Обеспечение безопасности автоматизированных систем управления технологическим процессами
Корольков Сергей, технический директор ЗАО «ДиалогНаука» |
Ярушевский Дмитрий, CISA, CISM, руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука» |
Вопросы обеспечения безопасности автоматизированных систем управления технологическим процессами (АСУ ТП) становятся всё актуальнее. Если несколько лет назад эта тема в основном поднималась среди узкого круга специалистов, то сейчас она стала интересна собственникам систем управления, специалистам, занимающимся их эксплуатацией, разработкой и внедрением и законодателям.
Все эксперты в области информационной безопасности соглашаются, что обеспечение безопасности АСУ ТП отличается от обеспечения безопасности корпоративных информационных систем (далее – КИС). Обычно говорится о том, что необходимо уделять внимание не только обеспечению конфиденциальности, также о том, что жизненный цикл у них отличается, о том, что технологические окна у корпоративных информационных систем совсем не такие. Остановимся на этом подробнее.
Начать нужно с понимания самого объекта защиты. Является ли этим объектом информация, процесс, средства, реализующие процесс, или документы?
Вероятно, уважаемый читатель уже обратил внимание на то, что в этой статье термин «информационная безопасность» не употреблялся в отношении АСУ ТП. Связано это с тем, что корректная терминология в отношении безопасности АСУ ТП еще не выработана. Российская нормативная база ориентирована на защиту информации. Например, ФСТЭК в своей действующей нормативной документации ведет речь о безопасности информации в ключевых системах информационной инфраструктуры. То есть изначально в основе требований находится предположение, что необходимо защищать именно информацию в системе управления. Давайте посмотрим, насколько такой подход корректен с учетом особенностей АСУ ТП. Закон «О безопасности объектов топливно-энергетического комплекса» гласит: «В целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей…», что является определенным шагом вперед. В недавно вступившем в силу, так называемом «Приказе №31» ФСТЭК, уже появился текст, раскрывающий вопрос объекта защиты. В соответствии с этим документом объектом защиты уже является не только информация, а программно-технический комплекс и средства защиты информации. Зарубежные стандарты и практики предусматривают еще более широкое понятие объекта защиты – вся информация, программно-технические средства и персонал, влияющий на технологический процесс (далее – ТП). И такой подход является более правильным: при обеспечении безопасности должны быть рассмотрены любые не технологические активы, влияющие на ТП. Теперь обратимся к вопросу: какие свойства и характеристики необходимо защищать?
Наверное, большинство представителей профессии, в названии которой есть слово «безопасность», не представляют ее таковой без обеспечения конфиденциальности. С одной стороны, данные о потреблении электричества клиентами энергокомпании могут быть интересны конкуренту. Или, например, данные об отгрузках нефтепродуктов конкретным потребителям представляют коммерческую тайну. Но эта информация является конфиденциальной с точки зрения бизнеса предприятия. Следует ли из этого, что ТП обладает свойством конфиденциальности? С точки зрения самого ТП и результата его работы конфиденциальность данных не играет никакой роли. Более того, сложно представить ТП, где разглашение информации о нем, его результатах работы может непосредственно и негативно повлиять на ТП. С другой стороны, утечка некорректных показателей одного датчика на АЭС может привести к развитию нежелательных социальных последствий в целом регионе.
Обратим внимание на различия жизненного цикла систем. Жизненный цикл КИС протекает, в общем, перед глазами специалиста по информационной безопасности. В начале присылают на согласование Техническое задание на создание или модернизацию системы, через несколько месяцев начинается реализация системы, и обычно в течение ближайшего года система переходит в промышленную эксплуатацию. Специалист по информационной безопасности имеет возможность принимать меры по повышению уровня информационной безопасности на всех стадиях жизненного цикла. У КИС обычно есть технологические окна, резервные копии, тестовые сегменты, которые позволяют управлять изменениями системы, не снижая показателей надежности. В большинстве систем управления ТП отсутствуют механизмы, позволяющие апробировать меры по информационной безопасности, а технологические окна предусмотрены и «заняты» операциями технического характера.
В случае с АСУ ТП специалист по информационной безопасности чаще всего «появляется» уже на этапе промышленной эксплуатации. При этом АСУ создавалась годы или десятилетия назад. Создатели системы и компонентов не могут ответить на все вопросы о ее функционировании, так как уже находятся за пределами доступности специалиста по безопасности. Те документы и записи, которые были оставлены при создании системы и запуске ее в эксплуатацию, сейчас не всегда могут быть поняты. То есть перед специалистом по информационной безопасности есть система управления, которая в ряде случаев не может быть адекватно проанализирована, осмыслена и не может быть изменена. Лица, эксплуатирующие систему, и специалисты по безопасности могут только ей доверять и наблюдать за тем, как она работает. Это сильно ограничивает количество и качество мер, которые специалист может применить.
Традиционно самое слабое звено всех технологических систем – человек. Это касается и обеспечения безопасности АСУ ТП. Особенности АСУ ТП не позволяют использовать специалиста с навыками защиты КИС для защиты АСУ ТП: требуются другие базовые знания, применяются другие меры, ответственность так же совершенно иная. Если в области безопасности КИС есть приток кадров, есть отработанные процедуры повышения квалификации, есть сообщества, то в области обеспечения безопасности АСУ ТП всего этого нет.
Ответственность, лежащая на специалисте по безопасности АСУ ТП, совершенно иная, она не измеряется тем универсальным мерилом, к которому все привыкли в случае с КИС – оценкой величины ущерба в деньгах.
Сотрудники, обеспечивающие безопасность КИС, привыкли к тому, что рынок средств защиты находится в развитом состоянии, средства защиты есть в любых ценовых категориях, от различных производителей, как прошедшие оценку соответствия, так и нет. В случае с АСУ ТП таких средств крайне мало. Да и сами категории средств защиты могут отличаться от привычных. Попытки использовать СЗИ для КИС в АСУ ТП не всегда бывают успешными. Например, применение аппаратных замков на АРМ операторов ТП иногда бессмысленно: работа сменная, при пересменке перезагрузка системы или смена учетной записи пользователя не осуществляется.
Как следствие, специалисты по безопасности и эксплуататоры АСУ ТП в качестве защитной меры избирают изоляцию системы. В реальности изоляция АСУ ТП – это миф! Добиться изоляции практически невозможно. Связано это с тем, что современный бизнес требует получения оперативной информации о параметрах ТП. Это подразумевает наличие канала связи сегментов сети АСУ ТП и КИС. Необходимость проведения обслуживания системы, ее модернизации и обновления приводит к тому, что появляются определенные лица, которые периодически получают доступ к системе с широкими полномочиями. Операторы системы часто подключают к АРМ свои гаджеты и сменные носители информации. И нельзя забывать о том, что и у АСУ ТП есть администраторы, которые организуют себе удаленный доступ, в том числе и «с дивана».
Состояние нормативной базы по вопросу безопасности АСУ ТП в России обсуждалось специалистами неоднократно. Необходимо отметить, что обязательность применения нормативных документов не очевидна и это признают даже регуляторы. Данный вопрос предполагается решить выпуском Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Недавно ФСТЭК выложила на своем сайте проект требований по обеспечению безопасности АСУ ТП. Проекты этих документов, в случае их принятия, существенно изменят ситуацию в отрасли, однако целостного и согласованного набора методической документации не будет создано. В таких условиях интересно обратиться к международному опыту.
В своих проектах наша компания использует подход, основанный на положениях ISO 62443. В некоторых случаях нам приходилось объединять методику оценки актуальных угроз информационной безопасности КСИИ и методику ISO 62443.
Семейство международных стандартов IEC 62443 разработано на базе более раннего ISA 99 и ориентировано на вопросы обеспечения безопасности АСУ ТП от угроз кибернетического характера. Стандарты IEC 62443 предлагают современный риск-ориентированный подход к обеспечению ИБ: безопасность рассматривается как совокупность непрерывных процессов, которые необходимо поддерживать на всех стадиях жизненного цикла системы. Стандарты IEC 62443 задают требования к проектированию наложенных систем управления кибербезопасностью (cybersecurity) АСУ ТП в целом, отдельно SCADA и вообще к проектированию АСУ ТП c уже заложенными и интегрированными мерами безопасности.
Процессы создания системы управления защитой АСУ ТП от киберугроз, анализа и управления рисками во многом схожи с аналогичными, заданными стандартом ISO 27001 для ИТ-систем, разумеется, с учетом специфики реализации АСУ ТП. Основой для определения требований, предъявляемых к проектируемой системе, является анализ рисков. Краеугольными камнями анализа рисков являются идентификация, классификация и оценка. Выбор методики оценки рисков остается на усмотрение владельца АСУ ТП и зависит от специфики используемых систем. Мы в своей работе используем собственную методику анализа рисков, удовлетворяющую требованиям лучших практик, с одной стороны, и соответствующую российским нормативным документам – с другой. Для большинства систем АСУ ТП важной является так называемая HSE-группа последствий, приводящая к ущербу здоровью или безопасности людей и окружающей среды (Health, Safety and Environmental), и введенные проектом нормативных документов ФСТЭК «последствия в социальной, политической, экономической, военной или иных областях деятельности» (для простоты будем называть их ПЭВ).
В начале работ по созданию системы управления защитой АСУ ТП проводится высокоуровневая оценка рисков, призванная определить основные финансовые, ПЭВ и HSE последствия в случае нарушения доступности, целостности или конфиденциальности. Высокоуровневая оценка дает представление об общей картине рисков и критических систем и является базисом для перехода к более детальному изучению защищаемого объекта.
Следующим шагом является анализ объекта защиты, идентификация и классификация активов АСУ ТП, подлежащих защите. Несмотря на то, что процесс изучения, описания и классификации элементов объекта защиты заслуживает отдельной статьи, попробуем вкратце осветить подход, описываемый в IEC 62443.
Семейство стандартов IEC 62443 предлагает несколько стадий анализа и моделирования объекта защиты. Первой стадией является создание референсной (reference) модели (или моделей, в зависимости от сложности объекта защиты, границ и рамок работы) объекта защиты, описывающей «крупными мазками» деление основных видов деятельности, ТП, АСУ и других активов на 5 логических уровней.
На основе референсной модели на следующей стадии строится модель активов (asset model), описывающая иерархическую карту основных объектов и активов, взаимодействие с сетями, территориальными площадками, ключевыми подразделениями, участвующими в ТП, системами контроля и прочим технологическим оборудованием. Модель активов строится для того, чтобы обеспечить понимание иерархической структуры и процессных связей в целом или отдельно выделенного для анализа объекта защиты и дать возможность наглядно увидеть и определить критические процессы и активы.
На следующей стадии строится референсная модель архитектуры (reference architecture model). Она очень похожа на классическую подробную схему сети 2-го уровня и отражает все основные элементы АСУ ТП, телекоммуникационное оборудование, линии связи и т. п. Корректное построение референсной модели архитектуры крайне важно, т. к. на ее основе с учетом результатов высокоуровневой оценки рисков выполняется сегментирование объекта защиты. При сегментировании строится т. н. модель зонирования (zone and conduit model), разделяющая объект защиты (одну или несколько АСУ ТП, распределенную сеть АСУ ТП, организацию в целом или территориальный объект) на ряд зон. Зоны объединяются по общим показателям риска, функциональным и/или техническим характеристикам, логическим или физическим границам, сетям передачи данных и т. д. И снова IEC 62443 оставляет «пространство для творчества», позволяя адаптировать модель зонирования в зависимости от целей и задач построения защиты и учитывать специфику объекта защиты.
Для каждой выделенной зоны проводится идентификация и классификация активов, анализ уязвимостей и угроз, моделирование нарушителей и детальная оценка рисков. На основе информации о текущем состоянии системы, применяемых методах и мерах безопасности, функциональных особенностях технических средств и т.д. определяется текущий уровень безопасности для каждой зоны. Понятие «уровень безопасности» (security level) также вводится стандартом IEC 62443 и описывает реализацию требований к мерам безопасности по 7 основным направлениям: идентификация и аутентификация, контроль использования АСУ, целостность системы, конфиденциальность информации, управление информационными потоками, управление событиями, доступность ресурсов. Каждое направление содержит ряд требований, комбинации которых определяют 4 уровня безопасности.
Результаты оценки рисков и анализа возможных нарушителей определяют целевой уровень безопасности зоны. Жестких требований по выбору целевого уровня стандарт не предъявляет, т. е. имеются широкие возможности для адаптации под любой объект защиты в зависимости от выявленных угроз и рисков. Однако стандарт недвусмысленно регламентирует необходимость при проектировании определить меры, превышающие целевой уровень защищенности. Это связано с тем, что любая мера защиты с течением времени теряет свою эффективность (появление новых угроз и методов их реализации, выявление новых уязвимостей, устаревание технологий защиты и т. п.). Степень «перевыполнения плана» по обеспечению защиты зависит от принятой организацией периодичности проведения анализа рисков и планируемого срока пересмотра эксплуатационных характеристик системы. Таким образом, обеспечивается эффективность защитных мер на всем жизненном цикле системы.
Стандарт IEC 62443 предусматривает внедрение хорошо известных специалистам, знакомым с семейством ISO 27000, процессов: управление инцидентами, управление изменениями, управление конфигурациями, планирование восстановления деятельности и непрерывности бизнеса, повышение осведомленности и т. д. Ну и, разумеется, IEC 62443, как и все стандарты и best practices в области ИБ, подразумевает непрерывный жизненный цикл процессов безопасности, поддерживаемый на всех стадиях существования объекта защиты.
Каким же образом реализовывать технические меры обеспечения безопасности в АСУ ТП? Прежде всего – сегментирование. Технические средства, доступные на рынке, позволяют осуществлять его на верхних и средних уровнях архитектуры АСУ ТП. Сегментирование позволит при необходимости исключить неисправные или зараженные контроллеры, устройства связи, серверы и АРМ управления из сети управления. Также с помощью таких устройств можно «доставить» функционал DPI в сеть управления ТП и осуществлять фильтрацию не только на уровне сетевых адресов оборудования в АСУ ТП, но и на уровне объектов АСУ ТП, протоколов передачи данных и управления.
Шифрование трафика в сетях АСУ ТП также можно реализовать. Более того, международные стандарты и best practices рекомендуют его реализовывать. Конечно, речь не идет об использовании сертифицированных по требованиям ФСБ криптографических средств, но обеспечить передачу трафика по «закрытому» каналу связи возможно. Однако не стоит забывать, что шифрование трафика оказывает влияние на характеристики канала. В ряде случаев (например, в электроэнергетике) увеличение задержки на определенных типах каналов является недопустимым. Средства защиты IP сетей, применяемые при выходе каналов передачи данных за пределы контролируемой зоны, также применимы, при этом необходимо помнить о требованиях по обеспечению надежности.
Средства сбора и передачи событий от источников АСУ ТП тоже существуют. Это делает возможным применение корпоративных систем сбора и анализа событий информационной безопасности, причем не только для обеспечения непосредственно вопросов защиты АСУ ТП, но и для целей фрод-менеджмента.
Как уже говорилось ранее, обеспечить изоляцию сети АСУ ТП от других в современных условиях практически невозможно, поэтому задачи контроля сетевого периметра важны. Однако необходимо не только контролировать потоки по атрибутам сетевого и транспортного уровня, но и осуществлять контроль содержания передаваемой информации. Большинство протоколов взаимодействия устройств низкого уровня АСУ ТП не поддерживают взаимную аутентификацию устройств или проверку содержимого передаваемых пакетов. Отсутствие контроля подлинности передаваемых данных и их источников приводит к появлению ряда уязвимостей, успешно использованных при реализации нашумевших атак на АСУ ТП. Развитие современных технологий в области обеспечения безопасности позволяет обеспечить такой контроль. В частности, имеется возможность выявления и блокировки АТР на системное программное обеспечение серверов и АРМ АСУ ТП.
Вопросы обеспечения физической безопасности еще более актуальны для АСУ ТП. Необходимо применять более совершенные системы контроля доступа, видеонаблюдения и пр.
Необходимость строгого регламентирования процессов обеспечения безопасности имеет ничуть не меньшую важность, чем реализация технических мер, это отмечается и в рекомендациях соответствующих стандартов. Но это уже тема для другой статьи.
Важность освещенной в статье темы и возрастающее внимание к ней говорит о том, что рынок решений будет развиваться. Стоит ожидать появления новых средств для обеспечения безопасности АСУ ТП, совершенствования стандартов и рекомендаций. Это вселяет надежду на то, что мы не останемся без защиты перед лицом возникающих угроз.