«Сегодня АСУ ТП не защищают ни воздушный зазор, ни проприетарные протоколы» — интервью с Владимиром Карантаевым

«Сегодня АСУ ТП не защищают ни воздушный зазор, ни проприетарные протоколы» — интервью с Владимиром Карантаевым
Общественность регулярно будоражат сообщения о кибератаках на промышленные предприятия разных стран. Российские регуляторы требуют обеспечить защиту объектов, имеющих критически важное значение для функционирования экономики.

Публикуем интервью с Владимиром Карантаевым, руководителем рабочей группы CIGRE по вопросам кибербезопасности (Implementation of Security Operations Centers in Electric Power Industry as Part of Situational Awareness System), руководителем направления кибербезопасности АСУ ТП компании «Ростелеком-Солар», — о трендах атак на сегменты АСУ ТП, архитектурных проблемах в безопасности промышленного интернета вещей, программе «Цифровая экономика» и необходимых шагах для защиты промышленных предприятий от киберугроз.




— Обычно разговор со специалистом в области информационной безопасности начинается со «страшных историй», будоражащих воображение обывателей. Расскажите о Вашем отношении к наиболее ярким событиям такого рода, связанным с промышленными предприятиями.

— Да, пресса любит обсуждать громкие истории кибератак. Наверное, впервые о целевых кибератаках, направленных на объекты промышленности, заговорили в связи с вирусом Stuxnet. Его до сих пор часто приводят в пример, хотя с момента инцидента прошло уже больше 10 лет, и о нем написано несколько книг. Из более недавних кейсов – вредонос Industroyer, который привел к массовым отключениям электроэнергии на Украине в конце 2015 года, и Triton, обнаруженный на нефтехимическом производстве в Саудовской Аравии летом 2017 года.

Я вижу за этими событиями определенный тренд. По разным оценкам специально для атак на АСУ ТП было разработано не более 5 видов специализированного вредоносного ПО, из них только 3 были направлены непосредственно на нарушение технологического процесса. И вот появился Triton – атака, конечной целью которой является наступление физических последствий для функционирования опасных производственных объектов (ОПО), т.е. срабатывания, так называемых HSE-рисков, оценка которых в последние годы входит в практику менеджмента ОПО Этот кейс принципиально отличается от того, что было раньше. На мой взгляд, Triton вывел угрозы кибербезопасности АСУ ТП на следующий виток развития.

Вирус Triton был ориентирован на конкретный тип автоматизированной системы – противоаварийную защиту (ПАЗ), которая является «последним рубежом» безопасного функционирования ОПО. Сегодня ПАЗ поддерживают удаленное конфигурирование с рабочих мест по сети, на это и была направлена атака. Ее конечной целью была подмена легитимного процесса конфигурирования контроллера ПАЗ с возможностью скорректировать его настройки. Способствовало этому, в частности, и то, что архитектурно ни ПО для конфигурирования, ни сетевой протокол не предусматривали меры безопасности. Это при том, что на уровне нормативно-технической документации меры кибербезопасности были описаны еще в 2013 году. Если бы атака оказалась успешной, скорее всего, это привело бы к физическим последствиям для предприятия.

— Предприятие могло предпринять меры защиты?

— Да, предприятие, эксплуатировавшее контроллер ПАЗ, могло принять определенные меры: использовать харденинг ОС на АРМ с инженерным ПО, организовать и имплементировать меры по идентификации и аутентификации, мониторингу с помощью SOC критичных систем и процессов подобного типа АРМ. Особенность в том, что аппаратный ключ котроллера ПАЗ по непонятным причинам находился в положении, позволявшем осуществлять программирование и конфигурирование. Можно и нужно было применять организационные меры, регламентирующие использование подобного режима при эксплуатации.

При этом стоит отметить, что производитель систем может предпринять и куда более широкий спектр мер. Например, внедрить и использовать доверенную операционную систему, защищенный протокол, обеспечить механизмы идентификации и аутентификации субъектов и объектов доступа как на уровне людей, так и на уровне процессов, обеспечить доверие при конфигурировании и т.д.

Компания Schneider Electric – на пострадавшем заводе работал контроллер этого производителя – занялась соответствующими доработками своих продуктов. Однако это дело небыстрое, и плохо, что мы наблюдаем прецедентный характер действий, ведь последствия даже одной успешной атаки могут быть катастрофическими. Нужно думать о превентивных мерах по реагированию на угрозы и риски.

— В мире кто-то думает превентивно?

— Идут серьезные процессы по созданию промышленных технологий будущего: инициатива Industry 4.0 в Германии, которая, по задумке авторов, должна помочь миру перейти к новому технологическому укладу. Американская инициатива промышленного Интернета вещей (Industrial Internet of Things, IIoT): она базируется на схожей идее, но охватывает больше секторов экономики. Национальные программы такого рода появились в Китае, Японии.

Очевидно, что любая страна, которая считает себя серьезным игроком на мировой арене, должна реагировать на подобные вызовы и формировать свою внутринациональную повестку. У нас она обрела форму государственной программы «Цифровая экономика».

— Вы считаете, что наша «Цифровая экономика» – это проект масштаба IIoT в США?

— Это так. По сути, последние 7 — 8 лет мы наблюдаем, как в международном пространстве активизируется глобальная стратегическая борьба за технологическое лидерство, которое определит доминирующие концепции и подходы на ближайшие 30-50 лет. Результат этой борьбы сводится, по сути, к трансформации бизнес-моделей, которые, в свою очередь, основываются на конкретном наборе технологий. Они в наших российских документах получили название сквозных технологий.

Собственно, основой цифровой экономики является определенный стек технологий, включая такие, которые повышают эффективность функционирования промышленных предприятий в разных отраслях на основе автоматизации (или цифровизации). В настоящий момент основой этой автоматизации являются системы АСУ ТП, внедрение которых началось еще в Советском Союзе в 70-х годах прошлого века. Тогда появились первые программируемые логические контроллеры, что дало серьезный стимул для развития промышленности развитых стран. А сегодня мы подходим к рубежу, за которым начинается следующий этап глобального бурного роста, и его основой, вероятно, будет набор технологий под названием «Промышленный Интернет» или Industrial Internet of Things.

— Речь идет не о публичной сети Интернет?

— IoT в общем случае охватывает две сферы: пользовательский (или консьюмерский) Интернет вещей, в котором появляются различные носимые подключаемые устройства: для медицинских целей, фитнеса и т.д., и промышленный IIoT – совокупность технологий, которые обеспечат повышение эффективности предприятий уже сейчас и в ближайшем будущем. О них мы и говорим – о тех технологиях, которые должны привести к повышению эффективности функционирования конкретных предприятий, отраслей и национальной экономики в целом. Параметры этой эффективности будут определяться набором технологий (Международный союз электросвязи называет их инфокоммуникационными), которые будут использоваться при организации взаимодействия элементов или объектов внутри инфраструктуры или между разными инфраструктурами.

— Задача масштабная. Как она продвигается в части технологий промышленной автоматизации, в сравнении, скажем, с IIoT?

— Что касается IIoT, то развитием концепции занимается Международный консорциум промышленного Интернета (Industrial Internet Consortium, IIC). Его цель – способствовать ускорению той самой цифровой трансформации предприятий и национальных экономик, в частности, за счет продвижения лучших практик. Они создают документы доктринального уровня, появляются первые документы класса white paper, то есть технические документы, разъясняющие те или иные конкретные технологии для тех специалистов, например, разработчиков прикладных систем. Поскольку тема кибербезопасности является ключевой для промышленных систем, соответствующие технологии должны рассматриваться как сквозные, пронизывающие все процессы и уровни. В этом ключе разрабатываются новые подходы к безопасности систем промышленного Интернета.

— Как продвигается работа над технологиями промышленной автоматизации будущего в российских структурах?

— Существуют специальные рабочие группы, куда входят, в том числе, и эксперты «Ростелеком-Солар», которые формируют повестку развития этих технологий, в частности, по кибербезопасности киберфизических систем и систем промышленного Интернета. Есть общее понимание, что объектом защиты сегодня являются процессы взаимодействия элементов как внутри предприятия, например, на уровне АСУ ТП, так и между предприятиями, например, в рамках вертикально-интегрированных холдингов или даже между холдингами. Это, в свою очередь, подразумевает трансформацию бизнес-моделей.

Здесь крайне важно, что такого рода трансформации требуют очень глубокой интеграции технологических и бизнес-процессов между предприятиями одной отрасли или даже разных отраслей. Это позволит предприятиям оперативно создавать и выпускать на рынок новые продукты, более персонифицированные с точки зрения целевой аудитории. Это означает, что технологии, которые уже сегодня достаточно широко используются на современных предприятиях, получат еще более обширное распространение. Иными словами, это будет набор разнообразных телекоммуникационных протоколов: от протоколов низкого уровня до протоколов, по которым будет происходить взаимодействие между автоматизированными или роботизированными системами, образующими те самые кибер-физические системы. И, кроме того, будут еще разнообразные информационные технологии – совокупность общесистемного и прикладного ПО. В этом есть риск.

— Риск ошибиться с выбором технологий?

— Поскольку промышленный Интернет – это совокупность инфокоммуникационных технологий, пронизывающих всю систему снизу доверху: от интеллектуального датчика до системы, которая управляет технологическим процессом или выдает конкретное задание или формирует прогноз, то и тема кибербезопасности является сквозной. В этом смысле методы обеспечения безопасности должны присутствовать в разработках новых технологий изначально, еще на уровне формирования требований. Они должны применяться как к системе в целом, так и к технологиям, на которых эта система реализована.

Естественно, в разных отраслях эти системы имеют и будут иметь свою специфику. В электроэнергетике, например, даже сам термин «промышленный Интернет» не прижился, там говорят о технологиях Smart Grid или активно-адаптивной сети, хотя задача в общем случае та же самая: интеллектуальный датчик, например, трансформатор тока, напряжения – это та же система верхнего уровня. То же в нефтегазе: от интеллектуального датчика уровня давления и других датчиков – до системы поддержки принятия решений. Кибербезопасность – это набор сквозных технологий и методов, которые должны обеспечить устойчивое функционирование киберфизических систем.

Однако в программе «Цифровая экономика», как мне кажется, эта серьезная составляющая разработки будущих технологий практически не нашла отражения, а ведь речь идет, напомню, о безопасности промышленных систем. Это направление выделено в отдельную группу, а нужно – обязательно нужно – чтобы тема кибербезопасности присутствовала в каждой рабочей группе, в каждой вертикали, где обсуждаются сквозные технологии. Мы за это всегда ратуем и надеемся, что нас услышат.

— Почему недостаточно заниматься вопросами безопасности отдельным коллективом, так сказать, сугубо профессиональным?

— Дело в том, что речь идет об очень сложной многоуровневой системе обмена данными. Как я уже говорил, необходимо сформировать технические требования по кибербезопасности и к целой системе, и к ее элементам. Но это не все. Мы должны сформировать такие требования по кибербезопасности, которые базируются на адекватной модели угроз и модели нарушителя для элементов и для систем. Понятно, что эти задачи можно выполнить с нужным качеством, лишь работая внутри тематических групп на постоянной основе. Формирование комплексного предложения по кибербезопасности IIoT возможно на основе сформированных экосистемных партнерств.

Если эти специфические особенности не заложить еще на этапе формирования дорожной карты «Цифровой экономики», то соответствующие работы не будут выполнены. А если мы не сформируем базовые требования к элементам системы и системе «Цифровой экономики» в целом, значит, не будет требований к технологиям, которые должны появиться: технологиям микропроцессорной защиты, защищенных протоколов, защиты заказных микросхем ASIC, прочих чипов, систем-на-кристалле и т.д.

— Что сегодня является основной киберугрозой для систем АСУ ТП? Целенаправленные атаки типа Triton?

— Статистика говорит о том, что АСУ ТП сегодня достаточно сильно интегрируются с системами верхнего уровня (диспетчерские системы SCADA или системы управления цехом MES), поддерживая интенсивный двусторонний обмен данными, а уровень мер защиты, как организационных, так и технических, на уровне АСУ ТП зачастую достаточно низкий.

И вот что важно: если говорить в терминах пяти уровней систем предприятия, то на верхних уровнях в последние годы худо-бедно занимаются безопасностью, а вот на нижних – не занимаются практически никак. В такой ситуации интеграция уровней однозначно приводит к повышению рисков. Угрозой для непрерывности функционирования завода становятся не только таргетированные атаки, но и любые другие компьютерные инциденты, включая массовые неспецифические кибератаки типа WannaCry и Petya. Отмечены случаи заражения этими вирусами промышленных предприятий: изначально атака, вполне вероятно, не была ориентирована на АСУ ТП, но она случайно попала в инфраструктуру.

Действительно, часто на предприятиях нет управления информационным потоками, как нет и нет актуальных обновлений безопасности. Нет выстроенных процессов реагирования на эту ситуацию. Если где-то на уровне корпоративных систем началась массовая атака WannaCry, она легко может перейти на уровень АСУ ТП и будет «жить» в этой структуре. Условно говоря, зловред, который реализует атаку типа «отказ в обслуживании», при массовом заражении АСУ ТП вполне может оказать воздействие на сам технологический процесс. К сожалению, далеко не все предприятия этот риск осознают. Они часто успокаивают себя мыслью: «В качестве объекта таргетированной атаки я никому не интересен, значит, проблем с кибербезопасностью производства у меня нет». Но это не так.

Главная проблема сегодняшнего дня заключается, на мой взгляд, в том, что промышленный Интернет будущего, понимаемый как совокупность технологий, изначально имеет серьезную уязвимость – современные телекоммуникационные протоколы, программное и аппаратное обеспечение разных уровней, используемые для создания критических систем, изначально не защищены от воздействия на них компьютерных атак.

— Это проблема всех отраслей?

— Всех. Сегодня отчетливо проявляется тенденция унификации и использования в системах АСУ ТП технологий из мира ИТ: коммутационное оборудование, стек телекоммуникационных протоколов. Возьмите, к примеру, электроэнергетику. Цифровые подстанции используют протоколы, базирующиеся на стеке TCP/IP. А то, что TCP/IP изначально уязвим перед компьютерными атаками, знает любой начинающий специалист в области ИБ. Во всех отраслях широко используются операционные системы общего применения, у которых огромное количество регулярно выявляемых уязвимостей, а специфика эксплуатации на промышленных предприятиях не позволяет быстро их закрывать. То же относится и к встраиваемым операционным системам. На верхних уровнях АСУ ТП работают SCADA-системы диспетчерского управления – фактически обычные АРМы и серверы под управлением ОС общего назначения.

— Объем внедрений новых технологий можете оценить?

— Возьмем электроэнергетику – в отрасли уже объявлена программа цифровой трансформации. А у нас в стране на настоящий момент всего пять цифровых подстанций. Пять! Но за 10 лет должны быть созданы сотни тысяч. Это не игра слов, это реальность – настоящий новый «план ГОЭЛРО». Если эти типизированные решения будущего не будут тщательно проработаны с точки зрения кибербезопасности, они, безусловно, появятся, но в каком виде?

Поэтому я и уверен: если мы не сформируем системные требования по кибербезопасности уже на текущем этапе, это станет ограничивающим фактором для появления эффективных технологий безопасности в технологиях будущих систем и заложит системный риск того, что они изначально будут уязвимы перед компьютерными атаками. И это при том, что такие системы призваны функционировать в будущем в системообразующих отраслях экономики: энергетике, нефтегазовом секторе, металлургии, сельском хозяйстве, где сейчас даже обычный зерновой комбайн уже превращается в «станок с ЧПУ» – «вещь» промышленного Интернета.

— Каково сейчас состояние тех промышленных предприятий, которым предстоит пройти цифровую трансформацию в сторону киберфизических систем будущего?

— Их текущее состояние, с точки зрения автоматизации производств в разных отраслях, крайне неоднородно. Сказывается наследие постсоветских времен. Хотя это было 30 лет назад, но эти десятилетия для каждой отрасли прошли, мягко скажем, по-разному. Некоторые в меру возможностей и экономической ситуации в стране развивались. Некоторые даже смогли в той или иной мере модернизировать свои основные фонды и технологические процессы. Среди, скажем так, «догоняющих» отраслей есть и такие, для кого проблематика кибербезопасности АСУ ТП совсем не актуальна. «У нас нет никаких микропроцессорных устройств, которых следует опасаться. У нас реле с пружиной. Единственная угроза – это устаревание и Петрович с отверткой, который эту пружину неправильно подкрутил», – можно услышать от них. Там, конечно, проблем кибербезопасности АСУ ТП нет. Актуальны они на предприятиях, которые находятся, как минимум, на высокой степени телемеханизации, ведь основой нынешней автоматизации стали индустриальные системы, архитектурно построенные без учета вопросов информационной безопасности. Например, телекоммуникационная сеть АСУ ТП изначально интегрирована на уровне проекта с офисной сетью предприятия. Это очень плохое решение.

— И с доступом в публичный интернет?

— К сожалению, не могу назвать это шуткой, потому что такое тоже встречается. Для тех, кто сомневается, могу порекомендовать ресурс Shodan. Чаще встречаются «плоские» сети: если злоумышленник (или вредоносное программное обеспечение) попал на верхний уровень, то он может провалиться до нижнего уровня со всеми соответствующими возможностями развития атаки.

— Некоторые специалисты считают, что с точки зрения безопасности вместо того же TCP/IP лучше использовать какой-нибудь проприетарный протокол. Вы согласны?

— Это миф, который давно развеян. Те, кому надо, давно научились эти протоколы изучать и использовать в своих целях. То же касается и Air Gap – так называемого воздушного зазора – идеи изолированной среды. Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, при желании его легко преодолеть. Все истории с подброшенными флешками, зараженными вредоносным ПО, – об этом.

Тут следует похвалить вендоров. Например, в новых версиях операционных систем многие стали уделять больше внимания вопросам кибербезопасности, добавлять в свои продукты механизмы защиты. Но к этому решению они шли долго, лет десять. Но и мы за это время тоже прошли большой путь: от непонимания, даже некоторого неприятия темы кибербезопасности производственных средств АСУ ТП до нынешнего момента, когда наиболее дальновидные предприятия уже начали формировать собственные планы по развитию АСУ ТП в парадигме сквозной системной безопасности.

— Какие ориентиры они при этом используют?

— Наше государство начало формировать методическую и нормативно-правовую базу регулирования в этой сфере достаточно давно. Более 10 лет назад ФСТЭК, отраслевой регулятор в сфере ИБ, выпустил первый документ с требованиями по защите АСУ и АСУ ТП, где были описаны модели угроз. В 2016 году была принята новая доктрина информационной безопасности Российской Федерации. Там одна из ключевых тем – безопасность критической информационной инфраструктуры (КИИ) Российской Федерации. Отдельно отмечу, что в Доктрине специально подчеркнуто: риском для РФ является использование информационных технологий, изначально не защищенных против действий компьютерных атак.

Есть так же приказ №31 ФСТЭК Росси от 2014 года «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» и 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 2017 года.

Так что те организации, которые еще в 2014 году начали планомерное развитие с использованием предложенных государством наработок, сегодня находятся в завидном положении – им не нужно в срочном порядке начинать реализацию ФЗ-187 с нуля.

— Каково в среднем состояние автоматизации предприятий в тех отраслях, которые попали под регулирование ФЗ-187?

— Наиболее массово оно охватывает отрасли, которые имеют достаточно развитые АСУ ТП (в терминах закона – АСУ): электроэнергетика, ТЭК, ОПК, атомная отрасль, металлургия, химическая, горнодобывающая отрасль и т.д. Однако уровень защищенности инфраструктуры промышленных предприятий остается недостаточным. Вступление в силу ФЗ-187 придало процессу положительную динамику, но большинство текущих проектов по защите критической инфраструктуры находятся на ранней стадии. Этим предприятиям крайне важно сосредоточиться на повышении реальной защищенности своих систем, а не формальном соответствии букве закона.

— Как не перепутать формальный compliance с практической защищенностью?

— Полезно проводить анализ своих промышленных систем с помощью оценки зрелости кибербезопасности АСУ ТП на конкретном предприятии. Этот эмпирический критерий подразумевает четыре стадии.

Первый этап: есть внедренные АСУ ТП, высокий уровень массовой автоматизации (для отрасли), но не реализованы базовые функции кибербезопасности. То есть того, что мы называем кибергигиеной, нет даже в минимальном объеме.

Второй этап: в системах АСУ ТП реализованы базовые функции безопасности. Например, так называемый, хардинг – специфическая настройка операционных систем с целю снижения вероятности наступления компьютерного инцидента на верхнем уровне АСУ ТП. Или применяются неспецифичные средства защиты информации, скажем, межсетевые экраны на периметре АСУ ТП или неспециализированные IDS (Intrusion Detection System, системы обнаружения вторжений).

Третий этап: появляются средства защиты информации, специально разработанные для применения в АСУ ТП, но являющиеся по отношению к ним наложенными системами. Это могут быть специализированные антивирусы или специализированные межсетевые экраны. Такие продукты есть, но, к сожалению, среди них мало российских разработок.

Четвертый этап: эффективный симбиоз встраиваемых средств защиты информации, например, с использованием индустриальных систем IDS. Или вариант, когда функции безопасности реализованы посредством самих АСУ ТП – в контроллерах, в системах верхнего уровня. По сути, в этом случае реализуется концепция целевой сквозной кибербезопасности.

— Средства измерения степени реальной защищенности отрасли существуют?

— Для настоящего момента характерно отсутствие какой-либо статистики по отраслям. А раз нет статистики, значит, как полагают некоторые предприятия, нет проблем и необходимости что-либо предпринимать. Думаю, эти настроения будут сходить на нет по мере широкого распространения системы ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), что также регулируется ФЗ-187. По мере подключения предприятий к ГосСОПКА — либо самостоятельно, либо через аутсорсинговый центр мониторинга — статистика будет появляться. И таргетированные атаки будут учтены, и неспецифические.

Понятно, что параллельно с технологиями должно происходить повышение уровня зрелости и процессов управления безопасностью. И эта задача далеко не всегда решается быстро и легко.

— Какие проблемы чаще всего возникают в этой части?

— Есть одно требование закона, которое вызывает у предприятий определенные трудности. Оно детализировано в Постановлении Правительства РФ №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 г. По закону субъект КИИ сам должен проводить категорирование, но зачастую даже у продвинутых предприятий недостаточно внутренних компетенций, чтобы правильно оценить все множество актуальных для него рисков.

Здесь мы выступаем в ролиэкспертного партнера, который обладает широкими методически выверенными знаниями о рисках и возможных последствиях. Это вовсе не запугивание, как можно подумать, и не «торговля страхом». Мы вступаем в экспертный диалог с представителями отрасли: главными инженерами, технологами, метрологами. Это те люди, которыми обычно пугают безопасников: мол, вы с ними никогда ни о чем не договоритесь. Ничего подобного! Это люди, которые всю жизнь живут под грузом ответственности, и очень хорошо отличают звонкие слова от реальной экспертной поддержки. Они прекрасно понимают: если категорирование проведено качественно, то это первый шаг к формированию взвешенного подхода к безопасности.

Мы предоставляем сервис комплексного анализа защищенности АСУ ТП и промышленного Интернета. Он подразумевает анализ инфраструктуры заказчиков на наличие архитектурных проблем, связанных с кибербезопасностью АСУ ТП. Анализ текущего уровня защищенности, проверка на наличие в инфраструктуре известных уязвимостей на уровне как операционных систем, так и микропрограммного обеспечения, встроенного в оборудование АСУ ТП на среднем уровне. Вплоть до проведения пентеста АСУ ТП.

— Прикладное ПО тоже способно стать источником проблем с безопасностью?

— Конечно. Проработкой этих рисков на постоянной основе занимается наш регулятор. В 2015 г. ФСТЭК России выпустил национальный стандарт средств безопасной разработки ПО, а недавно – так называемые «Требования к доверию» – обязательные требования для всех разработчиков средств защиты информации. Одно из них – обеспечение безопасной разработки. Это, на мой взгляд, та серьезная системная мера, которая поможет повысить защищенность производственных систем. Но я думаю, что аналогичные требования должны исходить не только от государства, но и от владельцев инфраструктуры.

— Даже если это коммерческое ПО?

— Заказчик имеет полное право поставить условие, что поставщик решения АСУ ТП должен иметь у себя развитые процессы безопасной разработки. Например, международные вендоры, скажем, Schneider Electric или Siemens внедрением таких механизмов уже занялись в соответствии с международным стандартом МЭК 62443-4-1 «Сети промышленной коммуникации. Безопасность сетей и систем». По этому пути двинулись и российские вендоры – мы с ними начали работу по выстраиванию системы рекомендаций в части безопасной разработки с использованием статического анализатора кода. Кроме того, методы безопасной разработки (Security Development Lifecycle, SDL) могут использовать и сами предприятия для проверки нового ПО на безопасность. Конечно, это потребует некоторых ресурсов, но затем затраты стабилизируются и через некоторое время происходит общее повышение качества ПО и снижение количества уязвимостей.

— Есть ли какая-либо специфика, с точки зрения системного подхода к безопасности, у свободного ПО, например, ОС Linux?

— Применение Linux в АСУ ТП встречается. Даже, наверное, можно говорить о некотором тренде в сторону большего применения Linux на разных уровнях АСУ ТП: в качестве операционной системы на верхнем уровне операторско-диспетчерского управления (SCADA) или встраиваемой операционной системы на уровне контроллеров. Здесь важен следующий момент. Если какая-либо ОС на базе Linux будет использоваться в АСУ ТП, то для повышения уровня доверия к ее использованию она должна пройти сертификацию, например, по двум типам требований.

Первая сертификация – по требованиям к надежности функционирования ПО. Такие требования есть, например, в стандарте МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью». Вторая сертификация – по требованиям, например, к доверию с точки зрения информационной безопасности.

И, наконец, операционная система, реализованная на базе Linux, может содержать так называемую модель безопасности. Есть специальные требования, в том числе, ФСТЭК России, к операционным системам реального времени. Таким образом, реализовав систему, отвечающую сегодняшним конкретным требованиям, мы получим ОС, удовлетворяющую требованиям надежности, и оптимальную, с точки зрения безопасности.

— Но проще всего не рисковать, а пользоваться только сертифицированными регулятором средствами безопасности?

— У нас в законе о техническом регулировании приводится несколько методов оценки соответствия разработанного продукта заявленным характеристикам. Сертификация – один из них. Еще одна форма оценки соответствия – приемо-сдаточные испытания. Но в этой части, надо сказать, пока нет развитых подходов и методологической поддержки. Мы планируем двигаться обоими путями, и для второго сейчас создаем «Лабораторию кибербезопасности АСУ ТП». Одна из ее целей – формирование методологической базы испытаний систем АСУ ТП по параметрам кибербезопасности.

Мы – наша страна в целом – находимся сегодня в активной фазе формирования собственного технологического задела в масштабе государства, и это здорово. При этом мы понимаем, что, если сейчас на старте не принять сбалансированного решения о системных подходах к формированию архитектурного облика этого задела, дальнейший путь может оказаться крайне неэффективным. Поэтому при формировании дорожной карты программы мы вышли с инициативой: должны быть разработаны разного вида и типа модели угроз нарушителя – как для элементов системы, так и системы в целом, в зависимости от формируемой дорожной карты.

К примеру, создается дорожная карта, скажем, развития промышленного Интернета в конкретной отрасли. Для нее у нас есть конкретные архитектурные принципы построения, типы используемых инфокоммуникационных технологий на каждом из уровней. Тогда для «Цифровой экономики» в целом будет создаваться фреймворк безопасности.
Alt text