Текущее состояние защиты АСУ ТП и практический опыт

11 декабря 2015

Ярушевский Дмитрий, CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП
ЗАО «ДиалогНаука»

Обеспечение защиты информации (или обеспечение кибербезопасности) в автоматизированных системах управления технологическими процессами (АСУ ТП) – направление для России достаточно новое. Еще несколько лет назад это был вопрос, обсуждаемый в достаточно узком кругу специалистов и разработчиков АСУ ТП, но сейчас кибербезопасность АСУ ТП – стремительно развивающееся направление отечественного рынка специализированных средств защиты для промышленных систем и услуг системных интеграторов.

Этому способствовал целый ряд факторов: и повышенное внимание регуляторов (1), и развитие автоматизации технологических процессов и, конечно, рост числа доведенных до общественности инцидентов реализации киберугроз на объектах различных отраслей промышленности и энергетики (например, 245 зарегистрированных инцидентов по данным только ICS-CERT за период с сентября 2014 по февраль 2015 (2)).

Однако, несмотря на развитие рынка, реального практического опыта по обеспечению защиты АСУ ТП в России катастрофически мало. Но даже его достаточно, чтобы выявить некоторые риски системного характера, возникающие при реализации проектов по обеспечению кибербезопасности.

Сложной системой защиты некому управлять.

На объектах АСУ ТП зачастую нет специалистов с необходимой квалификацией. У Заказчика могут быть специалисты по информационной (или экономической) безопасности корпоративного сегмента и квалифицированные специалисты по эксплуатации АСУ ТП, но не быть специалистов по обеспечению кибербезопасности АСУ ТП. При этом защита АСУ ТП – это совершенно отдельная область информационной безопасности, требующая отдельных знаний и компетенции. В результате на объекте может быть просто некому передать в эксплуатацию систему защиты.

Реактивный режим защиты

Ошибки первого рода (ложноположительные срабатывания) средств защиты информации (СЗИ) могут привести к нарушениям в непрерывности, управляемости и наблюдаемости технологического процесса. Риск таких ошибок, приемлемый и «привычный» для корпоративных систем, может быть совершенно недопустим для АСУ ТП. Поэтому к режимам «предотвращения угроз» относятся с большой осторожностью. Более того, процессы кибербезопасности на предприятиях еще настолько не развиты, что даже при обнаружении системой защиты явного инцидента, непонятно, какие действия выполнять дальше.

Приведу пример: система обеспечения информационной безопасности обнаруживает аномальный трафик в технологической сети. Система защиты предполагает, что команды телеуправления отравляются из неизвестного источника (нелегитимный сервер управления). Дежурный диспетчер, с одной стороны, видит сообщение о вероятном инциденте, с другой – наблюдает технологический процесс в штатном режиме. Какие действия он должен предпринять? Кто и на основании чего принимает решения о необходимых действиях? Кто несет ответственность за результаты этих действий? Этими вопросами иногда пренебрегают при разработке систем защиты АСУ ТП. Однако, без ответов на них, без выстраивания полного жизненного цикла процесса управления инцидентами, такая система не будет эффективна. У персонала должны быть четкие технологические инструкции, описывающие что именно и в каких случаях предпринимать (подобные инструкциям по эксплуатации АСУ ТП). Но, во-первых, для разработки таких инструкций требуется огромный опыт и накопленная база знаний по реально произошедшим инцидентам и их последствиям, а, во-вторых, ни одна инструкция не сможет предугадать развития хорошо продуманной и подготовленной атаки злоумышленника.

Фокус на защите периметра и сетей связи

Для многих объектов подход, ограничивающийся защитой периметра сети, может быть оправдан и эффективен. Но только при условии, что удастся ограничить пересечение сетей АСУ ТП со смежными одной-двумя логическими точками, что сами сети АСУ ТП сегментированы, правильно выстроены правила маршрутизации и управления сетевым доступом на телекоммуникационном оборудовании, а все оборудование находится в пределах контролируемой зоны. Но так бывает не всегда – ряд промышленных систем строится таким образом, что, например, ПЛК могут располагаться на удаленных объектах вне пределов контролируемой зоны. Такие ПЛК (и даже отдельные датчики) могут стать «точкой входа» для злоумышленника и предоставить возможности реализации атак на системы верхнего уровня (SCADA, ERP и даже корпоративные системы, если сети связаны), что продемонстрировали в своих работах эксперты из исследовательской лаборатории (3, 4).

Использование наложенных средств защиты вместо средств АСУ ТП

Системным интеграторам хорошо знаком широкий парк «традиционных» средств и систем защиты, используемых в корпоративных средах. Но иногда применение этих средств для защиты АСУ ТП может быть избыточным, неэффективным или негативно влиять на управляемость и наблюдаемость технологического процесса. Кроме того, «корпоративные» средства защиты информации не предназначены для работы в агрессивных средах и климатических условиях, в которых могут эксплуатироваться средства АСУ ТП. Наконец, большая часть таких систем не предназначена для обеспечения защиты промышленных протоколов связи.

С другой стороны, зачастую реализуемые наложенными средствами меры безопасности, могли бы быть реализованы средствами самой АСУ ТП с минимальными изменениями в конфигурациях. Например, многие SCADA-системы позволяют осуществлять мониторинг в том числе, и систем физической безопасности и управления доступом, осуществляют регистрацию и сбор событий логического доступа, действий операторов и т.д. Иногда этот функционал остается незадействованным при создании системы защиты, потому что SCADA входит в зону ответственности подразделений АСУ ТП, а вот обеспечение кибербезопасности – нет.

Один из возможных подходов – использование возможностей ПЛК

Существует несколько возможных подходов к кибербезопасности, позволяющих минимизировать проблемы, о которых я писал выше. Выбор зависит от специфики объекта защиты, технологического процесса и используемых систем. Одним из таких подходов является использование возможностей ПЛК.

Современные ПЛК по функциональным возможностям и вычислительным ресурсам все больше напоминают промышленные компьютеры. Зарубежные разработчики даже отходят от термина PLC (programmable logical controller), используя для своих продуктов термин PAC (programmable automation controller) (5).

Среди функциональных возможностей ПЛК различных производителей (как зарубежных, так и отечественных) (6) можно встретить следующие механизмы безопасности:

  • Аутентификация при удаленном или локальном доступе по протоколам RADIUS через внешний сервер;
  • VPN/TLS с поддержкой шифрования по международным алгоритмам (AES, 3DES и т.д.);
  • Подключение к модулю СКУД, сбор событий безопасности, сигнализации открытия дверей, пожарной сигнализации и передача событий ИБ внешнему источнику (например, SIEM-системе);
  • Межсетевое экранирование.

Реализация и задействование этого функционала в системе обеспечения кибербезопасности АСУ ТП позволит:

1. Минимизировать риски, связанные с реализацией угроз на нижнем уровне АСУ ТП.
2. Передать часть функций и ответственности за обеспечение кибербезопасности в руки специалистов по АСУ ТП, что будет способствовать интеграции процессов защиты информации в управление технологическим процессом.
3. Рассматривать вопросы кибербезопасности при проектировании, создании и модернизации самой АСУ ТП.
4. Снизить риск возможного негативного влияния и последствий работы средств защиты информации за счет минимизации использования наложенных средств.
5. Снизить затраты на внедрение и эксплуатацию.

Практический опыт реализации мер безопасности на уровне ПЛК

В ходе работы над одним из проектов по созданию системы обеспечения информационной безопасности АСУ ТП электрораспределительной компании, мы столкнулись с задачей по обеспечению целостности потоков данных между удаленными объектами, расположенными в условно неконтролируемой зоне и центральным диспетчерским пунктом (ЦДП).

Удаленные объекты – это трансформаторные подстанции (ТП), оборудованные контроллером телемеханики. Контроллер осуществляет сбор и передачу в ЦДП телесигнализации и телеинформации. ЦДП передает на этот контроллер команды телеуправления и обновленные конфигурации прошивки контроллера.

Связь осуществляется по незащищенным линиям (GSM/3G, арендованные каналы).

Задача: обеспечить аутентификацию устройств, централизованную аутентификацию инженеров и подрядчиков, целостность передаваемых данных телемеханики, целостность и авторство передаваемых команд телеуправления и конфигураций оборудования.

При проектировании мы рассмотрели различные варианты возможных решений перечисленных задач. В том числе, за счет использования дополнительных СЗИ, усиления или дополнения мер физической защиты и так далее. Но все эти варианты казались либо недостаточно эффективными, либо снижающими надежность системы, либо экономически нецелесообразными.

В итоге, мы остановили выбор на реализации совместного решения с производителем ПЛК и нашим партнером-разработчиком СКЗИ. Суть решения заключается в использовании дополнительного программно-аппаратного криптомодуля, устанавливаемого в корпус контроллера и взаимодействующего по стандартному внутреннему интерфейсу. В комплексе с программным обеспечением ПЛК и системами «верхнего уровня», такое решение способно обеспечить (см. рисунок):

  • Аутентификацию по RADIUS при локальном и удаленном подключении;
  • Шифрование VPN/TLS;
  • Проверку ЭЦП отдельных блоков команд и конфигураций оборудования, получаемых «сверху»;
  • Контроль целостности собственных компонент;
  • Передачу событий информационной безопасности в систему мониторинга (SIEM).

Совместная работа с разработчиками ПЛК и разработчиками криптомодуля, сделала возможными тщательные испытания и необходимые доработки решения для максимальной адаптации под нужды и условия Заказчика.

Все системы АСУ ТП, сами технологические процессы и объекты защиты являются уникальными. Типовых или универсальных решений по обеспечению кибербезопасности, применимых на любом объекте нет, и, скорее всего, не будет. На данном этапе развития направления, когда нет даже «проверенных путей», одним из ключей к эффективной защите АСУ ТП является тщательный выбор и проработка возможных технических решений и взаимодействие всех заинтересованных сторон. При этом задачу обеспечения кибербезопасности стоит рассматривать как часть задачи обеспечения управляемости и непрерывности технологических процессов. Рассмотренный в статье подход к защите АСУ ТП, с нашей стоки зрения, является одним из возможных вариантов эффективной защиты от киберугроз и может успешно применяться в целом ряде российских компаний.

(1) издание в марте 2014 года 31-го Приказа ФСТЭК «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

(2) ICS-CERT Monitor Newsletter September 2014 – February 2015; US Department of Homeland Security, National Cybersecurity And Communications Integration Center

(3) Доклад «Атака на АСУ ТП: от датчиков до ERP и обратно»; Илья Медведовский; Конференция Kaspersky Industrial Security 2014

(4) Доклад «ICSCorsair: как мы взломаем вашу ERP-систему через токовую петлю»; Александр Большев, Глеб Чербов; Конференция t2'14

(5) «Is PLC a Dirty Word Now?»; Dan Herbert, technical editor Control Design; Control Design for machine builders, 2012 (http://www.controldesign.com/articles/2012/hebert-is-plc-a-dirty-word-now/)

(6) Продукция компаний Phoenix Contact, SoftPLC, ООО «ДЭП» и др.

592
;