ЛК пишет свою операционную систему?

    На промышленных объектах ключевыми системами информационной инфраструктуры являются автоматизированные системы управления технологическими процессами (АСУТП), а также средства противоаварийной защиты (ПАЗ). От корректной и стабильной работы этих систем зависит безопасность всего объекта.

    Для АСУТП характерна ярко выраженная программная и аппаратная неоднородность. В типовую технологическую сеть предприятия, как правило, входят серверы SCADA под управлением Windows либо Linux, серверы СУБД (SQL Server либо Oracle), множество программируемых логических контроллеров (PLC) различных производителей, панели оператора (HMI), интеллектуальные датчики и канал связи с системами бизнес-уровня ERP. При этом, согласно результатам последних исследований DHS, в среднем технологическая сеть имеет 11 (!) точек прямого подключения к корпоративной сети.

    image
    Точка доверия

    В настоящее время назрела необходимость в создании решений, способных обеспечить надежную защиту и критически важных промышленных объектов, и прочих объектов и организаций, чувствительных к проникновению и утечке информации. Однако как бы хорошо ни работали такие решения, использование в АСУТП уязвимых ОС и ПО не позволит производителям средств защиты гарантировать безопасность системы. А в случае с критическими объектами такие гарантии необходимы.

    Рассчитывать на то, что все разработчики АСУТП срочно займутся тотальной проверкой и обновлением всего используемого ими ПО, а руководители предприятий оперативно обновят уже установленные у них решения, не приходится. А если учесть, что жизненный цикл таких систем исчисляется десятилетиями, то станет очевидно, что по эволюционному сценарию внедрение защищенных АСУТП потребует значительного количества времени.

    Однако глобальное решение проблемы уязвимости – не единственно возможное решение, способное обеспечить безопасность работы промышленных объектов.

    В чем опасность наличия уязвимого ПО? Уязвимости – это бреши, которые могут быть использованы для проникновения вредоносных программ. Любой компонент АСУТП может быть заражен. А зараженный компонент может осуществлять в технологической сети вредоносные действия, ведущие к катастрофе, и при этом дезинформировать оператора.

    В сложившейся ситуации оператор критически важной системы вынужден управлять техпроцессами, не имея никаких гарантий того, что информация, на основе которой он принимает решения, верна. По сути это одна из ключевых проблем безопасности системы – ведь цена ошибки на такого рода объектах очень высока.

    Для безопасной работы промышленного объекта оператору критически важно получать достоверную информацию и управлять производством, исходя из этой информации. Это позволит избежать ошибок управления и поможет при необходимости вовремя остановить производство, не допустив аварии.

    В настоящее время не существует ОС и ПО, которые могли бы быть применены в промышленных средах и результатам работы которых мы могли бы полностью доверять. И это не оставило нам иного пути, кроме как приступить к самостоятельной разработке таких средств.

    Базовым средством обеспечения безопасности является операционная система. Мы считаем, что для контроля информации, которая циркулирует в промышленной сети, в первую очередь необходимо использовать саму операционную систему. Это даст гарантию, что информация корректна, достоверна и не содержит вредоносной составляющей.

    Безопасная OС

    Каким требованиям должна соответствовать максимально безопасная среда для контроля информационной инфраструктуры?

    — ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля.

    — В целях гарантии безопасности она не должна содержать ошибок и уязвимостей в ядре, контролирующем остальные модули системы. Как следствие, ядро должно быть верифицировано средствами, не допускающими существования уязвимостей и кода двойного назначения.

    — По той же причине ядро должно содержать критический минимум кода, а значит, максимальное возможное количество кода, включая драйверы, должно контролироваться ядром и исполняться с низким уровнем привилегий.

    — Наконец, в такой среде должна присутствовать мощная и надежная система защиты, поддерживающая различные модели безопасности.

    В соответствии с этим мы создаем собственную операционную систему, основной особенностью которой является принципиальная невозможность выполнения в ней незаявленной функциональности.

    Только на основе такой ОС можно построить решение, позволяющее оператору не только видеть то, что реально происходит с производством, но и управлять им. Вне зависимости от производителей конкретных ОС, СУБД, SCADA и PLC, вне зависимости от степени их защищенности или наличия в них уязвимостей. Более того – вне зависимости от степени их зараженности.

    Фактически речь идет об интеллектуальной системе противоаварийной защиты нового поколения. Системе защиты, учитывающей весь комплекс показателей предприятия сразу. Системе защиты, не позволяющей привести к аварии ни в результате неправильных действий оператора, ни в результате ошибок в ПО АСУТП, ни в результате кибератак. Помимо прочего, такая система сможет дополнить традиционные средства ПАЗ, что позволит отслеживать более сложные и комплексные сценарии происходящего.

    Такое решение должно встраиваться в уже существующие АСУТП с целью их защиты и обеспечения достоверного мониторинга или учитываться при проектировании новых АСУТП – и в том, и в другом случае обеспечивая применение современных принципов безопасности.

    Заключение

    Мир изменился. Государства активно осваивают кибероружие, и это требует наличия адекватных средств защиты. Несмотря на то что ключевые системы информационной инфраструктуры имеют исключительную важность, средств, способных обеспечить их гарантированную защиту, в настоящее время нет.

    На основе существующих ОС создать новые, современные и реально работающие средства защиты КСИИ невозможно. Создать новую ОС для всех компонентов АСУТП – задача очень сложная, ее решение требует времени. А проблему безопасности промышленных объектов надо решать уже сейчас.

    Поэтому надо находить ключевые проблемы информационной безопасности и в первую очередь устранять именно их. Одна из таких проблем состоит в том, что системы информационной безопасности промышленных объектов опираются на недоверенные источники информации. Пока в технологической сети не появится компонент, которому оператор или некоторый контролирующий программный комплекс могли бы доверять, говорить о возможности построения системы безопасности не представляется возможным. Необходимо создать такую «доверенную базу», на основе которой можно строить систему обеспечения безопасности более высокого уровня. Такая «доверенная база» требует как минимум наличия доверенной ОС.

    Мы создаем ОС, на которой будут работать компоненты системы безопасности, обеспечивающие доверенной информацией все составляющие АСУТП. В основу ОС мы заложили ряд фундаментальных принципов, соблюдение которых позволит гарантировать, что она в любой момент времени будет функционировать именно так, как было задумано разработчиком, и функционировать по-другому не может. Архитектурно операционная система построена таким образом, что даже взлом любых ее компонентов или приложений не позволит злоумышленнику получить контроль над нею или запустить вредоносный код. Этот подход позволяет нам считать такую ОС доверенной и использовать ее в качестве доверенного источника информации, который может являться базисом для построения системы защиты более высокого уровня.

    Почитать рассказ Евгения Касперского на эту тему можно здесь.

    Узнать больше о специфике АСУТП и предпосылках к созданию собственной ОС можно здесь.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 26

      +15
      ЛК спрашивает у самой себя, пишет ли она операционную систему?
        +14
        и сама отвечает. Вот и поговорили.
        +7
        Хм, как я понимаю вам и всё остальное ПО для вашей ОС придёться подтянуть? Или будет совместимость/эмуляторы других операционок?

        Лаборатория касперского, конечно, не Денис Попов, но хватит ли у вас сил завершить то, на что Вы замахнулись?
          0
          В своей блоге Касперский писал, что один из краеугольных камней безопасности будет недопустимость запуска любого стороннего софта.
            0
            И одним из краеугольных камней для АСУшников — гарантированная работа с заданными характеристиками и совместимость с имеющимися системами.
            А как показывает практика, к АСУшникам прислушиваются чутче, чем к безопасникам. Что в целом логично.
            0
            Рутковская замахнулась и написала, так почему-бы и ЛК не сделать тоже самое?
              +2
              Qubes основана на гипервизоре Xen, оконном интефейсе X и ядре Linux. Используется именно Xen, а не, например, KVM, поскольку разработчики уверены, что архитектура Xen позволяет создавать более безопасные системы.

              Т.е. это не разработка с нуля. Это раз. А во вторых, здесь нужно ещё и всю инфраструктуру поднять, а SCADA системы — это вам не тетрис ). Я уже про СУБД молчу
            +3
            Ну да, а я на досуге делаю безопасное устройство телепортации в любую точку вселенной?

            >— ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля.
            Весело, что это гарантирует? Отсутствие ошибок? Тайну для людей со злым умыслом?

            Много очевидной теории, и ничего конкретного. Так не интересно.
              +1
              Учитывая сколько времени уходить на сертификация ОС для использования в промышленности, и сколько времени ее будут разрабатывать, увидим мы ее очень нескоро.
                +1
                Удачи конечно ЛК, но это похоже на утопию.

                Системе защиты, не позволяющей привести к аварии ни в результате неправильных действий оператора, ни в результате ошибок в ПО АСУТП, ни в результате кибератак

                Это надо очень хорошо понимать что такое «авария», так хорошо что кажется невозможно.

                В соответствии с этим мы создаем собственную операционную систему, основной особенностью которой является принципиальная невозможность выполнения в ней незаявленной функциональности.

                Это же тупиковая формулировка. Правильное комбинирование заявленной функциональности будет вполне достаточно.

                А вообще дело полезное. Если ЛК будет писать пусть не абсолютно, но максимально надежные системы — всем будет только счастье. Все лучше чем «интернет по паспорту» продвигать.
                  0
                  А все крупные игроки рынка промышленной автоматизации сразу рванут приспосабливать свои продукты к новой ОС. )) Я в этом сомневаюсь. Там контракты с поставщиками железа и ОС на много миллионов. Любой апдейт, исправляющий ту или иную уязвимость приходится устанавливать на свой страх и риск. И есть совсем не нулевая вероятность, что он приведет к рухнувшей системе управления. Да, производители АСУТП тестируют обновления обновления на совместимость. Но вот список этих обновлений и порядок их установки предлагается только в рамках программы расширенной поддержки. За отдельную плату, само собой.
                    0
                    Кстати, хороший такой вариант — хочешь провести исследования «а можно ли сделать ...», и не хочешь тратить много денег — выложи статью на хабре. Тут тебе бесплатно приведут аргументы за и против.
                      +1
                      «В настоящее время не существует ОС и ПО, которые могли бы быть применены в промышленных средах и результатам работы которых мы могли бы полностью доверять. И это не оставило нам иного пути, кроме как приступить к самостоятельной разработке таких средств.»
                      «В целях гарантии безопасности она не должна содержать ошибок и уязвимостей в ядре»
                      Иш куда замахнулись. Значит такие гиганты как cisco, ibm, siemens и др. штаны просиживают?! Ну как говориться попутный ветер им в…
                      +3
                      О чем собственно статья? Проблемы известны, а что тут конкретно предлагается непонятно.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          –3
                          Комментаторы такие комментаторы. Вместо того, чтобы использовать возможность и узнать побольше, они принялись постить линки на лукмор. Ведь они точно знают, что они умнее и опытнее любого сотрудника ЛК и всех сотрудников ЛК вместе взятых.

                          Мне вот интересно — ок, отсеяли мы всю незаявленную функциональность. А разве комбинация заявленных функциональностей не может привести к неприятным последствиям? Ведь если я правильно понял статьи про stuxnet, то зараженные ПЛЦ-шки вполне себе штатную функциональность реализовывали — регулировали обороты турбин. Только на определенных оборотах возникали вибрации, приводящие к механическому разрушению. Но функциональность ПЛЦ-шек-то была вполне себе заявленная?
                            +3
                            Технической инфы мало крайне.
                            Только вода, увы.
                            Целый же спектр проблем, начиная от архитектуры ОСи (к примеру, как совмещать RT-составляющие с userland-драйверами), кончая совместимостью с существующим окружением.
                              +1
                              >> ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля.
                              успехов — существующие оси писались не один год, та же 8ка имеет в своей основе кучу кода еще с win2k. Соответственно и ядра Linux и т.п. тоже не с нуля писаны.
                              >> В целях гарантии безопасности она не должна содержать ошибок и уязвимостей в ядре.
                              Вот кто из нормальных программеров поклянется, что его код не содержит ошибок?? Любой софт содержит баги априори.

                              Как показывает практика, взламывается все что угодно, если это кому-то нужно и оплачено соответствующей суммой северо-американских рублей.
                              Смахивает на пиар на тему «мы такие крутые, что доросли до уровня промышленного софта» :)
                                +2
                                "— ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля."

                                Мы считаем, что существующие наработки в области безопасности слишком долго делались, слишком много умных людей тратили своё время на них, так что мы решили сами сделать всё с нуля так, чтобы все грабли были наши. Даже если это будет банальное отсутствие стековых канареек.
                                  0
                                  Как Яндекс? Возьмут дистриб линукса, добавят Яндекс.браузер и научат тормозить по канонам Касперского? :)
                                    0
                                    Читайте не только заголовок. Было б неплохо, еслиб они взяли хоть что-то за основу, но ЛК хочет всё с нуля сделать
                                      0
                                      Тег «сарказм» забыл поставить: то что заявлено в пресс-релизе обычно отличается от того, что получается в итоге.
                                      Не факт, что в итоге не получится «очередной Bolgenos».
                                        0
                                        Придумать можно что угодно, но мы ведь строим предположения, опираясь на пресс-релиз, верно?

                                        А что получится — увидим. Тогда и будем тыкать пальцем
                                          0
                                          Согласен, но рассматривая данную концепцию, в итоге мы получим проприетарную ОС в виде «черного ящика», что значительно сократит количество возможного обслуживающего персонала и программистов, плюс к этому специфическое ПО создаст необходимость переобучать массу людей, что в дополнение к специфической ОС (которая не факт что не будет жестко привязано к«железу» и будет иметь долгосрочную поддержку и обновление ОС) существенно увеличит затраты по внедрению и поддержке, а также может сократить жизненный цикл программного и аппаратного комплекса.

                                          Поэтому если говорить серьезно, описание концепции мне напоминает, а вернее заставляет представить, «шаг в прошлое», когда под определенное «железо» писалась определенная ОС и был «собственный ассемблер».

                                          Да — безопасно, но — один раз обучив мы получим узкоспециализированного специалиста, то есть потеряем унификацию, а на производстве в условиях НТР чрезвычайно важно уметь гибко перестраиваться.
                                            0
                                            Согласен

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое