействующими объектами с использованием выделенных каналов связи и криптографических средств.
Антивирусная защита
Хотя прямого подключения к сети Интернет не имеет практически ни одна АСУ ТП, в то же время использование различных технологий и протоколов в АСУ ТП создает благоприятную среду для сетевых вирусов, которые способны с большой скоростью распространяться в любых сетях передачи данных с помощью почтовых сообщений, файлов документов, исполняемых файлов, используя уязвимости в системном и прикладном программном обеспечении АСУ ТП.
Часто перед инициатором атаки не стоит каких-либо определенных целей, но даже в этом случае вторжения могут вывести компоненты АСУ ТП из строя, нарушить их связность, что приведет к лишению оператора возможности управлять ТП.
Поэтому так важно применение средств антивирусной защиты, которые обеспечивают:
- обнаружение и блокирование деструктивных вирусных воздействий на общесистемное и прикладное ПО, реализующее выполнение критически важных процессов АСУ ТП, а также на информацию, необходимую для выполнения управляемых технологических процессов;
- обнаружение и удаление неизвестных вирусов;
- обеспечение самоконтроля данного антивирусного средства при его загрузке.
Анализ защищенности
Средства анализа защищенности призваны осуществлять тестирование файловых систем, сетевых компонент и баз данных с целью сбора информации о функционировании элементов системы безопасности АСУ ТП.
Обнаружение вторжений
Одним из важнейших направлений совершенствования состояния защищенности АСУ ТП при межсетевом взаимодействии является применение систем обнаружения сетевых атак как на сетевом, так и на хостовом уровне.
Средства обнаружения вторжений сетевого уровня
Зачастую сетевые системы обнаружения и предотвращения вторжения – единственный способ защиты для нижних уровней АСУ ТП, так как установка антивирусных программ на АРМ, контроллеры и серверы может быть затруднена или невозможна в принципе. Подобные системы могут функционировать как в режиме перехвата и блокирования нежелательных данных, так и в режиме прослушивания, сигнализируя о прохождении нежелательного трафика на консоль системы безопасности.
Средства обнаружения вторжений хостового уровня
Наиболее эффективным средством защиты операционных систем от распространения современных атак являются хостовые системы предотвращения вторжений – Host Intrusion Prevention System (HIPS), которые размещаются на всех операционных системах общего назначения, таких, как Microsoft Windows, Sun Solaris и Linux. Контролируя на системном уровне события, происходящие в операционной системе и приложениях, HIPS позволяет вовремя блокировать вредоносные воздействия самораспространяющихся червей или вирусов, ПО, имеющего несанкционированно установленные «закладки», предотвращать модификацию исполняемых файлов АСУ ТП и т. д.
Управление системой ИБ
Решение задачи управления системой ИБ АСУ ТП выполняется с использованием средств аудита и контроля защищенности, предназначенных для отслеживания состояния защищенности и оповещения администратора в случае возникновения угроз безопасности.
Принцип работы указанных средств строится на централизованном сборе данных журналирования (системные журналы и журналы аудита безопасности) и выполнении корреляции поступающих событий с целью выявления критичных для системы событий и оповещения о них администраторов безопасности.
Выделение перечня событий, подлежащих аудиту, а также настройка правил их корреляции выполняются исходя из существующих угроз.
Состав реализуемых мер по защите АСУ ТП
Состав реализуемых мер и набор используемых средств при защите АСУ ТП зависит от типа обрабатываемой в системе информации. C точки зрения информационного обеспечения АСУ ТП обеспечивает обработку следующих типов информации:
- программно-техническая (состав, структура и характеристики построения АСУ ТП, ее системы обеспечения ИБ, программы системного и прикладного характера, параметры настроек программно-аппаратных средств, в том числе средств защиты информации);
- управляющая (обеспечивает управление потенциально опасными объектами или процессами);
- контрольно-измерительная (отражает состояние потенциально опасных объектов или процессов, на ее основе принимаются решения по управлению такими объектами или процессами);
- информация с ограниченным доступом (в соответствии с действующими нормативными документами представляет собой тот или иной вид тайны).
С целью дифференцирования требований по обеспечению ИБ проводится разбиение АСУ ТП на следующие подсистемы :
- подсистемы, в которых обрабатывается информация ограниченного доступа (не подлежащая свободному распространению);
- подсистемы, в которых обрабатывается общедоступная информация;
- подсистемы, которые осуществляют управление критически важным объектом.
Возможное будущее – в центре информационной войны
Понятие «кибервойна»
В связи с проблемой защиты систем АСУ ТП на инфраструктурных обьектах и опасных производствах все чаще в СМИ и политических прениях упоминается новый термин – «кибервойна» (cyberwarfare).
В целом кибервойна определяется как один из видов информационной войны (включающий такие методы ведения военных действий, как намеренная дезинформация), подразумевающий нанесение урона противнику посредством направленного информационного воздействия на телекоммуникационную инфраструктуру и автоматизированные системы, в том числе находящиеся в частном пользовании. Среди вероятных целей при ведении кибервойны, в частности, называются сети управления электропитанием.
В настоящее время лишь несколько стран открыто заявляют о наличии специализированных армейских подразделений, предназначенных для проведения направленных атак на IT-инфраструктуру обьектов противника. При этом только США открыто предоставляет информацию об их организации, официально включая данные подразделения в структуру армейского командования. Согласно текущей схеме, данные подразделения включают:
- подразделение статегического командования USCYBERCOM;
- подразделение американской армии ARCYBER (Army Cyber Command) и подчиненные структуры;
- подразделения десантных войск Marrine Corps Cyberspace Command;
- подразделения флота Navy Cyber Command;
- подразделения ВВС 24AF.
При этом задачами армейских подразделений США являются:
- защита компьютерных сетей департамента безопасности;
- обеспечение потенциала ведения полномасштабных военных действий, включая как защиту, так и нападение в пределах информационного поля.
Возможные последствия для частных организаций
В реалиях наличия понятия «кибервойна» следует говорить о следующих практических аспектах, связанных с защитой систем управления стратегически важной инфраструктурой:
- возможное наличие угроз, связанных с нарушителем, обладающим высоким потенциалом нападения (финансовые и технические ресурсы, доступ к Ноу-хау поставщиков систем АСУ ТП и средств защиты информации).
- в случае затруднений внешнеполитической ситуации возможно резкое увеличение вероятности угроз, связанных с частными гражданами стран-участниц конфликта.
Пока наличие угроз со стороны армейских и разведывательных подразделений иных стран выглядит фантастикой. Однако угрозы ИБ имеют особенность только увеличиваться в количестве с течением времени. Системы АСУ ТП рассчитываются на длительный период эксплуатации, соответственно, должны рассчитываться и системы обеспечения ИБ. Обязательное условие при этом – возможность модификации и прицела на будущее, каким бы неприятным оно не оказалось.
Заключение
Автоматизированные и автоматические системы технологического управления прочно интегрированы в наш социум. Их функционирование может затрагивать не только интересы отдельных промышленных компаний – эксплуатантов подобных систем, но иногда – всех и каждого. Вероятность атаки на подобные системы ниже, чем на многие другие, но ответственность, связанная с их защитой, в некоторых случаях несоизмеримо выше. Это в полной мере относится к значимым и опасным областям промышленности и жизнеобеспечения городов. О проблематике защиты подобных систем управления не стоит забывать, перенося планы на очередной год.