Почему защита АСУ ТП сегодня стала критически важной?

Почему защита АСУ ТП сегодня стала критически важной?

В наши дни практически в любом производстве используются автоматизированные системы управления технологическими процессами (АСУ ТП). Однако автоматизация без выполнения требований информационной безопасности может быть критически опасной. Рассмотрим, почему защита АСУ ТП сегодня стала особенно важной, какие угрозы сейчас наиболее реальны, и как защитить промышленные инфраструктуры от злоумышленников.

image

Андрей Заикин, руководитель направления информационной безопасности компании КРОК

Специфика АСУ ТП

Автоматизированная система управления технологическими процессами (АСУ ТП) – это целая группа технических и программных средств, предназначенных для автоматизации процессов управления технологическим оборудованием на промышленных предприятиях. Сегодня многие эксперты единодушны в том, что основная угроза – это вмешательство террористических, экстремистских и враждебно настроенных групп в управление автоматизированными системами критически важных объектов, в том числе и с целью вывода их из строя. Это подтверждает и отчет российской компании Group-IB, согласно которому в 2015 году более 600 российских Интернет-ресурсов были атакованы хакерами террористической организации «Исламское государство Ирака и Леванта» (запрещена в России). Учитывая интерес подобных группировок к предприятиям США, интерес к российским информационным ресурсам, их замотивированность и финансовые ресурсы, можно прогнозировать рост угрозы для критически важных объектов нашей страны. Некоторые эксперты сейчас прогнозируют, что террористические организации будут покупать техническую информацию компаний для совершения атак. Поэтому государствам так важно вовремя обезопасить себя от подобных угроз.

Отрасли, для которых тема защиты АСУ ТП наиболее критична – те, где возможен максимальный ущерб и может пострадать наибольшее количество людей. В первую очередь, это энергетические компании и предприятия ТЭК – тут возможны как экономические последствия, например, нарушение поставок нефти или газа, или перебои в электроснабжении населения, так и экологические или гуманитарные катастрофы. Кроме того, под угрозой находится транспорт. Эти отрасли имеют широкую разветвленную сеть по всей стране, и безопасность на подобных предприятиях — стратегически важная задача для государства.Сегодня предприятия все серьезнее подходят к информационной безопасности своего бизнеса. Однако для защиты сложных промышленных процессов на предприятиях критической важности необходимы специализированные средства и подходы. Специфика защиты АСУ ТП от угроз информационного характера заключается в том, что необдуманное применение мер и средств защиты может приводить к снижению общей надежности системы. Внедренные средства информационной безопасности не должны создавать новых проблем нормальному функционированию АСУ ТП, а устранять существующие. Поэтому производство вынуждено балансировать на тонкой грани между безопасностью и автоматизацией.

Об угрозах в примерах

Число случаев взлома промышленных систем становится все больше. В какой-то мере это влияет и на ажиотаж вокруг этой темы в СМИ, а также заинтересованность предприятий в защите своего производства. Ведь, как говорится, никто не застрахован…

Не так давно в Германии была совершена атака на сталелитейное предприятие. Хакерам удалось удаленно вывести из строя доменную печь, что привело к поломке оборудования и простою производства. Доступ к печи хакеры получили, заразив вредоносным программным обеспечением офисную сеть. 

Кроме того, можно вспомнить кибератаку на украинских поставщиков электроэнергии, в результате чего прекратилась подача электроэнергии на 80 подстанциях, без света остались более 200 тысяч человек. Параллельно атака была проведена и на call-центр энергокомпании для отвлечения внимания с отключения оборудования. После отключения подстанций хакеры смогли внедриться в систему и приступить к удалению данных с жестких дисков на рабочих станциях и SCADA-серверах, а также изменить настройки источников бесперебойного питания. По уровню атаки можно смело судить о высокой технической подготовке злоумышленников.

Некоторое время назад некий злоумышленник в США через развлекательную систему смог подключиться к бортовому компьютеру самолета и ненадолго изменить тягу одного из двигателей, в результате чего самолет какое-то время летел боком. По словам самого хакера, в течение нескольких лет он осуществил около двух десятков подобных взломов. Еще пример-  -  зарубежный эксперт смог экспериментальным путем доказать возможность дистанционно взломать бортовой компьютер автомобиля с помощью обычного смартфона и управлять системами машины, включая руль и педали.

Комплекс – всему голова

Системы безопасности АСУ ТП наиболее актуальны в развитых с точки зрения промышленной автоматизации отраслях — это энергетика, нефтегазовая отрасль, транспорт, металлургия, машиностроение. Безопасность всей промышленной сети и АСУ ТП обеспечивается применением комплексного последовательного подхода, учитывающего специфику и особенности промышленных систем, и основанного на требованиях и рекомендациях как международных стандартов, так и российских нормативных документов по обеспечению информационной безопасности промышленных систем. В частности, к таким нормативам относится приказ ФСТЭК России №31, определяющий требования к обеспечению защиты информации в АСУ ТП.

Комплексный подход означает также проведение регулярного аудита состояния защищённости АСУ ТП на основе интервьюирования специалистов предприятия, анализа документации, структуры и конфигурации систем, а также проведение инструментального анализа защищенности с целью поиска уязвимостей. На основе полученных по итогам аудита данных производится анализ рисков, в результате которого определяются угрозы, представляющие опасность функционированию объекта.

Классификация решений для информационной безопасности АСУТП

Приступая к построению архитектуры решения, в первую очередь, стоит подобрать верный тип базового продукта. Условно все решения ИБ АСУТП можно разделить на две категории:

  • Системы мониторинга активности и обнаружение угроз. Они обеспечивают только мониторинг, ничего не блокируют, но следят за угрозами и проблемами, обнаруживают их и уведомляют службы безопасности.

Системы мониторинга активности также подразделяются по классам, среди них:

  • система обнаружения компьютерных атак и сетевых аномалий;
  • система мониторинга событий информационной безопасности и беспроводных сетей;
  • система пассивного анализа уязвимостей;
  • система анализа конфигураций оборудования, правил доступа сетевого оборудования;
  • а также система контроля целостности данных и ПО.

Например, первые из них, системы обнаружения компьютерных атак и сетевых аномалий, анализируют сетевой трафик и выделяют из него информацию о сетевых потоках (flow), анализ которой более эффективен для обнаружения угроз по сравнению с сигнатурными методами и позволяет обнаружить в том числе и атаки на неизвестные (zero day) уязвимости и вовремя реагировать на подозрительные инциденты.

  • Системы предотвращения угроз (или управления доступом). Такие решения управляют

Еще одна классификация систем информационной безопасности АСУ ТП – это деление их на традиционные и специализированные. Классические системы ИБ могут использоваться на промышленных предприятиях для построения архитектуры, управления информационными потоками. Вторая группа решений — специализированные, подходят для компаний тяжелой промышленности. Это металлургия, энергетика, нефтегаз, где более агрессивная среда (температура, магнитные излучения, пыль). Если системы безопасности находятся непосредственно на промышленных объектах, тут должны применяться дополнительные условия, учитываться специфические требования среды, применяться специальный монтаж промышленного оборудования, устойчивое к агрессивным средам исполнение и т.д. Грубо говоря, специализированные системы должны быть «умными», должны разбираться в промышленном трафике, учитывать именно программное обеспечение, трафик промышленных систем. Однако это не значит, что традиционные системы безопасности не применяются на промышленных предприятиях.

Выводы и прогнозы

К сожалению, сегодня основная проблема безопасности АСУ ТП – это отсутствие внимания к ее обеспечению. Ввиду того, что технологические сети зачастую достаточно статичны, не принято что-либо менять, оборудование устаревает, используются старые версии программных продуктов и операционных систем со множеством уязвимостей. Отсутствие внимание к ИБ проявляется и в бесконтрольном использовании периферийных устройств, флеш-накопителей, отсутствии политик защиты АСУ ТП и ответственных лиц.

Также все реальнее становится вероятность кибертерроризма. В прогнозе МЧС о чрезвычайной обстановке на территории Российской Федерации отмечается, что в настоящее время уровень информационной безопасности не соответствует уровню угроз в данной сфере, и в 2017 году возможно повышение хакерских атак с целью создания условий для возникновения техногенных чрезвычайных ситуаций. Поэтому в то время, пока рынок защиты АСУ ТП пока только созревает, важно наращивать компетенции для предоставления эффективной помощи заказчикам в построении комплексных систем управления и обеспечения информационной безопасности.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle