Информационная безопасность АСУ ТП

Илья Мухин: Можно говорить о трех уровнях автоматизации промышленных систем. Нижний уровень включает в себя полевое оборудование, средний — контроллеры и рабочие станции, а верхний — MES и более сложные системы. Масштабность Индустрии 4.0 заключается в том, что этот скачок промышленной эволюции затрагивает все три уровня. На уровне датчиков и полевых устройств появляется все больше интеллектуальных инструментов. Сегодня многие из них могут самостоятельно обрабатывать данные и передавать их на контроллеры. На среднем уровне начинает развиваться виртуализация, уже ставшая повседневной реальностью в мире ИТ. Она приводит к разделению программных функций и оборудования, на котором они работают.

Ян Сухих: 10 лет назад большинство систем АСУ ТП были изолированными и пределом мечтаний промышленных компаний была единая диспетчеризация. С учетом того, что сегодня в организациях уже используются АСУ ТП разного уровня, заказчиков в большей степени интересует внедрение MES, средств предиктивного анализа, моделирования, систем усовершенствованного управления технологичес­кими процессами. Поэтому нельзя сказать, что изменился функционал решений, он остался прежним (эти системы присутствовали на рынке и 10 лет назад). Поменялись именно интересы компаний, крупные заказчики задумываются о внедрении систем более высокого уровня. Это приводит к новым траекториям развития АСУ ТП, которые все плотнее подходят к сфере классических ИТ.

Андрей Мельников: В качестве основных трендов в области АСУ ТП, связанных с цифровизацией, наряду с интеграцией систем предприятий, внедрением электронного информационного обмена, оптимизацией и синхронизацией бизнес- и производственных процессов, можно отметить востребованность виртуализации, облачных технологий, дополненной реальности, больших данных и искусственного интеллекта. Кроме того, целесообразно упомянуть использование цифровых двойников автоматизируемых объектов, процессов и систем автоматизации, позволяющих в том числе проводить виртуальную пусконаладку АСУ ТП, моделировать и оптимизировать траектории движения, например обрабатывающего инструмента на станках с ЧПУ, и т.д. 

Сегодня мы действительно наблюдаем процесс слияния ранее существовавших отдельно друг от друга миров АСУ ТП и классических ИТ. При этом все принципы управления и вызовы, характерные для ИТ, включая вопросы кибербезопасности, становятся все более актуальными и для АСУ ТП.

Илья Мухин: Интеграция АСУ ТП и корпоративной сети, конечно, создает новые рис­ки. Однако остановить этот процесс нельзя, потому что все больше пользователей требуют поступления данных с нижнего технологического уровня для принятия управленческих решений. Стандартные протоколы корпоративной сети проникают непосредственно на производство, и с проблемами их безопасности необходимо разбираться уже сегодня. Для этого нужно внедрять адекватные средства защиты.

Ян Сухих: Нельзя забывать о том, что изолированная АСУ ТП представляет собой «черный ящик». Если вы не получаете из нее данные, никто не знает, как именно с ней работает администратор, в каком состоянии находятся интерфейсы и средства защиты. Никто не может знать, не подключил ли администратор к ARM-терминалу 4G-модем, чтобы работать с ним удаленно.

Решить эту проблему можно только путем разработки и внедрения регламентов работы АСУ ТП с последующим контролем их неукоснительного исполнения, чтобы мы могли быть уверены в том, что система действительно полностью изолирована и надлежащим образом обслуживается. К сожалению, в большинстве компаний культура обслуживания и/или зрелость регламентов и процедур находятся на недостаточном уровне (конечно, если речь не идет об объектах, работающих с государственной тайной, или других особо важных объектах).

Поэтому, хотя соединение с корпоративными сетями и создает потенциальные уязвимости, при должном подходе к обеспечению ИБ именно централизация делает работу АСУ ТП более прозрачной. Корректная реализация демилитаризованных зон, внедрение таких систем, как IDS, IPS, SIEM, позволяет получать оперативную информацию о состоянии любых технологических систем. 

Андрей Мельников: В любом случае для выявления угроз, которые могут возникнуть в связи с предполагаемыми изменениями на конкретном предприятии, необходимо провести процедуру анализа рисков. При этом целесообразно учитывать не только внешние, но и внутренние угрозы, связанные, например, с уровнем компетенций, необходимых сотрудникам предприятия при его функционировании в условиях новой централизованной и укрупненной ИТ-инфраструктуры.

Андрей Мельников: Основным трендом в области АСУ ТП, связанным с Интернетом вещей, можно назвать переход от изолированных решений к глобальным территориально распределенным системам, использующим в том числе облачные технологии. Подобная тенденция приводит к увеличению количества используемых в системах компонентов и маршрутов передачи информации. Как следствие, растет число уязвимостей и увеличивается количество векторов атак. В этом контексте особого внимания заслуживают риски, связанные с использованием глобальных облачных технологий, а также устройств, подключаемых к принципиально небезопасным сетям (например, к интернету).

Илья Мухин: В то время как виртуализация стала наблюдаться практически повсеместно, получил распространение и удаленный доступ, в том числе с мобильных устройств. Возможность организовать защищенные каналы, а также прозрачный мониторинг работы систем позволили осуществлять информирование о ходе технологического процесса с помощью самых обычных гаджетов. Интернет вещей привел к повышению интеллектуальности полевых устройств, которые начали проводить предварительную обработку снимаемой информации и синхронизировать свою работу. На верхнем уровне стали использовать открытые технологии, а значит, возникла необходимость регулярного обновления ПО и отслеживания возможных уязвимостей.

Ян Сухих: Промышленный Интернет вещей объединил множество систем, называвшихся раньше АСУ ТП и АСУП. Кроме своеобразного ребрендинга, новая эпоха привела к появлению технологических новшеств, таких как сети класса LP-WAN. В частности, LoRaWAN уже сегодня предлагает широкий охват при низком энергопотреблении датчиков. И хотя финансовые параметры технологии еще не позволили ей достичь массового применения, через пару лет она может стать весьма популярной в промышленности и других отраслях. С точки зрения безопасности новые сети тоже очень интересны. LoRaWAN достаточно хорошо защищена и поддерживает двухуровневое шифрование. Поэтому на первый план выходит качество работы оператора или интегратора, создающего сеть, в области организации защиты сис­тем верхнего уровня. 

Ян Сухих: С технической точки зрения любое программное обеспечение, которое устанавливается на ARM-терминалы, где работают системы SCADA, может привести к неполадкам и нарушениям работы АСУ ТП. При этом использование ARM и серверов без должной защиты на сегодняшний день неприемлемо. Поэтому производители проводят тестирование своих решений на предмет совместной работы как минимум со средствами антивирусной защиты. Благодаря этому сегодня уже нельзя рассматривать средства безопасности как ограничения. 

Андрей Мельников: С точки зрения предприятия в целом АСУ ТП и ИБ в принципе не могут являться конкурентами, поскольку и АСУ ТП, и ИБ призваны обеспечивать его экономическую эффективность. При этом задачей ИБ является минимизация бизнес-рисков, связанных с потерей дос­тупности, целостности и конфиденциальности информации, в том числе в АСУ ТП. 

Илья Мухин: В каждом отдельно взятом случае приходится находить баланс между свободой и безопасностью. Нужно искать компромиссы при внедрении ИБ-системы, учитывая особенности поддержки технологического процесса на всех этапах и объектах. Необходимо держать в голове правила и регламенты самого предприятия, чтобы средства ИБ помогали решать основные задачи, а не мешали работе оператора. Практика показывает, что внедрение ИБ-инструментов должно происходить вместе с обследованием, учетом рекомендаций госорганов и «адаптацией ИБ-мер». Другими словами, на каждом проекте идеальные представления о защите накладываются на реальные объекты.

Илья Мухин: По требованиям заказчиков внутренние средства защиты АСУ ТП часто бывает необходимо усилить наложенными средствами ИБ определенной категории. В частности, бывают нужны сертифицированные ФСТЭК решения или продукты российского производства. Результаты этой работы приводят к успешному проведению испытаний и реализованным проектам.

Ян Сухих: Сотрудничество с производителями ИБ необходимо. Например, на глобальном рынке наши РСУ поставляются в комплекте с уже протестированными решениями McAfee или Symantec, а для российского рынка было проведено тестирование на совместимость с локальными решениями, в том числе с продуктами «Лаборатории Касперского». Также наши активные партнеры в сфере АСУ ТП — «ИнфоТеКС», InfoWatch, Positive Technologies. 

В рамках изучения вопросов совместимости для каждого продукта проводится более 500 тестов — проверяется работа различных сервисов, вплоть до функционирования динамических элементов графического интерфейса, что позволяет выявить возможные конфликты. Для обнаружения уязвимостей в своих продуктах мы сотрудничаем, например, с Positive Technologies: как и другие наши партнеры, они находят уязвимости, сообщают в нашу службу поддержки, и мы выпускаем патчи. Фактически этот цикл бесконечен, мы активно работаем по такой схеме по всему миру.

Андрей Мельников: Наша компания активно сотрудничает с ИБ-вендорами и сис­темными интеграторами. В России в нас­тоящий момент подобное сотрудничество ведется в основном в области обеспечения совместимости средств защиты информации и продуктов для АСУ ТП. Например, недавно была проверена и документально подтверждена совместимость нашей SCADA-системы WinCC OA с KICS (Kaspersky Industrial CyberSecurity) от «Лаборатории Касперского», проводится аналогичное тестирование на совместимость KICS с нашей системой управления процессами SIMATIC PCS7. Мы также провели тестирование на предмет совместного использования сетевых компонентов SIMATIC NET с SIEM-системой от Positive Technologies и Info-Diode от «АМТ-ГРУП». Кроме того, совместно с российскими ИБ-вендорами и системными интеграторами мы прорабатываем архитектурные решения для обеспечения максимальной защиты соответствующих объектов.

Ян Сухих: Подобное явление действительно характерно, особенно для старых систем, которые были внедрены 10–20 лет назад, а то и более. В то время вопросы безопасности были на базовом уровне или вообще не стояли на повестке дня. У таких систем много уязвимостей, и по мере подключения АСУ ТП к корпоративным сетям за их обновлением и дополнительной защитой действительно нужно тщательно следить.

Илья Мухин: Практика информационной безопасности нашей компании подразумевает постоянную работу по устранению уязвимос­тей. Над их поиском работают специальные подразделения: сначала такие специалис­ты находились только в Сингапуре, потом мы открыли дополнительный офис в Индии, а недавно еще один центр был открыт в России. Обновления выпускаются как минимум каждые две недели, и это очень важно в условиях слияния корпоративной и технологической ИТ-инфраструктур.

Андрей Мельников: Для всех наших заказчиков, в том числе в России, мы предоставляем доступ к службе Siemens CERT. Эта служба принимает сообщения об уязвимостях в продуктах Siemens, координирует их устранение, предоставляет соответствующие обновления и рекомендации по локализации обнаруженных уязвимостей. Время на решение проблем безопасности, о которых сообщают заказчики, в общем случае зависит от сложности и критичности вопроса, но наша компания всегда прилагает максимальные усилия для устранения угрожающих заказчикам уязвимостей в кратчайшие сроки.

Андрей Мельников: В облас­ти безопасности Siemens руководствуется международными стандартами, в том числе ISO 27001 и IEC 62443. В общем случае именно строгое следование подобным стандартам позволяет избегать массовых эпидемий. В связи с этим принципиально наш подход к безопасности не изменился, но перечень рисков, охватываемых в рамках процесса управления рисками, существенно расширился.

Илья Мухин: Отмечу, что WannaCry — это не первый случай масштабных заражений технологических систем. Большую роль сыг­рали первые иранские инциденты. Потеря контроля над важнейшими предприятиями на Ближнем Востоке привела к тому, что безопасность в АСУ ТП перестала восприниматься как что-то дополнительное. Сегодня средства ИБ включаются в каждую поставку и применяются по всему миру.

Ян Сухих: Эпидемии WannaCry и NotPetya затронули огромное количество организаций по всему миру, причем пострадали не только айтишные системы, но и АСУ ТП. Эти атаки в очередной раз (наравне со Stuxnet, BlackEnergy и др.) показали, как уязвимы могут быть информационные системы в целом и АСУ ТП в частности. Конечно, эти атаки не прошли бесследно, топ-менедж­мент промышленных предприятий начал лучше осознавать риски и угрозы, связанные с информационной безопасностью, вопросам ИБ теперь уделяется гораздо больше внимания.

Илья Мухин: Появление новых нормативных документов потребовало адаптации международной практики к российским реалиям. Более того, оказалось, что на сегодняшний день разработанные в России требования отличаются более проработанными процессами формирования исходных требований и моделирования угроз. Применив рекомендации российских регуляторов, мы стали разрабатывать модели угроз на всех уровнях. Они дают комплексный охват, предписывают учитывать риски от появления внутренних и внешних нарушителей. Приемочные испытания также стали проводиться с помощью не только обычных проверок, но и аттестаций систем. Кроме этого, мы начали сертифицировать программное и аппаратное обеспечение в соответствии с новыми требованиями российских заказчиков. Таким образом, изменения стали действительно позитивными.

Ян Сухих: Новые требования повлияли на разработку и внедрение ИБ-систем, но мы видим, что пока они очень общие, в них нет конкретики. Да, компании, готовые привлекать грамотных интеграторов и максимально использовать существующие технологии, действительно могут создать защищенные системы с учетом современных вызовов. Однако компании, не располагающие достаточным бюджетом, вполне могут пойти путем формального соответствия Федеральному закону № 187-ФЗ. Можно установить антивирус и несколько межсетевых экранов, подкрепить все это огромным количеством регламентов и процедур и тем самым обеспечить формальное соответствие требованиям регуляторов. Но в таком случае о реальной безопасности системы говорить не приходится. Мы надеемся, что такие случаи будут скорее исключением, чем правилом. Для тех компаний, которые действительно хотят повысить свою безопасность, мы совместно с партнерами предлагаем полный комплекс услуг: от проектирования систем защиты информации до внедрения и поддержки, включая интеграцию с ГосСОПКА.

Андрей Мельников: Закон № 187-ФЗ повлиял на требования многих заказчиков. Основная масса вопросов, поступающих к нам с их стороны и связанных с его принятием, касается поддержки заказчиков, интеграторов и поставщиков ИБ в части интеграции наших продуктов в целостные решения по безопасности. Также заказчиков интересуют вопросы совмес­тимости наших продуктов с предлагаемыми на рынке СЗИ и лучшие практики по управлению процессами, например изменениями в сетях и АСУ ТП. Собственно, этими вопросами и обусловлены направления сотрудничества с ИБ-вендорами / системными интеграторами, которые мы обсуждали чуть выше.

Андрей Мельников: Данные цифры в первую очередь говорят о наличии существенного потенциала для улучшений в области ИБ на стороне заказчиков и для оказания ИБ-услуг силами интеграторов, поставщиков ИБ и вендоров. При комплексном подходе любая АСУ ТП может быть защищена от подобных атак, благо соответствующие методологии, решения и продукты доступны на рынке.

Ян Сухих: Увы, в большинстве компаний это действительно так, потому что мало кто тратит значительные ресурсы на качественную интеграцию. Организация полноценной DMZ-зоны — это большая работа. Нужно помнить, что большинство АСУ ТП, которые работают сегодня, были инсталлированы 10 лет назад и более. В то время вопросам информационной безопасности никто не уделял должного внимания, и, конечно, эти системы в большинстве своем не готовы противостоять сегодняшним угрозам. В этих решениях может присутствовать большое количество уязвимостей, зачастую известных. Обслуживаются ли они сегодня? Обновляются ли в них прошивки? Как настроены оборудование или система? Есть ли учетные записи с настройками «по умолчанию» — с логином и паролем «admin»? Чтобы свое­временно выявлять и устранять эти проблемы, нужно проводить регулярные аудиты, поддерживать оборудование в актуальном состоянии и осуществлять интеграцию с корпоративным сегментом по всем правилам. Эти меры необходимы даже для новых систем, имеющих встроенные средства обес­печения информационной безопасности. Практика показывает, что наличие встроенных средств защиты не гарантирует их правильного применения.

Илья Мухин: Чтобы эта статистика перестала быть пугающей, нужно увеличивать безопасность и внутреннего, и внешнего сегментов сетей. Мы стремимся усилить ИБ на уровне межсетевых экранов и повысить защиту от внутренних нарушителей, обеспечивая безопасность внутренних узлов и рабочих станций. В частности, в современных инсталляциях применяются технологии «белых списков», встроенные средства безопасности на контроллерах, которые не допускают несанкционированных действий. При этом важно понимать, что, даже если периметр защищен, нельзя быть уверенными в том, что все проблемы с ИБ решены.