Защита информации в АСУ ТП
Меня зовут Александр, в компании МультиТек Инжиниринг я возглавляю направление защиты информации АСУ ТП, и сегодня хотел бы обсудить тему безопасности в АСУ ТП, ее особенностях, отличиях от обеспечения безопасности в «не-АСУ ТП».
Хороший тон и лучшие практики в области информационной безопасности говорят нам о том, что вопрос обеспечения защиты информации нужно рассматривать с трёх сторон: люди, процессы, технологии, и я с этим полностью согласен. Но сегодня, для легкого погружения в тему, я остановлюсь только на технологиях, а людей и процессы сможем разобрать в следующий раз.
НЕМНОГО ПРО АСУ ТП
Для начала расшифруем аббревиатуру АСУ ТП – автоматизированная система управления технологическим процессом производства, представляющая собой, упрощённо, комплекс программно-технических средств, включающий программное обеспечение, оборудование, технологические протоколы, каналы передачи данных и т.д..
Обращаю ваше внимание, программное обеспечение (ПО) – основополагающий компонент АСУ ТП. ПО работает с информацией, ПО позволяет модифицировать информацию и управлять ею.
Приведу несколько примеров:
- производство конфет. Подготовка сырья, формирование изделий, глазирование, охлаждение и упаковка — все это может управляться как отдельной АСУ ТП, так и являющейся частью более крупной АСУ ТП — тут все зависит от объемов производства.
- производство угля. Переработка горной руды — это сложный, процесс взаимодействия различных АСУ ТП (управляющих добычей, переработкой, обогащением, транспортировкой и т.д.).
Методом исключения определим, что в «не-АСУ ТП» будут входить все объекты, не попавшие в границы АСУ ТП. И снова примеры:
- работа отдела продаж. Система учета рабочего время, доступ к сети Интернет, система ERP, IP-телефония и общие сетевые папки — все это однозначно принадлежит «не-АСУ ТП»;
- работа бухгалтерии. Система расчета с заказчиками, система отчетности, электронная почта, доступ к порталам Интернет-банкингов также принадлежат «не-АСУ ТП».
Идем дальше. Проведем несложный анализ описанных выше примеров, и заметим следующее:
- сетевое оборудование, компьютеры, серверы, операционная система Microsoft Windows, текстовые документы – все это является неотъемлемой частью как АСУ ТП, так и «не-АСУ ТП»;
- станки (конвейерные ленты), контроллеры, система SCADA, протокол «МЭК-104», датчики давления, пара и качества воздуха, а также системы учёта электроэнергии явно присущи только АСУТП. Стоит отметить, что это далеко не все отличия, но об этом немного дальше.
ЗАЩИТА ИНФОРМАЦИИ
Чтобы понять, чем отличается защита информации в АСУ ТП от защиты информации в «не-АСУ ТП», рассмотрим возможные последствия нарушения защиты информации в АСУ ТП:
- отказ и сбои в работе оборудования на производстве, включающие:
- выход из строя дорогостоящего (и, возможно, даже уникального) оборудования;
- нарушение работы оборудования, обеспечивающего функционирование социально важных объектов страны;
- нарушение работы оборудования, контролирующего промышленную безопасность химических веществ (хранение аммиака, подача кислорода и т.п.).
- нарушения и сбои в работе сложных технологических процессов;
- нарушения требований охраны труда и пожарной безопасности;
- финансовый и репутационный ущерб;
- ущерб окружающей среде;
- угроза для жизни и здоровья людей.
Резюмируя, диапазон возможных последствий огромный: от незначительного сбоя в работе принтера до гибели людей, техногенных и экологических катастроф.
Глобальность, трагичность и катастрофичность последствий — вот цена пренебрежения защитой информации в АСУ ТП.
Надеюсь, что мне достаточно убедительно удалось обосновать важность защиты информации в АСУ ТП.
Теперь перейдем к трудностям, с которыми мы, скорее всего, столкнёмся на нашем пути:
- непрерывность и замкнутость технологического процесса (невозможность остановить технологический процесс);
- непредсказуемость поведения систем, разработанных десятки лет назад (старые операционные системы – Microsoft Windows XP, Microsoft Windows 98, драйверы без поддержки и невозможности доработки), после воздействия на них современных средств защиты информации (СрЗИ);
- долгий цикл обновления специализированного программного обеспечения;
- высокая потребность в специалистах с уникальными знаниями и соответствующей подготовкой.
И это всего лишь малая доля того, что нам усложняет обеспечение защиты информации АСУ ТП.
Сейчас, когда мы знаем, ЧТО необходимо защищать, знаем ЗАЧЕМ и с какими ТРУДНОСТЯМИ мы можем столкнуться, переходим непосредственно к процессу защиты АСУ ТП. (напомню, выше мы определились, на сегодня ограничимся только технологиями). Пройдем наш процесс обеспечения защиты информации по шагам:
Во-первых, необходимо определить границы АСУ ТП. Это могут быть как физические границы зданий или помещений, так и адреса подсетей. Стараемся определить, какие активы входят в границы, какие нет; какие потоки могут отдать информацию за границы (исходящий трафик), какие нет. Мы четко должны знать, где начинается и где заканчивается наша ответственность относительно внешней среды.
Во-вторых, необходимо провести инвентаризацию всех активов, находящихся в границах АСУ ТП и, возможно, уточнить границы.
Тут мы можем встретиться с первой особенностью обеспечения защиты информации – это непредсказуемость поведения оборудования при воздействии на него СрЗИ, осуществляющих инвентаризацию. К примеру: формирование ложных команд в отношении технологического оборудования, переход ПО в нерабочий режим.
Одним из вариантов избежать неприятных сюрпризов по части инвентаризации является использование СрЗИ, которые способны производить инвентаризацию, используя лишь копию сетевого трафика (продукты класса NTA (Network Traffic Analizer).
В-третьих, необходимо обеспечить контроль границ АСУ ТП, а именно контроль исходящего/входящего трафика.
По возможности полностью изолируем нашу АСУ ТП от внешней среды и спим спокойно. Если это сделать не удается, и предприятие все же нуждается в оперативной информации из АСУ ТП, нам на помощь приходят диоды данных, они обеспечивают однонаправленный поток данных.
В-четвертых, необходимо обеспечить защиту от вирусов для всех серверов и компьютеров в АСУ ТП. С этим хорошо справляются как антивирусы, так и СрЗИ класса EDR (Endpoint Detection & Response), каждый в своей части. Однако, стоит всегда помнить, что бездумная установка таких СрЗИ может привести к весьма печальным последствиям, так как антивирусы и СрЗИ класса EDR имеют функционал блокировки процессов, файлов устройств.
Но тут мы встречаемся со второй особенностью обеспечения защиты информации АСУ ТП – устаревшие операционные системы, являющиеся неотъемлемой часть АСУ ТП. Современные антивирусы требуют для работы вычислительные ресурсы, которые устаревшие системы предоставить не могут. Кроме того, современные антивирусы требуют от операционных систем нового функционала, которого просто нет в старых версиях систем.
Тут на помощь приходят специализированные антивирусы, разработанные с учетом вышеописанных особенностей. У них обширнее перечень поддерживаемых операционных систем, а требования к вычислительным ресурсам заметно меньше.
В-пятых, необходимо сделать РЕЗЕРВНЫЕ КОПИИ ВСЕХ активов, с которых удастся получить необходимую информацию, а именно операционных систем компьютеров и серверов, конфигурационных файлов сетевого оборудования, проектов контроллеров, дистрибутивов программного обеспечения, баз данных, логинов и паролей и т.д.
Тут на помощь придут системы резервного копирования и системы контроля версий конфигурационных файлов.
Подводя итог, хочу сказать, что защита информации в АСУ ТП – крайне важный процесс, который по своей значимости должен стоять, на мой взгляд, в одном ряду с охраной труда и пожарной безопасностью.
Уделяйте процессу защиты информации достаточное количество времени, проектируйте и создавайте системы, обеспечивающие защиту информации, а если у вас возникнут вопросы, мы всегда готовы вам помочь в этом.