«Сегодня АСУ ТП не защищают ни воздушный зазор, ни проприетарные протоколы» — интервью с Владимиром Карантаевым

    Общественность регулярно будоражат сообщения о кибератаках на промышленные предприятия разных стран. Российские регуляторы требуют обеспечить защиту объектов, имеющих критически важное значение для функционирования экономики.

    Публикуем интервью с Владимиром Карантаевым, руководителем рабочей группы CIGRE по вопросам кибербезопасности (Implementation of Security Operations Centers in Electric Power Industry as Part of Situational Awareness System), руководителем направления кибербезопасности АСУ ТП компании «Ростелеком-Солар», — о трендах атак на сегменты АСУ ТП, архитектурных проблемах в безопасности промышленного интернета вещей, программе «Цифровая экономика» и необходимых шагах для защиты промышленных предприятий от киберугроз.



    — Обычно разговор со специалистом в области информационной безопасности начинается со «страшных историй», будоражащих воображение обывателей. Расскажите о Вашем отношении к наиболее ярким событиям такого рода, связанным с промышленными предприятиями.

    — Да, пресса любит обсуждать громкие истории кибератак. Наверное, впервые о целевых кибератаках, направленных на объекты промышленности, заговорили в связи с вирусом Stuxnet. Его до сих пор часто приводят в пример, хотя с момента инцидента прошло уже больше 10 лет, и о нем написано несколько книг. Из более недавних кейсов – вредонос Industroyer, который привел к массовым отключениям электроэнергии на Украине в конце 2015 года, и Triton, обнаруженный на нефтехимическом производстве в Саудовской Аравии летом 2017 года.

    Я вижу за этими событиями определенный тренд. По разным оценкам специально для атак на АСУ ТП было разработано не более 5 видов специализированного вредоносного ПО, из них только 3 были направлены непосредственно на нарушение технологического процесса. И вот появился Triton – атака, конечной целью которой является наступление физических последствий для функционирования опасных производственных объектов (ОПО), т.е. срабатывания, так называемых HSE-рисков, оценка которых в последние годы входит в практику менеджмента ОПО. Этот кейс принципиально отличается от того, что было раньше. На мой взгляд, Triton вывел угрозы кибербезопасности АСУ ТП на следующий виток развития.

    Вирус Triton был ориентирован на конкретный тип автоматизированной системы – противоаварийную защиту (ПАЗ), которая является «последним рубежом» безопасного функционирования ОПО. Сегодня ПАЗ поддерживают удаленное конфигурирование с рабочих мест по сети, на это и была направлена атака. Ее конечной целью была подмена легитимного процесса конфигурирования контроллера ПАЗ с возможностью скорректировать его настройки. Способствовало этому, в частности, и то, что архитектурно ни ПО для конфигурирования, ни сетевой протокол не предусматривали меры безопасности. Это при том, что на уровне нормативно-технической документации меры кибербезопасности были описаны еще в 2013 году. Если бы атака оказалась успешной, скорее всего, это привело бы к физическим последствиям для предприятия.

    — Предприятие могло предпринять меры защиты?

    — Да, предприятие, эксплуатировавшее контроллер ПАЗ, могло принять определенные меры: использовать харденинг ОС на АРМ с инженерным ПО, организовать и имплементировать меры по идентификации и аутентификации, мониторингу с помощью SOC критичных систем и процессов подобного типа АРМ. Особенность в том, что аппаратный ключ контроллера ПАЗ по непонятным причинам находился в положении, позволявшем осуществлять программирование и конфигурирование. Можно и нужно было применять организационные меры, регламентирующие использование подобного режима при эксплуатации.

    При этом стоит отметить, что производитель систем может предпринять и куда более широкий спектр мер. Например, внедрить и использовать доверенную операционную систему, защищенный протокол, обеспечить механизмы идентификации и аутентификации субъектов и объектов доступа как на уровне людей, так и на уровне процессов, обеспечить доверие при конфигурировании и т.д.

    Компания Schneider Electric – на пострадавшем заводе работал контроллер этого производителя – занялась соответствующими доработками своих продуктов. Однако это дело небыстрое, и плохо, что мы наблюдаем прецедентный характер действий, ведь последствия даже одной успешной атаки могут быть катастрофическими. Нужно думать о превентивных мерах по реагированию на угрозы и риски.

    — В мире кто-то думает превентивно?

    — Идут серьезные процессы по созданию промышленных технологий будущего: инициатива Industry 4.0 в Германии, которая, по задумке авторов, должна помочь миру перейти к новому технологическому укладу. Американская инициатива промышленного Интернета вещей (Industrial Internet of Things, IIoT): она базируется на схожей идее, но охватывает больше секторов экономики. Национальные программы такого рода появились в Китае, Японии.

    Очевидно, что любая страна, которая считает себя серьезным игроком на мировой арене, должна реагировать на подобные вызовы и формировать свою внутринациональную повестку. У нас она обрела форму государственной программы «Цифровая экономика».

    — Вы считаете, что наша «Цифровая экономика» – это проект масштаба IIoT в США?

    — Это так. По сути, последние 7 — 8 лет мы наблюдаем, как в международном пространстве активизируется глобальная стратегическая борьба за технологическое лидерство, которое определит доминирующие концепции и подходы на ближайшие 30-50 лет. Результат этой борьбы сводится, по сути, к трансформации бизнес-моделей, которые, в свою очередь, основываются на конкретном наборе технологий. Они в наших российских документах получили название сквозных технологий.

    Собственно, основой цифровой экономики является определенный стек технологий, включая такие, которые повышают эффективность функционирования промышленных предприятий в разных отраслях на основе автоматизации (или цифровизации). В настоящий момент основой этой автоматизации являются системы АСУ ТП, внедрение которых началось еще в Советском Союзе в 70-х годах прошлого века. Тогда появились первые программируемые логические контроллеры, что дало серьезный стимул для развития промышленности развитых стран. А сегодня мы подходим к рубежу, за которым начинается следующий этап глобального бурного роста, и его основой, вероятно, будет набор технологий под названием «Промышленный Интернет» или Industrial Internet of Things.

    — Речь идет не о публичной сети Интернет?

    — IoT в общем случае охватывает две сферы: пользовательский (или консьюмерский) Интернет вещей, в котором появляются различные носимые подключаемые устройства: для медицинских целей, фитнеса и т.д., и промышленный IIoT – совокупность технологий, которые обеспечат повышение эффективности предприятий уже сейчас и в ближайшем будущем. О них мы и говорим – о тех технологиях, которые должны привести к повышению эффективности функционирования конкретных предприятий, отраслей и национальной экономики в целом. Параметры этой эффективности будут определяться набором технологий (Международный союз электросвязи называет их инфокоммуникационными), которые будут использоваться при организации взаимодействия элементов или объектов внутри инфраструктуры или между разными инфраструктурами.

    — Задача масштабная. Как она продвигается в части технологий промышленной автоматизации, в сравнении, скажем, с IIoT?

    — Что касается IIoT, то развитием концепции занимается Международный консорциум промышленного Интернета (Industrial Internet Consortium, IIC). Его цель – способствовать ускорению той самой цифровой трансформации предприятий и национальных экономик, в частности, за счет продвижения лучших практик. Они создают документы доктринального уровня, появляются первые документы класса white paper, то есть технические документы, разъясняющие те или иные конкретные технологии для тех специалистов, например, разработчиков прикладных систем. Поскольку тема кибербезопасности является ключевой для промышленных систем, соответствующие технологии должны рассматриваться как сквозные, пронизывающие все процессы и уровни. В этом ключе разрабатываются новые подходы к безопасности систем промышленного Интернета.

    — Как продвигается работа над технологиями промышленной автоматизации будущего в российских структурах?

    — Существуют специальные рабочие группы, куда входят, в том числе, и эксперты «Ростелеком-Солар», которые формируют повестку развития этих технологий, в частности, по кибербезопасности киберфизических систем и систем промышленного Интернета. Есть общее понимание, что объектом защиты сегодня являются процессы взаимодействия элементов как внутри предприятия, например, на уровне АСУ ТП, так и между предприятиями, например, в рамках вертикально-интегрированных холдингов или даже между холдингами. Это, в свою очередь, подразумевает трансформацию бизнес-моделей.

    Здесь крайне важно, что такого рода трансформации требуют очень глубокой интеграции технологических и бизнес-процессов между предприятиями одной отрасли или даже разных отраслей. Это позволит предприятиям оперативно создавать и выпускать на рынок новые продукты, более персонифицированные с точки зрения целевой аудитории. Это означает, что технологии, которые уже сегодня достаточно широко используются на современных предприятиях, получат еще более обширное распространение. Иными словами, это будет набор разнообразных телекоммуникационных протоколов: от протоколов низкого уровня до протоколов, по которым будет происходить взаимодействие между автоматизированными или роботизированными системами, образующими те самые кибер-физические системы. И, кроме того, будут еще разнообразные информационные технологии – совокупность общесистемного и прикладного ПО. В этом есть риск.

    — Риск ошибиться с выбором технологий?

    — Поскольку промышленный Интернет – это совокупность инфокоммуникационных технологий, пронизывающих всю систему снизу доверху: от интеллектуального датчика до системы, которая управляет технологическим процессом или выдает конкретное задание или формирует прогноз, то и тема кибербезопасности является сквозной. В этом смысле методы обеспечения безопасности должны присутствовать в разработках новых технологий изначально, еще на уровне формирования требований. Они должны применяться как к системе в целом, так и к технологиям, на которых эта система реализована.

    Естественно, в разных отраслях эти системы имеют и будут иметь свою специфику. В электроэнергетике, например, даже сам термин «промышленный Интернет» не прижился, там говорят о технологиях Smart Grid или активно-адаптивной сети, хотя задача в общем случае та же самая: интеллектуальный датчик, например, трансформатор тока, напряжения – это та же система верхнего уровня. То же в нефтегазе: от интеллектуального датчика уровня давления и других датчиков – до системы поддержки принятия решений. Кибербезопасность – это набор сквозных технологий и методов, которые должны обеспечить устойчивое функционирование киберфизических систем.

    Однако в программе «Цифровая экономика», как мне кажется, эта серьезная составляющая разработки будущих технологий практически не нашла отражения, а ведь речь идет, напомню, о безопасности промышленных систем. Это направление выделено в отдельную группу, а нужно – обязательно нужно – чтобы тема кибербезопасности присутствовала в каждой рабочей группе, в каждой вертикали, где обсуждаются сквозные технологии. Мы за это всегда ратуем и надеемся, что нас услышат.

    — Почему недостаточно заниматься вопросами безопасности отдельным коллективом, так сказать, сугубо профессиональным?

    — Дело в том, что речь идет об очень сложной многоуровневой системе обмена данными. Как я уже говорил, необходимо сформировать технические требования по кибербезопасности и к целой системе, и к ее элементам. Но это не все. Мы должны сформировать такие требования по кибербезопасности, которые базируются на адекватной модели угроз и модели нарушителя для элементов и для систем. Понятно, что эти задачи можно выполнить с нужным качеством, лишь работая внутри тематических групп на постоянной основе. Формирование комплексного предложения по кибербезопасности IIoT возможно на основе сформированных экосистемных партнерств.

    Если эти специфические особенности не заложить еще на этапе формирования дорожной карты «Цифровой экономики», то соответствующие работы не будут выполнены. А если мы не сформируем базовые требования к элементам системы и системе «Цифровой экономики» в целом, значит, не будет требований к технологиям, которые должны появиться: технологиям микропроцессорной защиты, защищенных протоколов, защиты заказных микросхем ASIC, прочих чипов, систем-на-кристалле и т.д.

    — Что сегодня является основной киберугрозой для систем АСУ ТП? Целенаправленные атаки типа Triton?

    — Статистика говорит о том, что АСУ ТП сегодня достаточно сильно интегрируются с системами верхнего уровня (диспетчерские системы SCADA или системы управления цехом MES), поддерживая интенсивный двусторонний обмен данными, а уровень мер защиты, как организационных, так и технических, на уровне АСУ ТП зачастую достаточно низкий.

    И вот что важно: если говорить в терминах пяти уровней систем предприятия, то на верхних уровнях в последние годы худо-бедно занимаются безопасностью, а вот на нижних – не занимаются практически никак. В такой ситуации интеграция уровней однозначно приводит к повышению рисков. Угрозой для непрерывности функционирования завода становятся не только таргетированные атаки, но и любые другие компьютерные инциденты, включая массовые неспецифические кибератаки типа WannaCry и Petya. Отмечены случаи заражения этими вирусами промышленных предприятий: изначально атака, вполне вероятно, не была ориентирована на АСУ ТП, но она случайно попала в инфраструктуру.

    Действительно, часто на предприятиях нет управления информационным потоками, как нет и актуальных обновлений безопасности. Нет выстроенных процессов реагирования на эту ситуацию. Если где-то на уровне корпоративных систем началась массовая атака WannaCry, она легко может перейти на уровень АСУ ТП и будет «жить» в этой структуре. Условно говоря, зловред, который реализует атаку типа «отказ в обслуживании», при массовом заражении АСУ ТП вполне может оказать воздействие на сам технологический процесс. К сожалению, далеко не все предприятия этот риск осознают. Они часто успокаивают себя мыслью: «В качестве объекта таргетированной атаки я никому не интересен, значит, проблем с кибербезопасностью производства у меня нет». Но это не так.

    Главная проблема сегодняшнего дня заключается, на мой взгляд, в том, что промышленный Интернет будущего, понимаемый как совокупность технологий, изначально имеет серьезную уязвимость – современные телекоммуникационные протоколы, программное и аппаратное обеспечение разных уровней, используемые для создания критических систем, изначально не защищены от воздействия на них компьютерных атак.

    — Это проблема всех отраслей?

    — Всех. Сегодня отчетливо проявляется тенденция унификации и использования в системах АСУ ТП технологий из мира ИТ: коммутационное оборудование, стек телекоммуникационных протоколов. Возьмите, к примеру, электроэнергетику. Цифровые подстанции используют протоколы, базирующиеся на стеке TCP/IP. А то, что TCP/IP изначально уязвим перед компьютерными атаками, знает любой начинающий специалист в области ИБ. Во всех отраслях широко используются операционные системы общего применения, у которых огромное количество регулярно выявляемых уязвимостей, а специфика эксплуатации на промышленных предприятиях не позволяет быстро их закрывать. То же относится и к встраиваемым операционным системам. На верхних уровнях АСУ ТП работают SCADA-системы диспетчерского управления – фактически обычные АРМы и серверы под управлением ОС общего назначения.

    — Объем внедрений новых технологий можете оценить?

    — Возьмем электроэнергетику – в отрасли уже объявлена программа цифровой трансформации. А у нас в стране на настоящий момент всего пять цифровых подстанций. Пять! Но за 10 лет должны быть созданы сотни тысяч. Это не игра слов, это реальность – настоящий новый «план ГОЭЛРО». Если эти типизированные решения будущего не будут тщательно проработаны с точки зрения кибербезопасности, они, безусловно, появятся, но в каком виде?

    Поэтому я и уверен: если мы не сформируем системные требования по кибербезопасности уже на текущем этапе, это станет ограничивающим фактором для появления эффективных технологий безопасности в технологиях будущих систем и заложит системный риск того, что они изначально будут уязвимы перед компьютерными атаками. И это при том, что такие системы призваны функционировать в будущем в системообразующих отраслях экономики: энергетике, нефтегазовом секторе, металлургии, сельском хозяйстве, где сейчас даже обычный зерновой комбайн уже превращается в «станок с ЧПУ» – «вещь» промышленного Интернета.

    — Каково сейчас состояние тех промышленных предприятий, которым предстоит пройти цифровую трансформацию в сторону киберфизических систем будущего?

    — Их текущее состояние, с точки зрения автоматизации производств в разных отраслях, крайне неоднородно. Сказывается наследие постсоветских времен. Хотя это было 30 лет назад, но эти десятилетия для каждой отрасли прошли, мягко скажем, по-разному. Некоторые в меру возможностей и экономической ситуации в стране развивались. Некоторые даже смогли в той или иной мере модернизировать свои основные фонды и технологические процессы. Среди, скажем так, «догоняющих» отраслей есть и такие, для кого проблематика кибербезопасности АСУ ТП совсем не актуальна. «У нас нет никаких микропроцессорных устройств, которых следует опасаться. У нас реле с пружиной. Единственная угроза – это устаревание и Петрович с отверткой, который эту пружину неправильно подкрутил», – можно услышать от них. Там, конечно, проблем кибербезопасности АСУ ТП нет. Актуальны они на предприятиях, которые находятся, как минимум, на высокой степени телемеханизации, ведь основой нынешней автоматизации стали индустриальные системы, архитектурно построенные без учета вопросов информационной безопасности. Например, телекоммуникационная сеть АСУ ТП изначально интегрирована на уровне проекта с офисной сетью предприятия. Это очень плохое решение.

    — И с доступом в публичный интернет?

    — К сожалению, не могу назвать это шуткой, потому что такое тоже встречается. Для тех, кто сомневается, могу порекомендовать ресурс Shodan. Чаще встречаются «плоские» сети: если злоумышленник (или вредоносное программное обеспечение) попал на верхний уровень, то он может провалиться до нижнего уровня со всеми соответствующими возможностями развития атаки.

    — Некоторые специалисты считают, что с точки зрения безопасности вместо того же TCP/IP лучше использовать какой-нибудь проприетарный протокол. Вы согласны?

    — Это миф, который давно развеян. Те, кому надо, давно научились эти протоколы изучать и использовать в своих целях. То же касается и Air Gap – так называемого воздушного зазора – идеи изолированной среды. Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, при желании его легко преодолеть. Все истории с подброшенными флешками, зараженными вредоносным ПО, – об этом.

    Тут следует похвалить вендоров. Например, в новых версиях операционных систем многие стали уделять больше внимания вопросам кибербезопасности, добавлять в свои продукты механизмы защиты. Но к этому решению они шли долго, лет десять. Но и мы за это время тоже прошли большой путь: от непонимания, даже некоторого неприятия темы кибербезопасности производственных средств АСУ ТП до нынешнего момента, когда наиболее дальновидные предприятия уже начали формировать собственные планы по развитию АСУ ТП в парадигме сквозной системной безопасности.

    — Какие ориентиры они при этом используют?

    — Наше государство начало формировать методическую и нормативно-правовую базу регулирования в этой сфере достаточно давно. Более 10 лет назад ФСТЭК, отраслевой регулятор в сфере ИБ, выпустил первый документ с требованиями по защите АСУ и АСУ ТП, где были описаны модели угроз. В 2016 году была принята новая доктрина информационной безопасности Российской Федерации. Там одна из ключевых тем – безопасность критической информационной инфраструктуры (КИИ) Российской Федерации. Отдельно отмечу, что в Доктрине специально подчеркнуто: риском для РФ является использование информационных технологий, изначально не защищенных против действий компьютерных атак.

    Есть так же приказ №31 ФСТЭК Росси от 2014 года «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» и 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 2017 года.

    Так что те организации, которые еще в 2014 году начали планомерное развитие с использованием предложенных государством наработок, сегодня находятся в завидном положении – им не нужно в срочном порядке начинать реализацию ФЗ-187 с нуля.

    — Каково в среднем состояние автоматизации предприятий в тех отраслях, которые попали под регулирование ФЗ-187?

    — Наиболее массово оно охватывает отрасли, которые имеют достаточно развитые АСУ ТП (в терминах закона – АСУ): электроэнергетика, ТЭК, ОПК, атомная отрасль, металлургия, химическая, горнодобывающая отрасль и т.д. Однако уровень защищенности инфраструктуры промышленных предприятий остается недостаточным. Вступление в силу ФЗ-187 придало процессу положительную динамику, но большинство текущих проектов по защите критической инфраструктуры находятся на ранней стадии. Этим предприятиям крайне важно сосредоточиться на повышении реальной защищенности своих систем, а не формальном соответствии букве закона.

    — Как не перепутать формальный compliance с практической защищенностью?

    — Полезно проводить анализ своих промышленных систем с помощью оценки зрелости кибербезопасности АСУ ТП на конкретном предприятии. Этот эмпирический критерий подразумевает четыре стадии.

    Первый этап: есть внедренные АСУ ТП, высокий уровень массовой автоматизации (для отрасли), но не реализованы базовые функции кибербезопасности. То есть того, что мы называем кибергигиеной, нет даже в минимальном объеме.

    Второй этап: в системах АСУ ТП реализованы базовые функции безопасности. Например, так называемый, харденинг – специфическая настройка операционных систем с целю снижения вероятности наступления компьютерного инцидента на верхнем уровне АСУ ТП. Или применяются неспецифичные средства защиты информации, скажем, межсетевые экраны на периметре АСУ ТП или неспециализированные IDS (Intrusion Detection System, системы обнаружения вторжений).

    Третий этап: появляются средства защиты информации, специально разработанные для применения в АСУ ТП, но являющиеся по отношению к ним наложенными системами. Это могут быть специализированные антивирусы или специализированные межсетевые экраны. Такие продукты есть, но, к сожалению, среди них мало российских разработок.

    Четвертый этап: эффективный симбиоз встраиваемых средств защиты информации, например, с использованием индустриальных систем IDS. Или вариант, когда функции безопасности реализованы посредством самих АСУ ТП – в контроллерах, в системах верхнего уровня. По сути, в этом случае реализуется концепция целевой сквозной кибербезопасности.

    — Средства измерения степени реальной защищенности отрасли существуют?

    — Для настоящего момента характерно отсутствие какой-либо статистики по отраслям. А раз нет статистики, значит, как полагают некоторые предприятия, нет проблем и необходимости что-либо предпринимать. Думаю, эти настроения будут сходить на нет по мере широкого распространения системы ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), что также регулируется ФЗ-187. По мере подключения предприятий к ГосСОПКА — либо самостоятельно, либо через аутсорсинговый центр мониторинга — статистика будет появляться. И таргетированные атаки будут учтены, и неспецифические.

    Понятно, что параллельно с технологиями должно происходить повышение уровня зрелости и процессов управления безопасностью. И эта задача далеко не всегда решается быстро и легко.

    — Какие проблемы чаще всего возникают в этой части?

    — Есть одно требование закона, которое вызывает у предприятий определенные трудности. Оно детализировано в Постановлении Правительства РФ №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 г. По закону субъект КИИ сам должен проводить категорирование, но зачастую даже у продвинутых предприятий недостаточно внутренних компетенций, чтобы правильно оценить все множество актуальных для него рисков.

    Здесь мы выступаем в роли экспертного партнера, который обладает широкими методически выверенными знаниями о рисках и возможных последствиях. Это вовсе не запугивание, как можно подумать, и не «торговля страхом». Мы вступаем в экспертный диалог с представителями отрасли: главными инженерами, технологами, метрологами. Это те люди, которыми обычно пугают безопасников: мол, вы с ними никогда ни о чем не договоритесь. Ничего подобного! Это люди, которые всю жизнь живут под грузом ответственности, и очень хорошо отличают звонкие слова от реальной экспертной поддержки. Они прекрасно понимают: если категорирование проведено качественно, то это первый шаг к формированию взвешенного подхода к безопасности.

    Мы предоставляем сервис комплексного анализа защищенности АСУ ТП и промышленного Интернета. Он подразумевает анализ инфраструктуры заказчиков на наличие архитектурных проблем, связанных с кибербезопасностью АСУ ТП. Анализ текущего уровня защищенности, проверка на наличие в инфраструктуре известных уязвимостей на уровне как операционных систем, так и микропрограммного обеспечения, встроенного в оборудование АСУ ТП на среднем уровне. Вплоть до проведения пентеста АСУ ТП.

    — Прикладное ПО тоже способно стать источником проблем с безопасностью?

    — Конечно. Проработкой этих рисков на постоянной основе занимается наш регулятор. В 2015 г. ФСТЭК России выпустил национальный стандарт средств безопасной разработки ПО, а недавно – так называемые «Требования к доверию» – обязательные требования для всех разработчиков средств защиты информации. Одно из них – обеспечение безопасной разработки. Это, на мой взгляд, та серьезная системная мера, которая поможет повысить защищенность производственных систем. Но я думаю, что аналогичные требования должны исходить не только от государства, но и от владельцев инфраструктуры.

    — Даже если это коммерческое ПО?

    — Заказчик имеет полное право поставить условие, что поставщик решения АСУ ТП должен иметь у себя развитые процессы безопасной разработки. Например, международные вендоры, скажем, Schneider Electric или Siemens внедрением таких механизмов уже занялись в соответствии с международным стандартом МЭК 62443-4-1 «Сети промышленной коммуникации. Безопасность сетей и систем». По этому пути двинулись и российские вендоры – мы с ними начали работу по выстраиванию системы рекомендаций в части безопасной разработки с использованием статического анализатора кода. Кроме того, методы безопасной разработки (Security Development Lifecycle, SDL) могут использовать и сами предприятия для проверки нового ПО на безопасность. Конечно, это потребует некоторых ресурсов, но затем затраты стабилизируются и через некоторое время происходит общее повышение качества ПО и снижение количества уязвимостей.

    — Есть ли какая-либо специфика, с точки зрения системного подхода к безопасности, у свободного ПО, например, ОС Linux?

    — Применение Linux в АСУ ТП встречается. Даже, наверное, можно говорить о некотором тренде в сторону большего применения Linux на разных уровнях АСУ ТП: в качестве операционной системы на верхнем уровне операторско-диспетчерского управления (SCADA) или встраиваемой операционной системы на уровне контроллеров. Здесь важен следующий момент. Если какая-либо ОС на базе Linux будет использоваться в АСУ ТП, то для повышения уровня доверия к ее использованию она должна пройти сертификацию, например, по двум типам требований.

    Первая сертификация – по требованиям к надежности функционирования ПО. Такие требования есть, например, в стандарте МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью». Вторая сертификация – по требованиям, например, к доверию с точки зрения информационной безопасности.

    И, наконец, операционная система, реализованная на базе Linux, может содержать так называемую модель безопасности. Есть специальные требования, в том числе, ФСТЭК России, к операционным системам реального времени. Таким образом, реализовав систему, отвечающую сегодняшним конкретным требованиям, мы получим ОС, удовлетворяющую требованиям надежности, и оптимальную, с точки зрения безопасности.

    — Но проще всего не рисковать, а пользоваться только сертифицированными регулятором средствами безопасности?

    — У нас в законе о техническом регулировании приводится несколько методов оценки соответствия разработанного продукта заявленным характеристикам. Сертификация – один из них. Еще одна форма оценки соответствия – приемо-сдаточные испытания. Но в этой части, надо сказать, пока нет развитых подходов и методологической поддержки. Мы планируем двигаться обоими путями, и для второго сейчас создаем «Лабораторию кибербезопасности АСУ ТП». Одна из ее целей – формирование методологической базы испытаний систем АСУ ТП по параметрам кибербезопасности.

    Мы – наша страна в целом – находимся сегодня в активной фазе формирования собственного технологического задела в масштабе государства, и это здорово. При этом мы понимаем, что, если сейчас на старте не принять сбалансированного решения о системных подходах к формированию архитектурного облика этого задела, дальнейший путь может оказаться крайне неэффективным. Поэтому при формировании дорожной карты программы мы вышли с инициативой: должны быть разработаны разного вида и типа модели угроз нарушителя – как для элементов системы, так и системы в целом, в зависимости от формируемой дорожной карты.

    К примеру, создается дорожная карта, скажем, развития промышленного Интернета в конкретной отрасли. Для нее у нас есть конкретные архитектурные принципы построения, типы используемых инфокоммуникационных технологий на каждом из уровней. Тогда для «Цифровой экономики» в целом будет создаваться фреймворк безопасности.
    Ростелеком-Солар
    287,77
    Безопасность по имени Солнце
    Поделиться публикацией

    Комментарии 69

      0
      телекоммуникационная сеть АСУ ТП изначально интегрирована на уровне проекта с офисной сетью предприятия. Это очень плохое решение.

      Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, при желании его легко преодолеть.

      нет ли здесь противоречия? или я не понял смысл слов «интегрирована на уровне проекта»?
        +1
        На мой взгляд — нет. Первый тезис говорит о том, что построение промышленной сети в единой схеме с офисной — очень плохо.
        Второй — разделение этих сетей «воздухом» недостаточно для обеспечения безопасности.
          0
          Я писал про два разных кейса или случая.
          В первом – АСУ ТП и КС объединены. Такое можно встретить на небольших предприятиях с низкой технической культурой.
          Во втором – да. Я имел в виду, что воздушного зазора недостаточно и хотел подчеркнуть это. Понятно, что об этом говорилось и писалось ранее. Но по прежнему многие специалисты считают, что такой проблемы нет.
            0
            «Такое можно встретить на небольших предприятиях с низкой технической культурой.» =)) ну тогда известную компанию на букву Р (многие подразделения), тоже можно причислить к небольшим ;-)))

            ЗЫ Скоро выставка как раз, где большинство производителей будет — с 3 по 6 декабря на ВДНХ
              0
              Я такое встречал и на ПС некоторой компании… Никому не говорите.
                0
                ТЭЦ, ТЭС, ГЭС тоже, от бедности физически сеть одна, может быть, если смогли найти резервы есть разделение на подсети, а так при некоторой сноровке на какой-нибуть терминале станции мониторинга, народ измудрялся по однокласникам шляться…
          0
          С каких пор Linux стал операционной системой реального времени ?!? или я не корректно понял? И где можно увидеть «Есть специальные требования, в том числе, ФСТЭК России, к операционным системам реального времени.»?
            0
            RTLinux? ru.wikipedia.org/wiki/RTLinux
            Т.е. пингвин — не РТОС, но использовать его, как idle процесс РТОС для определённых задач — реально.
              0
              С этим не спорю, знаю что можно так использовать, но тоже требуется дорабатывать linux.
              0
              уже используется и вполне неплохо, но ввиду небыстрого обновления дыры закрываются медленно или никогда.
              0
              Montavista Linux широко используется для встраиваемых систем, начиная с версии 5 — система реального времени.
                0
                Спасибо, гляну. Правда у нас она небось не сертифицирована, но все же.
                0
                Речь шла не обязательно про ОСРВ. Настоящий ПЗ определяет требования безопасности к операционным системам реального времени (тип «В») .
                По ссылке методические документы ФСТЭК России для ОС Типа Б и Типа В.

                0

                А что скажете делать с такой проблемой?
                Цифровые подстанции переходят на Ethernet, а именно на МЭК 61850. Там есть такие протоколы GOOSE и 9-2 Sampled Values, которые используются для автоматики и защиты в реальном времени. По ним передаются мгновенные измерения токов и напряжений, а также сигналы управления контакторамы и защиты.
                Так вот из-за серьезных ограничений по задержке все эти данные передаются просто в виде стандартных multicast и broadcast MAC фреймов. Никаких шифрований, никаких сертификатов. В лучшем случае настраивают VLANы, так как свичи с сертификацией для подстанций дорогие, поэтому экономят на физическом разделении сегментов.
                Т.е. подслушать и подменить информацию в этом случае, в результате полностью нарушив логику работы подстанции — не составит проблем. Меня это очень пугает.

                  0

                  VLAN — довольно надежная защита, если порты коммутаторов мониторить. Если уж злоумышленник проникнет на объект, ему будет куда проще физически воздействовать на оборудование, чем изучать настройки коммутаторов.

                    +1

                    Для современных хакеров проще изучить настройки коммутаторов, вы не находите?
                    Тем более если он получит удаленный доступ к какой-нибудь SCADA машине, а она имеет подключение через тот же свич, злоумышник заходит на свич и меняет настройки как хочет...

                      0

                      Если хакер получит доступ к SCADA — то шифрование пакетов между устройствами уже не будет ни на что влиять: хакер просто воспользуется штатными возможностями SCADA для своих дел.

                        0
                        Если только WEB-морда свича не находится в другом VLAN.
                        0
                        Сетевое оборудование может быть скомпрометировано
                          0
                          сетевое оборудование может быть не настроено нормально, только что то по простой методичке и не важно насколько оборудование может быть сертифицировано тем же ФСТЭК и «товарищами», только без правильной настройки это будут стальные бронебойные ворота при отсутствующем каком либо заборчике. Потому что персонал не знает как настраивать или не желает ввиду бюджетности (все освоили до нас) оплаты.
                          0
                          vlan спасает до того момента пока он работает, есть давно уже набор атак когда маршрутизатор ставится «раком» и из за перегрузки он может позволить всем устройствам видеть всех и никаких границ, так что только физическая изоляция может уменьшить вероятность атаки
                            0

                            Не могу представить каким образом такая атака может работать. Можете привести пример?

                              –1
                              посмотрите типы птак на маршрутизаторы, есть неокоторые которые вызывают перегрузку и сбой с весьма «интересными» для надежности и безопасности результатами.
                            0

                            Вот тоже интересно. Как такое может быть?

                          0

                          Уже во всю рисуют в проекты PRP, у тех свичей с 61850 порядок. Ну и как бы гуси по вланам, а для SV не положено отдельную "шину процесса" рисовать? там же не кисло траффика… Ну и цифровая подстанция и экономия… даже самые упертые адепты экономии на "меди" должны были уже понять

                            0
                            Конечно, для таких случаев надо бы EtherCAT использовать… что не уменьшает опасности!
                            А так, да — меня это тоже очень пугает…
                              +1
                              Это было на Касперком хаке показано еще в году так 2015-2016, что подменить или влезть в пакеты можно.
                                –1
                                Нет такой проблемы. Вас не пугает что сейчас кто-то может подойти и измерить напряжение или замкнуть контрольные кабели на обычной подстанции?
                                  +1
                                  Вас не пугает что сейчас кто-то может подойти и измерить напряжение или замкнуть контрольные кабели на обычной подстанции?

                                  Разница между физическим доступом и кибератакой в том, что в последнем случае вы даже не знаете кто и где что сделал. И подслушивание и ввод ошибочных данных может произойти абсолютно незаметно для системы.

                                    0
                                    Для кибератаки на подстанцию как раз и нужен физический доступ, так как сеть изолирована. Поэтому на самом деле разницы нет.
                                      0
                                      Даже если подать не правильную команду, набор команд бабаха не будет. Там есть защиты: механические, электрические. Так что для атаки нужен действительно физический доступ. Или речь не об этом?
                                        +1
                                        Если подать отдельную команду, то, скорее всего, ничего не будет, это верно. Но при этом, если комплексно подменить команды, оперативные блокировки, то физические последствия возможны. Дальше, конечно, есть разные варианты.
                                          0
                                          Если посмотреть вот тут, то еще в 2015 году все успешно «подожгли»
                                            0
                                            У вас ссылка потерялась.
                                              0
                                              походу не дает вставить из-за кармы, гуглите по словам «kaspersky-industrial-ctf», смотрите в 2015 встречу в Москве, я учавствовал только в внеочном отборе — выполнял задания. В очном, ребята, кто прошел, реальный макет линии подожгли, взломав оборудование по сети и обойдя все блокировки.
                                                0
                                                Про саму встречу нашел, а вот результатов как то не очень. А как подожгли? Все подстанции что я видел не позволяют одновременную подачу с двух вводов физически. Да контроллеров от сименса там нет. Все наши. Если только через повышение напряжения? Я вообще не представляю как можно подпалить подстанцию или кабеля. У меня в шкафах стоят расцепители минимального и максимального напряжения. И они аналоговые.
                                                  0
                                                  смысла поджигать подстанцию нет, задача атак только спровоцировать отключение по цепочке, для рассинхронищации сети, по системе посмотрите сколько раз уже станцит на ноль сажали последнее десятилетие а отруби подстанцию в нужном месте на короткий прежутоу и уже рассинхрон и разделение ЕЭС…
                                                    0

                                                    Это касается высокого напряжения? У нас вроде такое не возможно чтоб как домино просыпаться. Там же интересные техники применены. И генераторы сами в синхрон входят. Без цифровых сигналов. Только аналог только хардкор.

                                                      0
                                                      не возможно чтоб как домино просыпаться

                                                      Не знаю как сечас, но авария на подстанции Чагино такую возможность продемонстрировала.
                                                        0
                                                        Не только Чагино, к примеру блекаут, августа 2010 в Петербурге, когда отключился-разьединился бОльшая часть Северо-запада… пускались(в синхронизм входили) — от каскада Вуоксинских ГЭС…
                                                          0
                                                          вот вот, а если почитать учебники по энергетике, то развалить по синронизации систему можно и неправильными действиями («спасибо» ЕГЭ за качественное образование) а если еще неправильные действия спровоцировать то далеко не сразу будет заметна провокация (все будут заняты устранениями последствий и назначением виновного)
                                                          0
                                                          Что Вы подразумеваете под высоким напряжение? Потому как для всех, это может быть разным. Это как «вч-связь в энергетике» =) вроде и не вч, да и связь весьма своеобразная =)
                                                            0

                                                            35 кв и выше.

                                                0

                                                В том-то и дело, что в цифровой подстанции электрические блокировки заменены обменом данных по сети. А защита работает на таком принципе — где-то в одном месте стоит измерительный трансформатор, который 80 раз за сетевой период тупо шлет MAC фреймы в сеть. А само защитное реле стоит в другом месте и их принимает и по этому стриму решает, срабатывать или нет. Подменяем фреймы и получаем отключение защиты или наоборот срабатывание, когда нам нужно.

                                                  0

                                                  Да ну. Бред какой то. Так не делают. У меня знакомый подстанции собирает. Удалённое управление частично есть. Максимум можно погасить подстанцию. Я про подстанции 10к/400

                                                    0

                                                    Вы в курсе про МЭК 61850, GOOSE и SV?

                                                      0

                                                      Да. Изучил прежде чем комментировать. И там такого нет. Что защиты на несколько километров.

                                                        0

                                                        Я не говорил про защиты за несколько километров. Все в пределах подстанции. А они бывают большие.

                                            0
                                            А можно поподробнее про это? Разве подстанция не сама автоматизирована, и передает на верх только показания? Или теперь подстанциями можно управлять? Сеть то изолирована от интернета? Т.е к подстанциям идет отдельный кабель? Или поверх VPN?
                                            UPD. Или имеется ввиду низкий уровень с датчиками по Ethernet и высокий уровень со SCADA?
                                              0
                                              Подстанциями можно управлять удаленно, но пока не очень многими. При этом концепция развития ПАО «Россети» подразумевает переход к необслуживаемым, т.е. удаленно управляемым подстанциям. Это прямо написано в СТО ПАО «Россети».
                                              0
                                              Ответ лежит в плоскости практического применения стандартов МЭК 62351 и МЭК 62443. В целом можно предложить механизмы (над ними работают, в том числе, российские вендоры): комбинация наложенных и встраиваемых средств безопасности, в том числе криптографических. Это становится особенно важным по мере реализации концепции Smart Grid и ААС ЕЭС.


                                                0
                                                а кто реально понимает как его применять, да так что у он системе управления не мешал
                                              –1
                                              Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, при желании его легко преодолеть.
                                              Еще как есть, хотя конечно хочется продавать какую-нибудь систему кибербезопасности крупным заводам.
                                                –1
                                                Про преодоление воздушного зазора, это, конечно, перл. Преодолеть его можно только при физическом контакте (например, пробросить патч-корд), то есть это уже не кибератака и равноценна набросу железяки на шины)))
                                                  +1
                                                  В статье оговаривался человеческий фактор при преодолении воздушного зазора. Либо халатность, либо результат соц. инженерии.
                                                    0
                                                    В статье оговаривался человеческий фактор при преодолении воздушного зазора. Либо халатность, либо результат соц. инженерии.

                                                    Именно так. По преодолением воздушного зазора подразумевалась конкретная стадия APT-атаки или халатность, или действия нелояльного сотрудника.

                                                    В МЭК 62443 к информационному тракту, организованному и использованием съемных носителей также подразумевается предъявление требований по кибербезопасности.
                                                    0
                                                    Так похоже про это и речь. Взяли флэшку воткнули в офисе, переткнули в комп со скадой. Готово.
                                                    UPD. Часто бил по рукам, когда работники в комп со скадой, втыкали 3G модем музыку послушать.
                                                      +1
                                                      В некоторых компаниях отключены ВСЕ флешки, кроме отдельных -прописанных. Но ничто не запрещает подключить смартфон кабелем, который спокойно открывается как флешка.
                                                        0
                                                        На днях именно такую активность «поймали» при мониторинге АСУ ТП одного заказчика. Но там были флэшки.
                                                          +1
                                                          стухнет так и распространялся
                                                      0
                                                      Про ненадежность воздушного зазора — миф. Я делаю так:
                                                      ПЛК обменивается данными с компьютером с установленной SCADA посредством изолированных линий — RS485, как правило, является самым дешевым стандартом, дешевле чем ETHERNET, сам компьютер со SCADA не подключен к сети. На нем отключены USB порты (мышь и клавиатура через PS/2). Это решает большинство проблем с компьютерной безопасностью. Если нужно более сложная конфигурация — то прокладывается отдельная локальная сеть для АСУ ТП, не подключенная к интернету. Если интернет прямо так нужен — поднимается сервер — шлюз с VPN до другой такой-же изолированной сети.
                                                        0
                                                        А потом окажется что информацию можно считывать через электромагнитное излучение компьютеров, выводить жесткий диск из строя звуком, передавать звуковой сигнал лазером, и самое главное, можно просто подкупить человека, имеющего доступ.
                                                          +1
                                                          Некоторые скады защищены USB ключом. Как в этом случае быть? В компьютере может быть встроенный WiFi.
                                                            0
                                                            Да, Ваш принцип построения понятен. Но Вы в основном описали именно принцип построения АСУ ТП. При этом общий тренд – это переход на Industrial Ethernet, подключение к MES и иным системам. Понятно, что компьютер не подключен к сети, но при этом суть в том, что не доверенные съемные носители могут быть элементом комплексной сложной APT, вот о чем речь. По хорошему нужен регламент, т.е. организационные меры, и технические меры, которые предотвращают несанкционированное подключение. Хорошо, если вы один обслуживаете этот АРМ, а если их много? Вы делаете харденинг ОС? Про вторую часть я бы предложил еще организовывать ДМЗ, в нее выносить сервисы, нуждающиеся в удаленном доступе. Подумал бы о применении PAM.









                                                            0
                                                            большинство статей о безопасности только признают опасность, рекомендуют разграничивать доступ на станциях оператора, но самое опасное это то что скртпт-закладка легко может обойти все эти защиты, по нескольким признакам в правилах именования тегов(то же есть некоторый стандарт) найти уставки регулятора и защиты и изменить их, на выходе получаем что угодно от полета ротора паровой турбины раскрученной от отборов сквозь перекрытие цеха и маленького наводнения, до радиоктивного заражения после нерасчетных режимов реакторной установки… да что угодно если ещё это привязать к одному времени, то… думаю дальше не стоит продолжать.

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                            Самое читаемое