Сложно переоценить безопасность автоматизированных систем управления технологическими процессами критически важных объектов (АСУ ТП КВО). Нарушения в их работе могут повлечь за собой не только нарушение или полный отказ технологического процесса и экономические убытки, но и другие катастрофические последствия, связанные с безопасностью людей и серьезным ущербом для окружающей среды. В этой связи важно понимать, что обеспечение безопасности АСУ ТП КВО (как физической, так и информационной) — приоритетная задача для любого производства. И если физическая безопасность здесь может быть решена на самом высоком уровне, то некоторые проблемы информационной безопасности (ИБ) вызывают ряд вопросов.

Эти проблемы не являются уникальными для АСУ ТП КВО — они встречаются и в корпоративных сетях. Но несмотря на разную степень критичности, их распространенность в первом и втором случае несопоставима: в корпоративных сетях такие проблемы чаще бывают решены, в АСУ ТП КВО — гораздо реже. Это обусловлено несколькими заблуждениями:

  • будто бы достаточно обеспечить защиту периметра АСУ ТП на логическом и физическом уровнях (межсетевое экранирование, пропускной и внутриобъектовый режим);
  • якобы АСУ ТП безопасна, потому что взломщик никогда не поймет, как она работает;
  • считается, что “наши АСУ ТП” не интересны для атак.

По статистике NIST (National Institute of Standards and Technology), опубликованной в “Руководстве по безопасности автоматизированных систем управления” (Guide to Industrial Control Systems (ICS) Security, Special publication 800-82), самыми опасными являются нацеленные внешние атаки. Хотя при этом они и самые малочисленные. Наиболее вероятными считаются непреднамеренные угрозы и рассерженные сотрудники, в том числе и бывшие.

Обновление программного обеспечения

Как правило, установка обновлений безопасности на компоненты АСУ ТП осуществляется очень редко. Обусловлено это несколькими факторами:

  • необходимость непрерывности технологического процесса (для установки обновления может потребоваться перезагрузка/выключение АСУ ТП);
  • недопустимость автоматического обновления и необходимость предварительного тестирования обновлений в силу критичности АСУ ТП КВО;
  • зависимость от разработчика программного обеспечения АСУ ТП.

Отсутствие своевременных обновлений позволяет злоумышленникам нанести вред системе, используя известные уязвимости ПО. Для всех системных компонентов и ПО должны быть установлены самые последние обновления безопасности, предоставленные производителями.

Управление доступом и парольная политика

Для работы на операторских/диспетчерских рабочих станциях часто используются административные учетные записи с легкими для перебора или угадывания паролями. При этом они могут быть “зашиты” весьма небезопасным способом и храниться (передаваться) в открытом виде. А иногда этих паролей может и вовсе не быть.

Таким образом, достаточно получить физический доступ к данному компоненту АСУ ТП, чтобы в дальнейшем скомпрометировать всю систему. В качестве оправдания владельцы АСУ ТП КВО обычно указывают на требование непрерывности технологического (производственного) процесса или мониторинга. По их мнению, процедуры идентификации и аутентификации пользователей (операторов и диспетчеров), которым сложно запоминать длинные пароли, могут этой непрерывности помешать. В качестве компенсационной меры они считают достаточной организацию строгого пропускного и внутриобъектового режима.

Но действительно ли этого достаточно? Чтобы ответить на данный вопрос, можно вспомнить внутренних нарушителей, социальную инженерию, а также обычные вирусные заражения, которые могут привести к плачевным результатам.

Управление инцидентами

Процессы управления инцидентами ИБ, как правило, не документированы и не осуществляются должным образом. Между тем предприятию необходимо определить, какие события и на каких компонентах АСУ ТП должны отслеживаться, а также кто и как часто должен осуществлять их мониторинг и анализ.

Характерный пример: по результатам оценки рисков установка ограничений по количеству попыток ввода пароля может быть признана опасной с точки зрения обеспечения непрерывности технологического процесса. Но в таком случае в качестве компенсационной меры обязательно должен вестись мониторинг событий неправильного ввода пароля. Эта мера может помочь своевременно выявить заражение компонентов АСУ ТП вредоносным ПО, которое часто сопровождается попытками подбора паролей для дальнейшего заражения и распространения.

Отсутствие системы мониторинга ИБ-событий и реагирования на инциденты не позволяет оперативно отслеживать возникающие критические события и деструктивные действия злоумышленников, чтобы своевременно принять необходимые и адекватные меры противодействия. Вместе с тем организацию системы централизованного сбора и анализа событий ИБ сложно отнести к дорогостоящим процедурам. По крайней мере, она не требует покупки программно-аппаратных комплексов, которые стоят больших денег.

Мониторинг сетевой инфраструктуры АСУ ТП

Мониторинг сетевой инфраструктуры АСУ ТП КВО часто ограничивается выявлением неисправностей или сбоев сетевого оборудования. В отсутствие средств обнаружения вторжений невозможно определять атаки на сетевые ресурсы и своевременно противодействовать им. Это особенно критично, если технологическая сеть подключена к корпоративной, а корпоративная — к Интернету.

С учетом требований к непрерывности технологических процессов рекомендуется использовать системы пассивного обнаружения вторжений, которые будут осуществлять анализ сетевого трафика без вмешательства в процессы передачи данных.

Осведомленность сотрудников в области ИБ

Еще одной существенной проблемой для безопасности АСУ ТП КВО является неосведомленность в области ИБ персонала, обслуживающего АСУ ТП. Знание и соблюдение простейших правил информационной безопасности может предотвратить как минимум реализацию непреднамеренных угроз безопасности АСУ ТП. А осознание того, что служба безопасности отслеживает и контролирует действия обслуживающего персонала, может снизить вероятность реализации преднамеренных угроз.

***

Отмеченные выше ИБ-проблемы не исчерпывают весь перечень. Вместе с тем нужно отметить, что владельцы АСУ ТП КВО, отечественные и зарубежные регуляторы, ИБ-интеграторы все чаще правильно оценивают их критичность и необходимость решать их.

Автор статьи — старший консультант компании “Информзащита”.

СПЕЦПРОЕКТ КОМПАНИИ “ИНФОРМЗАЩИТА”