Рустам Хайбуллов. «Информационная безопасность АСУ ТП в энергетике»
Понятие «киберпреступление» прочно закрепилось в кругу специалистов по информационной безопасности, поскольку пространство угроз в ИТ-среде неуклонно расширяется, а традиционные инструменты защиты информационных систем не всегда оказываются способны противостоять новым типам атак, особенно на средства управления технологическими процессами.
Громкая история с вирусом Stuxnet, кибератака на один из металлургических заводов Германии, инцидент на южнокорейской АЭС, значительное число ИБ-инцидентов в России – эти и другие события вызвали повышенную активность хакеров в отношении поиска и попыток эксплуатации новых уязвимостей в ПО промышленных систем.
На защищенность АСУ ТП негативно влияет все возрастающая их интеграция с корпоративными системами управления (например, ERP), а также широкое распространение технологий удаленного доступа. Дополнительные риски ИБ возникают и на фоне планомерного перехода аналоговых технических средств на аппаратную платформу х86 и активного внедрения IP-технологий в среде АСУ. Совокупность этих факторов способствует формированию широкого спектра угроз со стороны внешней по отношению к АСУ сети.
Стоит также учитывать, что сложившаяся в мире политическая и макроэкономическая ситуация обостряет вопрос национальной безопасности и заставляет задуматься о степени защищенности производственных, энергетических и других предприятий, в том числе ввиду повсеместного использования потенциально уязвимого программного обеспечения.
Отдельное место среди уязвимых объектов занимают АСУ ТП на предприятиях энергетического сектора, интерес к которым со стороны потенциальных нарушителей в последние годы проявляется наиболее заметно. Попробуем разобраться, какие угрозы здесь представляют реальную опасность, на борьбу с чем следует тратить силы и как должна реализовываться информационная безопасность АСУ ТП.
Стратегия защиты АСУ ТП
При выборе стратегии защиты в первую очередь стоит принять во внимание, что целью ИБ является обеспечение надежного функционирования АСУ. Следовательно, любое вмешательство в работу АСУ (а надстройка по безопасности – это прямое или косвенное вмешательство) не должно ее дестабилизировать. В частности, если рассматривать энергосбытовую отрасль, в большинстве случаев сбой в работе АСУ ТП может вызвать цепную реакцию в нарушении функционирования промышленных потребителей электро- или теплоэнергии. Работа АСУ ТП в режиме реального времени накладывает существенные ограничения на использование активных методов обеспечения информационной безопасности. Например, если корректная команда управления будет воспринята средством защиты как потенциально опасный трафик, последует блокировка АСУ, и нормальный ход технологического процесса может быть нарушен.
Хорошей практикой, на наш взгляд, является градация защитных мер как минимум на две категории: те, которые применимы в основном режиме работы, и те, которые применимы только в технологическом (отладочном, тестовом) режиме. Проводить активное сканирование сетей АСУ ТП для поиска уязвимостей или выполнять работы по тестированию и установке обновлений системного и специализированного ПО допустимо только в технологическом режиме работы, когда производится настройка или профилактика системы. Для основного режима работы имеет смысл создать модель, которая, во-первых, обеспечит защиту от несанкционированного доступа (НСД) во внутренней сети АСУ ТП и отследит потенциально опасные события, а во-вторых – отразит атаки из внешних по отношению к АСУ систем, контролируя информационные потоки на границе сети.
При анализе защищенности АСУ ТП мы неоднократно обнаруживали возможность получения НСД к системам управления режимами работы вследствие эксплуатации различных уязвимостей: слабой парольной политики, вероятности вирусного заражения и т. д. Этот факт заставляет акцентировать внимание на защите автоматизированных рабочих мест (АРМ) и обучении персонала культуре информационной безопасности. При этом политика безопасности на АРМ операторов и диспетчеров может быть реализована с помощью стандартных механизмов защиты от НСД: аутентификации, блокирования физических портов, контроля состава установленного ПО и др.
Для АСУ, чувствительных к вмешательству в их деятельность, высокую эффективность показывает ситуационный центр ИБ (СЦИБ), который позволяет выявить потенциально опасные инциденты и сигнализирует о возможных нарушениях политик ИБ. Взвешенное решение о реагировании на инцидент принимают администраторы безопасности, которым эскалировано событие. Это существенно снижает риски ложного срабатывания блокирующих систем информационной безопасности. При внедрении СЦИБ разрабатываемые правила корреляции событий обязательно должны учитывать специфику работы АСУ ТП.
Как ни парадоксально это звучит, но установка каких-либо программ или обновлений на АРМ управления – это серьезный инцидент, на который система мониторинга и управления ИБ должна немедленно реагировать. По ряду причин, связанных с особенностями функционирования АСУ ТП, обновления ПО устанавливаются там крайне редко, исключительно после тщательного тестирования и положительного заключения разработчика о том, что данное обновление не приведет к каким-либо сбоям и ошибкам в работе. Поэтому требуется тщательный мониторинг журналов АРМ управления с тем, чтобы обнаружить попытки установить новый софт.
Наличие широких полномочий у сотрудников при доступе к АРМ управления порождает угрозу инсайдерских атак. Отсюда – настоятельное требование постоянного мониторинга журналов системы обеспечения доступа как к самому АРМ, так и специализированному ПО. Каждая попытка доступа под обезличенной учетной записью, попытка доступа в запрещенное время (например, не в свою смену), подозрительные сессии (слишком короткие или слишком длительные) – все это повод для СЦИБ формировать серьезный инцидент.
Учитывая сложный и длительный цикл разработки специализированного ПО для АСУ ТП и опережающее появление новых угроз по сравнению с выходом обновлений безопасности, приходится частично принимать риск постоянного наличия в этом ПО уязвимостей. Здесь, по оценке наших специалистов, основной задачей СЦИБ является сбор информации об инфраструктуре АСУ ТП, присущих ей уязвимостях и последующее сопоставление полученных данных с потенциальными ИБ-угрозами.
Тесная интеграция АСУ ТП и корпоративной среды предприятия делает актуальным вопрос предотвращения угроз на уровне сети. Как известно, корпоративная сеть является первым рубежом для целенаправленных атак на АСУ ТП. Наш опыт выполнения ряда крупных проектов в энергогенерирующих и сбытовых компаниях Москвы и Московской области показал, что в ландшафте АСУ ТП применяются специфичные, устаревшие протоколы передачи информации (например, IPX), а зачастую и самописные, отличающиеся от объекта к объекту. Соответственно, стандартные средства сетевой безопасности, успешно функционирующие в среде корпоративной сети передачи данных, для АСУ ТП бесполезны. В данном случае имеет смысл отделить технологическую сеть от КСПД средствами периметровой защиты и осуществлять мониторинг и глубокий анализ трафика на границе, где взаимодействие осуществляется уже с использованием стандартных протоколов. При этом правила корреляции обязательно должны учитывать события, данные о которых поступают от агентов средств контроля и мониторинга сетевой активности. Аномальный сетевой трафик, не соответствующий ни одному из профилей сетевого взаимодействия того или иного технологического процесса, может свидетельствовать либо об изменении самого процесса, либо о целенаправленной атаке.
Вне зависимости от того, какие средства и механизмы защиты будут выбраны, их основная функция, как мы помним, – обеспечение штатного бесперебойного режима работы АСУ ТП. Именно поэтому проведение стендовых испытаний непосредственно перед внедрением решений является обязательным и позволяет нивелировать возможное негативное влияние средств защиты информации на программное обеспечение АСУ. Даже хорошо зарекомендовавшие себя в корпоративных сетях средства защиты информации могут некорректно функционировать при взаимодействии с нетипичными для корпоративной среды программными продуктами АСУ ТП. Примеров тому множество. Не до конца проработанный механизм ручного обновления антивирусного ПО может привести к значительному поглощению ресурсов автоматизированного рабочего места оператора и невозможности продуктивной работы. Из-за использования средств регистрации, учета и контроля целостности может неприемлемо увеличиться время запуска и инициализации как самой рабочей станции оператора, так и конкретных программных продуктов.
Таким образом, система безопасности АСУ, с одной стороны, должна решать задачу по предотвращению разрушительного воздействия на АСУ ТП вероятных атак, а с другой – стабилизировать работу АСУ ТП, исключив свое негативное влияние. Иными словами, требуется поиск точки равновесия между безопасным и стабильным функционированием АСУ ТП.
Базовый инструмент для организации работ в этой области в марте 2015 года предоставила Федеральная служба по техническому и экспортному контролю, утвердив перечень требований к обеспечению защиты информации в АСУ ТП. Грамотный выбор механизмов защиты плюс ответственный подход к процедуре тестирования их совместимости – вот что позволит создать защищенное окружение АСУ, способное адекватно противостоять угрозам безопасности.