Функционирование промышленного предприятия сегодня трудно представить без автоматизированной системы управления производственными и технологическими процессами (АСУ ТП). Обеспечение защиты информации, обрабатываемой в АСУ ТП, предупреждение умышленного или неумышленного вмешательства в штатную и запланированную ее работу, исключение несанкционированного доступа к конфиденциальной информации становятся необходимой частью любого технологического процесса.
Техпроцесс безопасности
Повышение уровня автоматизации промышленных предприятий средствами современных информационных, телекоммуникационных и технологических систем, усложнение АСУ ТП, а также переход к необслуживаемым объектам и удаленному управлению по-новому ставят задачу надежного и безопасного функционирования объектов с точки зрения обеспечения информационной безопасности внедряемых информационных технологий.
Одной из главных проблем обеспечения защиты технологического оборудования является организация его безопасного обслуживания. В большей или меньшей степени функционирование производственных линий требует подключения оператора для администрирования оборудования и программного обеспечения. Некоторые категории пользователей системы – разработчики, подрядчики, производители оборудования – также часто прибегают к удаленному подключению для решения стоящих перед ними задач.
Безопасность в промышленных сетях означает в основном поддержание работоспособности всех компонентов АСУ ТП, поэтому три базовые цели, на достижение которых изначально была направлена информационная безопасность, – конфиденциальность, целостность и доступность – хотя и остаются прежними, но в контексте систем промышленной автоматики и контроля приоритетность их меняется. В рамках определенных требований к эксплуатации отдельных компонентов и АСУ ТП в целом значение доступности самой по себе или в сочетании с целостностью перевешивает значение конфиденциальности.
Защита технологического сегмента
Материалом для настоящей статьи послужил реализованный проект по разработке и внедрению системы информационной безопасности для крупного территориально распределенного промышленного предприятия, производственный процесс которого управляется более чем сотней АСУ ТП. При проектировании системы информационной безопасности были учтены требования действующих редакций приказов ФСТЭК России № 31 от 14.03.2014 г., № 235 от 21.12.2017 г. и № 239 от 25.12.2017 г.
Первым этапом построения защиты любой АСУ является ее исследование, в ходе которого выявляются наиболее распространенные проблемы защиты:
- использование слабых паролей;
- незакрытые возможности удаленного подключения;
- некорректные настройки оборудования;
- возможность бесконтрольного подключения в промышленную сеть из корпоративной сети.
Промышленная сеть на крупном предприятии традиционно реализована как распределенная по функциям система, которая взаимодействует через компьютерную сеть, построенную на коммутаторах. Для организации быстрого обмена коммутаторы работают на уровне L2 модели Open System Interconnection (OSI) и оперируют MAC-адресами, т. е. анализировать трафик и тем более его блокировать по определенным правилам они не в состоянии. В промышленной сети широко распространены SCADA-серверы, программируемые логические контроллеры, датчики и исполнительные механизмы, осуществляющие мониторинг, контроль и управление технологическим оборудованием. В силу разнообразия технических средств для обеспечения безопасности промышленной сети необходимо контролировать трафик сразу на нескольких уровнях модели OSI.
При выработке решения проблем промышленного заказчика нужно учитывать и требования по обеспечению непрерывности технологических процессов, а также финансовые и технические возможности заказчика.
Сегментация
Ключевая задача большинства проектов по обеспечению информационной безопасности АСУ ТП заключается в отделении промышленной сети от корпоративной, причем последняя имеет и подключение к Интернету. При решении данной задачи основными инструментами обеспечения информационной безопасности являются:
- межсетевые экраны (МЭ);
- системы обнаружения вторжений (СОВ);
- однонаправленные шлюзы;
- системы контроля действий привилегированных пользователей (СКДПП);
- регистрация событий безопасности.
Предложенную схему организации системы информационной безопасности иллюстрирует рисунок.
Межсетевой экран
Межсетевой экран служит для отделения промышленной сети не только от корпоративной, но и от внешних сетей. Этот инструмент позволяет, в частности, компенсировать такой недостаток промышленного оборудования, как использование в нем устаревших версий операционных систем и иного программного обеспечения, которое невозможно обновить без нарушения какого-либо технологического процесса. Межсетевой экран просто не дает обращаться к такому оборудованию напрямую из корпоративной сети, но исключительно через специальных посредников – инженерные рабочие станции.
Для этого доступ из корпоративной сети в промышленную сеть организован через специальный сегмент в виде демилитаризованной зоны (ДМЗ) согласно рекомендациям стандарта NIST 800-82. Демилитаризованная зона организуется по принципу ограничения прямого взаимодействия корпоративной и технологической сетей, при этом создаются две ДМЗ: промышленная ДМЗ (пДМЗ), обеспечивающая передачу команд из корпоративной сети на инженерные станции и далее на технологическое оборудование, и корпоративная ДМЗ (кДМЗ), в которую собираются данные мониторинга технологического оборудования, которые становятся доступны из корпоративной сети. В пДМЗ собирается и обрабатывается информация с компонентов АСУ ТП. В кДМЗ из пДМЗ передается сводная информация для предоставления данных пользователям, находящимся в корпоративной сети КСПД.
Система обнаружения вторжений
Система обнаружения вторжений (СОВ) обеспечивает анализ команд, проходящих через периметр промышленной сети, а также предотвращает нарушения в функционировании технологических процессов из-за специфических угроз информационной безопасности путем инспектирования трафика на предмет наличия в нем признаков вредоносной активности на различных уровнях модели OSI.
Однонаправленный шлюз
Дополнительно для передачи информации из пДМЗ на серверы в кДМЗ устанавливается однонаправленный шлюз (диод). Он позволяет передавать информацию с помощью протоколов прикладного уровня в одном направлении и, как правило, представляет собой аппаратно-программный комплекс, который обеспечивает организацию каналов однонаправленной передачи данных на физическом уровне и безопасную выгрузку данных из критических систем, в этом случае из промышленной в корпоративную сеть, посредством управления межсетевыми потоками.
Для решения такой задачи диод разворачивается в виде следующей схемы: два прокси-сервера и аппаратное устройство однонаправленной передачи данных. Передача трафика через диод возможна только в одном направлении, так как гальваническая развязка гарантирует отсутствие обратной связи. Прокси-серверы обеспечивают связь с внешними системами в сегментах пДМЗ и кДМЗ и организуют однонаправленный транспорт данных между собой. На принимающей стороне в сегменте пДМЗ прокси-сервер выступает в роли сервера данных (используется получение данных по протоколу FTP), на передающей стороне прокси-сервер выступает в роли клиента.
Обеспечивая однонаправленную выгрузку копии трафика как АСУ ТП, так и отдельных подсистем безопасности, диод дает возможность операторам и администраторам контролировать события, происходящие в промышленной сети, находясь в корпоративной сети, и гарантированно исключает возможность любого негативного информационного воздействия из корпоративной сети.
СКДПП
Управление производственным оборудованием и технологическим процессом, администрирование и обеспечение средств информационной безопасности в промышленной сети осуществляются в соответствии с принятым регламентом исключительно персоналом этой сети с АРМ операторов АСУ ТП. Для предотвращения нарушения работоспособности АСУ ТП и утечки конфиденциальной информации существует необходимость контроля действий пользователей, обладающих, по сути, неограниченными правами. Дополнительным средством обеспечения безопасности АСУ ТП является использование СКДПП. Под привилегированными пользователями в данном случае подразумеваются лица, которым разрешено использовать автоматизированную систему вопреки общей политике безопасности и которые могут получить доступ к защищаемой информации без явного разрешения владельца активов. К привилегированным пользователям относятся, например, инженеры отдела эксплуатации АСУ ТП. Привилегированный пользователь может быть как законным пользователем (принадлежать к персоналу предприятия), так и посторонним лицом, похитившим чужую учетную запись и пытающимся непосредственно или с помощью имеющихся у него технических и программных средств получить доступ к информационным ресурсам и инфраструктуре сети предприятия. При этом доступ непривилегированных пользователей из корпоративной сети в промышленную необходимо закрыть. Многие СКДПП не могут противостоять попыткам привилегированного пользователя нанести ущерб АСУТП и информационным ресурсам. Главная задача такого типа систем заключается в фиксации действий злоумышленников, которая может быть использована и как доказательная база при расследовании инцидентов.
СКДПП обеспечивает единую точку входа, управляет аутентификацией и авторизацией привилегированных учетных записей, протоколирует действия таких пользователей в системе для последующего контроля и анализа. Решение по СКДПП может быть реализовано в виде программного средства в системе виртуализации. Для доступа в промышленную сеть используются виртуальные инженерные станции. Система фиксирует в специальном журнале трафик сессий, не внося изменений в саму сессию, записывает видеопоток для графических сеансов, клавиатурный ввод пользователя, запущенные фоновые процессы, окна. При необходимости имеется возможность просмотра журнала событий, восстановления и анализа действий привилегированных пользователей.
Регистрация событий безопасности
Упомянутые средства защиты, конечно же, не являются достаточными для создания полноценной системы информационной безопасности АСУ ТП, поскольку есть еще средства идентификации, аутентификации и управления доступом, анализа защищенности, криптографической защиты каналов связи, антивирусной защиты и многие другие. Они, а также описанные выше средства защиты были интегрированы в систему регистрации событий безопасности (SIEM).
Организация защиты
Решение задачи безопасного обслуживания АСУ ТП было бы неполным без внедрения комплекса организационных мер, включающих разработку комплекта политик, инструкций и регламентов, должностных обязанностей, консультирование и обучение персонала и иных мер. Необходимо учитывать, что первоочередным фактором в обеспечении безопасности всегда являются внимательность и ответственное поведение персонала предприятия.
Непосредственное внедрение системы информационной безопасности на предприятии проводится поэтапно на основании согласованного с производственными отделами плана, разработанного в целях безопасного обслуживания непрерывных технологических процессов. При этом учитываются результаты испытаний как отдельных средств и подсистем, так и системы защиты в целом. В рамках испытаний выполняется проверка полноты и качества реализации системой информационной безопасности своих функций в разных условиях функционирования – для этого существуют и требования регуляторов к системе обеспечения защиты, и лучшие мировые практики.
Важной задачей внедрения средств защиты на крупном предприятии является обеспечение масштабирования предложенного решения. Обычно на пилотном внедрении все работает отлично, а при массовой защите большого количества АСУ ТП возникают нюансы. Один из вариантов масштабирования – создание большего количества сегментов на одном МЭ и контроль межсетевого взаимодействия между ними. Современные средства защиты позволяют построить достаточно большое количество сегментов, в каждый из которых можно поместить свою АСУ ТП. Второй вариант масштабирования – создание для каждой АСУ ТП своего МЭ без единого сегмента ДМЗ, с обеспечением сразу трех отдельных сегментов: для программируемых логических контроллеров (ПЛК), для АРМ операторов и для SCADA-серверов.
В любом случае, чтобы уменьшить площадь атаки, минимальным необходимым набором оборудования является МЭ, на котором есть возможность запуска различных виртуальных машин. При проектировании такого решения следует руководствоваться приказом № 239 ФСТЭК. При его реализации одним межсетевым экраном сложно ограничиться, требуется использовать множество программных решений, которые могут быть запущены в виртуальных средах.
Заключение
Специфика системы информационной безопасности АСУ ТП требует от исполнителей на этапе разработки глубокого понимания технологических процессов, знания систем автоматизации и промышленного оборудования, на этапе внедрения – минимального влияния на производство и максимального использования встроенных механизмов защиты. Процедуры обслуживания АСУ ТП, в том числе внедрения систем защиты, сами по себе представляют значительную опасность, поскольку требуют согласованного изменения состояния многих элементов технологического оборудования и зависят от безупречного выполнения определенных последовательностей автоматических операций, а также согласованных действий технологического персонала и специалистов по информационной безопасности.
Создание систем защиты информации – сложная и ответственная задача. Предложенные в статье подходы к созданию системы информационной безопасности, обеспечивающей выполнение основных производственных и технологических процессов, позволяют повысить эффективность защиты ядра производственной системы, обеспечив через комплекс технических и программных средств, а также организационных мер непрерывность работы в круглосуточном режиме производственной АСУ ТП.
