ОПЫТ
Для компании, занимающейся выпуском химической продукции, слабая компьютерная защищенность может оказаться буквально взрывоопасной. Дыры в системе безопасности могут привести к тому, что жизнь сотрудников предприятия и местных жителей окажется под угрозой, производственный цикл нарушится, денежные потери будут огромными, проникновение злоумышленников станет возможным, откроется доступ к системам, способным вывести завод из строя. Именно это утверждается в документе, подготовленном исполнительным комитетом Совета по информационным технологиям в химической промышленности (Chemical Information Technology Council).
Чтобы помочь себе и другим химическим предприятиям укрепить компьютерную защиту, лидеры отрасли, такие, как Dow Chemical, DuPont, Rohm and Haas, Eastman Chemical, Nova Chemicals и Celanese, в 2002 г. создали альянс под названием "Программа безопасности для химической промышленности" (Chemical Sector Cyber Security Program, CSCSP). "Директора информационных служб ведущих химических компаний знают, сколь важна защита для нашей отрасли, как физическая, так и компьютерная. Мы считаем, что обмен информацией и накопленным опытом поможет всей отрасли в целом", - заявил Нейл Хершфильд, директор CSCSP и руководитель по безопасности компании Dow.
Хершфильд: “Отрасль выиграет
от широкого распространения
передового опыта”
CSCSP действует в качестве рабочей группы по продвижению одной из четырех главных инициатив ChemITC в области ИТ. ChemITC представляет собой находящуюся на самофинансировании группу, созданную в рамках программы Chemstar, осуществляемой Американским химическим советом (American Chemistry Council).
Чтобы достичь своих целей, CSCSP сотрудничает с предприятиями, отраслевыми организациями и поставщиками ИТ-продуктов. Привлечение в этот альянс компаний из сферы ИТ является ключевой задачей на текущий год. "Нам нужно заполучить производителей информационных систем, чтобы ставить перед ними вопросы еще на этапе разработки, тестировать выпускаемые ими продукты и повышать их безопасность прежде, чем они будут выпущены в продажу", - говорит Хершфильд. В настоящее время CSCSP составила список из 29 перспективных поставщиков ИТ-продуктов и услуг, которых хочет привлечь к участию в работе.
Для химической отрасли характерны не только традиционные для информационных бизнес-систем риски, но и опасность другого рода, связанная с системами управления производством и наличием особо важной инфраструктуры. |
Согласно заявлению CSCSP, альянс видит свою задачу в том, чтобы стать координирующим органом, который поможет отрасли ускорять внедрение средств обеспечения безопасности и обмениваться опытом их использования, а также будет реагировать на другие отраслевые потребности. CSCSP призвана способствовать распространению передового опыта в области компьютерной защиты, поддерживать усилия по повышению безопасности производственных и управляющих систем, стимулировать разработку более совершенных технологий, повышать интенсивность обмена информацией между химическими компаниями и согласовывать приоритеты отрасли с целями Министерства национальной безопасности.
Химическая индустрия является одним из 13 секторов промышленности, которые в 2002 г. были выделены в качестве особо важной инфраструктуры в документе "Национальная стратегия внутренней безопасности". В связи с этим перед данной отраслью была поставлена задача разработки стратегии компьютерной защиты. К тому же ИТ-директора химических компаний уже и сами понимали, что развитие ИТ порождает такие угрозы для безопасности, с которыми им не приходилось сталкиваться прежде. "Например, рост автоматизации производства и управления ведет к повышению производительности, но одновременно увеличивает риск с точки зрения защищенности", - сказала Черил Флэннери, член управляющего комитета CSCSP и директор по информационной безопасности компании Air Products and Chemicals. Она считает, что отказ от запатентованной технологии в пользу готовых решений на базе открытых стандартов влечет за собой новые риски.
Другая опасность связана с тем, что химические компании часто являются друг для друга и поставщиками, и покупателями. "Существует тесное переплетение систем, множество связей между заводами и большое число совместных предприятий. А если компании, с которыми мы взаимодействуем, не используют передовой опыт в области компьютерной безопасности, то и мы повергаемся риску", - утверждает Тереза Джонс, член управляющего комитета CSCSP и директор Dow по информационной безопасности.
Джонс: “Если вы производите закупки
друг у друга, это увеличивает риск
нарушения безопасности”
Организация CSCSP разработала "Стратегию кибербезопасности химической отрасли". По словам Хершфильда, это единый план действий для производителей систем защиты, поставщиков и партнеров. В план включено несколько руководящих документов и описаний, которые компании могут использовать для укрепления защиты систем управления бизнесом и производством.
Системы управления химическими предприятиями разрабатывались в расчете на надежность и эффективность, но не безопасность. Поэтому их очень сложно привести в соответствие с современными требованиями по компьютерной защите. |
Годовой объем производства химической промышленности Соединенных Штатов оценивается в 459 млрд. долл. Во многом эта отрасль сталкивается с такими же ИТ-угрозами, что и другие секторы, - например, с рисками для информационных бизнес-систем. Но для нее характерна и опасность другого рода, связанная с системами управления производством и наличием особо важной инфраструктуры. По словам Джонс, такого рода угрозы периодически возникают, хотя о них широко не сообщается.
Среди примеров таких атак CSCSP называет атаку в г. Квинсленде в Австралии на компьютерную систему очистки сточных вод, работавшую под управлением SCADA-системы. В результате миллионы галлонов нечистот заполнили близлежащие парки и реки. В США юный хакер вывел из строя ИТ-системы планирования восьмого по величине грузового порта мира в г. Хьюстоне, лишив суда помощи, необходимой для безопасного выхода в море.
CSCSP надеется наладить сотрудничество с химическими компаниями, торговыми группами, производителями и поставщиками. Особенно важна поддержка со стороны производителей ИТ. Взаимодействие с ними должно представлять собой улицу с двусторонним движением.
По словам директора CSCSP, среди партнеров из числа ИТ-компаний будут как те, кто создает производственные и управляющие системы, так и те, кто предлагает оборудование, ПО и услуги. По словам Хершфильда, на данный момент наибольшую заинтересованность в сотрудничестве с CSCSP проявили IBM, SAP, Intelligroup и BearingPoint. Планируется провести встречи еще с двадцатью кандидатами.
В качестве ключевых технологий на 2007 г. CSCSP уже наметила контроль доступа, безопасность главных компьютеров и сетей, а также оперативный мониторинг.
Что касается контроля доступа, то рабочие группы сосредоточат внимание на Microsoft Active Directory и интеграции этого каталога с производственными и управляющими системами и средствами аутентификации устройств, идентификации пользователей и контроля за обращениями к сети. Команды, занятые безопасностью главных компьютеров и сетей, изучат возможности беспроводных технологий, методы повышения компьютерной безопасности, возможности динамической защиты систем, сетей хранения и применения технологии OLE (Object Linking and Embedding) для управления процессами. Специалисты, работающие в области оперативного мониторинга, будут изучать вопросы обнаружения сетевых вторжений и использования интеллектуальных агентов.
Другим важным партнером CSCSP является Национальная лаборатория Айдахо (Idaho National Laboratory, INL). Это одна из десяти национальных лабораторий министерства энергетики. Она будет оказывать помощь в решении вопросов, затрагивающих национальную безопасность в таких областях, как беспроводная связь и коммуникации, управление производственными процессами, компьютерная безопасность и др.
Приведение систем управления химическими предприятиями в соответствие с современными требованиями по защите представляет собой гигантскую задачу. Ведь эти технологии разрабатывались в расчете на надежность и эффективность, но не безопасность. "Раньше системы управления не были подключены к сетям и к ним не было удаленного доступа", - говорит Майк Ассанте, специалист INL по стратегическим вопросам защиты инфраструктуры. Более того, в отличие от офисной техники, системы управления представляют собой мощные машины стоимостью в несколько миллионов долларов, рассчитанные на длительное использование.
Сегодня перед производителями стоят две задачи: разработка для химической промышленности новых систем, отвечающих стандартам защищенности, и повышение безопасности действующих систем. В INL имеется испытательная модель химического завода, которая воссоздает производственный процесс и системы управления. "Мы используем эту модель для тестирования и демонстраций, а также для обучения, проведения семинаров по повышению квалификации и тренингов", - говорит Ассанте.
CSCSP сосредоточила свои усилия на оказании помощи тем, кто в ней нуждается. В нынешнем году организация выступила с несколькими инициативами. Среди них - формирование Европейской группы по сетям и их развертыванию (European Networking and Implementation Team), которая должна обмениваться информацией и знаниями по компьютерной безопасности с зарубежными химическими компаниями. В рамках другой инициативы, направленной на стимулирование обмена опытом, группа по производству и управлению (Manufacturing and Control Team) пытается объединить специалистов по безопасности предприятий и представителей ИТ-бизнеса.
Техническая группа CSCSP продолжает разрабатывать и рассылать руководства по защите беспроводных сетей, вычислительной техники и служб каталогов, аутентификации устройств и пользователей. "Особенностью возникающих перед нами проблем в области компьютерной безопасности является то, что изо дня в день появляются новые задачи, которые мы должны решать, - говорит Флэннери из Air Products and Chemicals. - Но благодаря усилиям CSCSP химические компании, производители ИТ, поставщики и партнеры будут лучше оснащены и смогут повысить бдительность".