29–30 января 2015 г. в Москве состоялась Третья конференция «Информационная безопасность АСУ ТП КВО», организованная Издательским домом Connect. В этом году мероприятие получило право называться международным – на форум приехали делегации из Армении и Казахстана. В центре внимания делегатов были проблемы обеспечения информационной безопасности автоматизированных систем управления (АСУ) технологическими процессами (ТП) критически важных объектов (КВО), механизмы развития сотрудничества в сфере противодействия преступлениям, совершаемым с применением ИТ. Особое внимание докладчики уделили совершенствованию нормативной и технической базы, способам решения проблемы импортонезависимости, научно-методическим основам прогнозирования и обоснования уровней допустимых рисков в этой сфере, а также вопросам подготовки кадров с использованием современных методик обучения.
В конференции приняли участие представители Организации Договора о коллективной безопасности, ФСБ России, ФСТЭК России, Минкомсвязи России, Минэнерго России, Минтранса России, МЧС России, других органов государственной власти и управления Российской Федерации, Фонда перспективных исследований, ряда научно-исследовательских институтов, вузов, руководители компаний и предприятий, разработчики средств защиты информации, производители и поставщики оборудования, ПО, специалисты-практики в сфере ИБ.
Приветствие в адрес делегатов конференции с пожеланием плодотворной работы прислал заместитель секретаря Совета Безопасности РФ, председатель межведомственной комиссии Совета Безопасности РФ по информационной безопасности Сергей Буравлев, который отметил, что проведение конференции по актуальным проблемам обеспечения информационной безопасности АСУ ТП КВО становится доброй традицией и наглядным подтверждением стремления специалистов в столь чувствительной сфере национальной безопасности Российской Федерации к поиску оптимальных и наиболее эффективных путей решения этих проблем. Он подчеркнул необходимость выработки системного подхода к решению первоочередных задач в сфере защиты автоматизированных систем управления технологическими процессами критически важных объектов от нарастающих угроз.
Масштабы угроз и форматы взаимодействия
Пленарное заседание конференции открылось обсуждением вопросов противодействия современным вызовам и угрозам информационной безопасности в формате ОДКБ, роли и задач бизнес-сообщества, гражданского общества по обеспечению безопасности информационной инфраструктуры Российской Федерации.
В условиях, когда значительная часть трафика в Сети генерируется интернет-пользователями, меняется парадигма защиты информации и разработки соответствующих средств, отметил Дмитрий Финогенов, начальник отдела из Центра ФСБ России. Защита информации в сфере АСУ ТП КВО невозможна без обеспечения безопасности ИТ-инфраструктуры в целом и без повышения компьютерной грамотности пользователей в частности. В результате коммерциализации процесса разработки вредоносных программ, производство которых поставлено на поток, средства компьютерного нападения обходятся все дешевле, а воспользоваться ими можно на условиях аренды. О возможностях глобального черного рынка вредоносного ПО можно судить по доступности услуги аренды бот-сети для осуществления компьютерных атак на различные объекты. Большинство владельцев компьютеров, вовлеченных в такие сети, не подозревают о том, что они втянуты в совершение противоправных действий. Борьба с неграмотностью пользователей в сфере ИБ – непростая задача. Важно донести до каждого пользователя мысль о том, что безопасность в цифровой среде, правила компьютерной гигиены, подобно мытью рук перед едой, должны соблюдаться в собственных и общественных интересах. Решать такую задачу нужно объединенными усилиями государства, бизнеса, научно-образовательного и гражданского сообществ, подчеркнул представитель ФСБ России. Для того чтобы обеспечить безопасность ИТ-инфраструктуры, учитывая связанность информационного пространства, бизнес должен брать на себя ответственность за нарушение управления бизнес-процессами, которые могут создать эффект домино.
О насущных задачах координации работ в целях противодействия современным вызовам и угрозам информационной безопасности в рамках Организации Договора о коллективной безопасности шла речь в докладе Владислава Шушина, представителя ОДКБ. Эффективному сотрудничеству, как и созданию надежной системы безопасности в информационной сфере, препятствует не только несовершенство национальных законодательств, но и размытость функции обеспечения ИБ по более чем 15 министерствам и ведомствам. Первым опытом координации действий в борьбе с киберпреступностью в масштабах ОДКБ стала операция «Прокси».
Количество интернет-ресурсов с террористической окраской за десять лет увеличилось в 200 раз, что требует консолидации усилий на межгосударственном уровне. Работа по формированию системы безопасности началась в 2006 г. За прошедшие годы было подписано 13 документов, регламентирующих сотрудничество в данной сфере. При оценке результатов этой работы следует учитывать, что на согласование каждого документа уходит не менее года. К настоящему времени разработано положение о сотрудничестве, на национальном уровне определены так называемые комбинирующие органы, через которые осуществляются контакты по проблемам ИБ, принято решение о создании консультационно-координационного центра по вопросам компьютерных инцидентов. В свете последних геополитических событий на мировой арене в формате ОДКБ будет сформирован центр кризисного реагирования.
Юрий Хамчичев, начальник отдела департамента административной и законопроектной работы Министерства энергетики РФ, напомнил, что Федеральный закон от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» предусматривает категорирование и паспортизацию объектов ТЭК, устанавливает требования по обеспечению безопасности таких объектов и контроль их выполнения. Этим же законом определяются меры по подготовке специалистов в области обеспечения безопасности объектов ТЭК. Создание на объектах ТЭК систем защиты информации и информационно-телекоммуникационных сетей от неправомерного доступа предусматривает реализацию комплекса технических и организационных мер, обеспечивающих, в частности, антитеррористическую защищенность объектов ТЭК.
Сегодня завершаются работы по обследованию, оценке уязвимости и категорированию объектов ТЭК на предмет обеспечения их защиты. При этом очевидна необходимость дальнейшего совершенствования нормативно-правовой базы, в связи с чем предстоит внести ряд изменений в правовые акты. В частности, предлагается привлекать к проведению категорирования и паспортизации объектов ТЭК специализированные организации, получившие соответствующую аккредитацию, выработать порядок сертификации инженерно-технических средств охраны, используемых для физической защиты объектов ТЭК. Охрану объектов, отнесенных к высокой и средней категориям опасности, следует поручать исключительно ведомственным охранным структурам.
Интеллектуальный контур управления ИБ
Одна из особенностей АСУ ТП – реальный масштаб времени протекания управляемого технологического процесса. Специфика обеспечения информационной безопасности обусловлена конструктивно-технологическими особенностями объекта управления, его экономической и оборонной значимостью. Сергей Гарбук, заместитель генерального директора Фонда перспективных исследований, представил на конференции рамочный подход к проектированию интеллектуальных систем обеспечения ИБ АСУ ТП критически важных объектов. Интеллектуальный контур управления ИБ охватывает три уровня: информационный, физический и макроуровень.
Среди интеллектуальных задач управления ИБ АСУ ТП следует выделить возможность принятия решений в непредвиденных ситуациях на основе анализа ценностных аспектов, «интуитивных» соображений и прогнозирование развития сложных технических и социально-экономических систем в условиях неточного и неполного описания их эволюции. Путей создания интеллектуальной системы информационной безопасности может быть несколько, но оптимальный с точки зрения ФПИ вариант – эволюционное формирование системы с заданными функциональными свойствами на основе принципов нейроонтогенеза. Созданная система должна обеспечивать повышение скорости и качества решения интеллектуальных задач по сравнению человеком-оператором и имеющимися техническими решениями. Пользователями такой ИС могут быть органы исполнительной власти, ГК «Росатом».
Основными причинами нештатных ситуаций в АСУ ТП КВО, которые могут быть вызваны как внутренними, так и внешними причинами, являются неполнота и неопределенность данных о технологических процессах, протекающих в КВО, отметил Владимир Гордейчук, исполнительный директор НП ЗАО «Отделение проблем военной экономики и финансов». В своем выступлении он рассказал об интеллектуальной системе сбора и анализа данных для прогнозирования нештатных ситуаций в АСУ ТП КВО. Не все нештатные ситуации, обусловленные внешними причинами, поддаются прогнозированию с помощью анализа и моделирования технологических процессов. Прежде всего это касается редких событий, имеющих существенное значение для КВО. Прогнозировать такие события предлагается на основе следующих методов: динамическое моделирование процессов смены дискретных состояний систем, определяющих сценарии развития опасных ситуаций (метод разработан в Институте проблем управления РАН для космической отрасли); переход к исчислению рисков не мерой вероятности, а мерой опасности в соответствии с методами, предложенными в Институте прикладной математики им. М.В. Келдыша РАН; определение границ применимости теории надежности с переходом к применению теории системной безопасности для КВО. Докладчик представил ряд предложений по совершенствованию системы безопасности. Например, чтобы определить, когда ситуация в АСУ ТП переходит из штатного состояния в нештатное, необходимо руководствоваться эталоном технологических процессов КВО, с которым можно сравнивать реальный технологический процесс. Технологические процессы в АСУ ТП осуществляются последовательно, и пока не завершен предыдущий его этап, нельзя оценить последующий. С учетом этого прогнозирование развития технологических процессов предлагается осуществлять по параллельной схеме.
Стандартизация – ключ к цифровому предприятию
О деятельности Международной организации стандартов ИСО в области ИБ АСУ ТП участникам конференции рассказал Юрий Тимофеев, заместитель председателя Национального технического комитета РФ по стандартизации ТК22 «Информационные технологии». По его мнению, организациям, заинтересованным в появлении и развитии отечественных стандартов, следует не только активизировать участие своих представителей в технических комитетах Международной электротехнической комиссии (МЭК), в частности в ТК57 и ТК65, но и быть в курсе событий, происходящих в подкомитете ISO/IEC JTC1/SC27 (принимать участие в работе «зеркального» подкомитета РФ ТК22/ПК127 «Безопасность ИТ»). Кроме того, совместно с Росстандартом важно создать систему оперативного перевода и внедрения соответствующих международных стандартов в нашей стране.
Докладчик упомянул о некоторых аспектах, проявившихся в деятельности подкомитета ISO/IEC JTC1/SC27. Еще в 2009 г. по инициативе США был принят международный стандарт ISO/IEC 11889:2009 Trusted computing module (TPM), разработанный консорциумом TCG (Trusted Computing Group), в который входят 97 членов. В минувшем году TCG предложила ввести новую редакцию стандарта TPM 2.0. Несмотря на отсутствие согласия и горячие споры при его обсуждении в ПК27, в конце прошлого года большинством голосов стандарт все же был принят. Эксперты полагают, что TPM 2.0 может привести к повышению дисбаланса в мире относительно нарастающих киберугроз, причем в пользу единственной страны.
Представляя научно-методические основы для прогнозирования, обоснования уровней допустимых рисков и обеспечения комплексной безопасности КВО, Андрей Костогрызов, председатель подкомитета по информационной и промышленной безопасности Комитета по безопасности предпринимательской деятельности ТПП РФ, заметил, что в индустрии безопасности действуют федеральные законы, правила безопасности, системообразующие стандарты – ISO 9001 (требования к системе менеджмента качества), ISO/IEC 15288 (первый стандарт по системной инженерии, регламентирует процессы жизненного цикла систем), ISO серий 14000 (менеджмент безопасности окружающей среды), 18000 (менеджмент охраны труда), 20000 (сервис-менеджмент), 27000 (менеджмент информационной безопасности), 31000 (менеджмент риска) и др. При этом общим для них является требование системного управления рисками. Эффективное управление невозможно без умения количественно прогнозировать риски и обосновывать действенные меры в режиме упреждения. В свою очередь, алгоритм управления рисками применительно к любым системам предусматривает использование исходных ресурсов и защитных технологий с лучшими с точки зрения безопасности характеристиками, рациональное применение системы ситуационного анализа потенциально опасных событий, эффективных способов контроля, мониторинга состояний и оперативного восстановления целостности, рационального применения мер противодействия рискам.
Для обеспечения комплексной безопасности КВО и систем необходимо развивать пять направлений: нормативно-правовое (разработка концепции управления рисками, политики и принципов обеспечения комплексной безопасности, типовой системы менеджмента качества), организационно-методическое (составление моделей угроз, сбора и обработки информации о потенциальной опасности, мониторинг состояний, разработка методик и типовой технологии управления рисками), опытно-конструкторское (создание автоматизированной системы сбора, учета и анализа информации, прогнозирования рисков и поддержки принятия решений), эксплуатационное (внедрение, адаптация и эксплуатация систем и технологий) и кадровое (внедрение системы обучения и повышения квалификации персонала).
О проблеме управления рисками говорил и Вадим Резвов, заместитель начальника отдела ФГУП «РФЯЦ-ВНИИЭФ», в своем выступлении, посвященном роли импортозамещения в обеспечении ИБ АСУ ТП КВО. Риски, возникающие при использовании зарубежных ИТ-продуктов и технологий, докладчик условно разделил на три категории. Первая – риски вмешательства, т. е. связанные с недекларированными возможностями ПО и закладками (шпионаж, порча информации, установление контроля над АСУ). Во вторую категорию включены риски непоставки новых версий программных продуктов, прекращения сервисного обслуживания. Третья группа объединяет внутренние риски, обусловленные ответными санкционными мерами, например требованиями исключить применение импортных технологий и ограничить закупку зарубежных, в частности, в целях стимулирования технологической независимости отечественных КВО.
Среди основных направлений устранения рисков Вадим Резвов выделил отказ от использования или замену импортных технологий, обеспечение контроля и спецпроверки компонентов, применение российского ПО и аппаратного обеспечения, создание страхового запаса запчастей для АСУ и развитие локальных центров компетенций поддержки, используемых на критически важных объектах систем и ПО. Докладчик признал, что все это требует времени и эффективной подготовки специалистов.
В нынешних условиях ИТ-директору необходимо обеспечить проведение аудита ИТ-ландшафта (составить перечень используемых технологий, оценить их значимость, угрозы и степень уязвимости компонентов), оценить уровень новых рисков, выбрать сценарий реагирования и разработать дорожную карту его реализации.
Как показывает опыт, зачастую систему автоматизации процессов предприятия разрабатывают специалисты в области проектирования, управления предприятием, вычислительной техники, сетевых технологии и т. д. Они действуют исходя из «лучших практик», исследуют ПО, пользуются услугами консалтинга, проводят обучение, оставляя решение задач ИБ на потом. Приглашенный поставщик средств защиты информации не может построить оптимальную систему без учета особенностей технологии обработки информации. В подобных случаях на завершающем этапе проекта выясняется, что инвестиции вложены, время затрачено, система готова, но запустить ее невозможно по требованиям ИБ. Очевидно, что решение о замене тех или иных компонентов нужно было принимать на этапе проектирования комплексной системы.
Заслуживает внимания опыт внедрения импортонезависимых решений в рамках реализации программы «Трансформация ИТ Госкорпорации «Росатом». Об этом докладчик рассказал на примере разработки информационно-технологической платформы «Цифровое предприятие», одним из архитектурных принципов построения которой стало использование не только отечественных ИТ продуктов, но и свободного ПО с открытым кодом. Составлена дорожная карта развития импортонезависимой информационной технологической платформы «Цифровое предприятие» для ОПК.
Вопросы стандартизации проектной и организационно-распорядительной документации, разрабатываемой при проектировании и подготовке к аттестации АСУ ТП КВО, стали темой выступления Николая Конопкина, заместителя начальника управления информационных технологий и безопасности, филиал компании «Гринатом», г. Саров. В рамках проекта по созданию АСЗИ отраслевого уровня приходится разрабатывать около полусотни документов, дополнительно оформлять листы утверждения, протоколы совещаний, сопроводительные письма и т. п. Кроме того, необходимо вести регистрацию и учет в конфиденциальном делопроизводстве с использованием ЕОСДО, учитывать как отраслевые требования, так и наработки системных интеграторов.
Слабое звено и возможности е-learning
Вряд ли можно переоценить значение подготовки и переподготовки кадров в условиях, когда проблема импортозамещения затрагивает ключевые отрасли отечественной экономики. Анализ основных центров, методов, нормативной и технической базы подготовки специалистов сквозь призму обеспечения защищенности ИТ-директора, в том числе и образовательными технологиями, представил на конференции Павел Овчинников, заместитель заведующего кафедрой «Корпоративные информационные системы» МФТИ. Основные проблемы переходной экономики России связаны с провалом в инновациях. Причем под инновациями, как подчеркнул докладчик, надо понимать не создание чего-либо нового, не нововведение в области техники, технологии, организации труда или управления, а внедрение в употребление нового или значительно улучшенного продукта (товара или услуги), процесса, метода маркетинга или организации деловой практики. Мы проигрываем в том, что наработки ученых, инженеров не находят своего покупателя, а ведь конечный потребитель голосует за инновации рублем. Любые инновации начинаются с обучения, в том числе потенциальных потребителей, которые должны понимать пользу инноваций, реализованных в продукте или услуге, и уметь ими пользоваться. Ключевая проблема в обучении и подготовке кадров в России связана с отставанием от основных международных тенденций, в частности, таких как электронное обучение (e-learning) посредством использования электронных портфолио, учебных материалов, возможностей среды взаимодействия, виртуальных лабораторий и т. д.
Методы предотвращения техногенных катастроф при обеспечении безопасности АСУ ТП и проблемы человеческого фактора – тема выступления Андрея Корнеева, руководителя Центра проблем энергетической безопасности Института США и Канады РАН. Среди причин техногенных катастроф можно выделить факторы, вызванные халатностью и необученностью обслуживающего персонала, износом материальной базы и внешними негативными факторами, а также непредвиденными последствиями штатного функционирования технологических систем. Противостоять этому можно, если обеспечить непрерывный мониторинг, принятие профилактических мер, сценарное моделирование, рефлексивное управление, постоянную работу по мотивации и обучению персонала, а также комплекс мер, стимулирующих инновационное развитие. Недостаточно подготовленный сотрудник, по словам докладчика, – самое слабое и опасное звено на современном производстве.
Для снижения рисков, связанных с человеческим фактором, методика первичного профессионального обучения и непрерывного повышения квалификации персонала должна предусматривать пять обязательных этапов: мультимедийный рассказ преподавателя; показ на тренажерах алгоритма действий по ликвидации нештатных ситуаций; совместная командная работа преподавателей и обучаемых на тренажерах и прохождение контрольных тестов; самостоятельная индивидуальная и групповая работа обучаемых по применению навыков; зачетное прохождение стресс-тестов с моделированием критических ситуаций и последующей защитой квалификационной работы с анализом ошибок и корректирующих рекомендаций. Техногенные катастрофы всегда дешевле предотвратить, чем компенсировать их неизбежные последствия.
Алгоритм защиты
Непрерывность процесса управления АСУ ТП является первостепенной задачей, отметил в своем выступлении Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского». Мировой опыт показывает, что инциденты, угрожающие непрерывности управления, представляют серьезную опасность. Об одном из них, произошедшем на сталелитейном заводе в Германии, стало известно в декабре прошлого года. Федеральное управление по информационной безопасности публично признало факт компьютерной атаки, в результате которой доменную печь не удалось остановить в штатном режиме. Не все подобные случаи придаются огласке по понятным причинам, а о многих ЧП становится известно далеко не сразу даже собственникам или управленцам. По данным «Лаборатории Касперского», об атаках, которые осуществляются в настоящее время, станет известно только через 3–5 лет. Скрытый характер их осуществления и позволяет подобным чрезвычайным происшествиям долго оставаться незамеченными.
Наиболее частыми объектами для атак, целью которых является получение доступа к SCADA-системам и PLC-устройствам, становятся нефтегазовые и энергетические системы, гидро- и атомные электростанции, объекты транспортной инфраструктуры. Основным вектором проникновения в технологические сети представитель «Лаборатории Касперского» назвал человеческий фактор и развеял ряд мифов об ИТ-безопасности АСУ ТП. В частности, бытует мнение, что хакеры не понимают, как устроены АСУ ТП, технологический процесс, поэтому не смогут причинить вред системам. Однако для того, чтобы сломать сложную конструкцию, не всегда нужно знать устройство, достаточно иметь представление о ее слабых сторонах.
Для контроля сетевых взаимодействий, мониторинга непрерывности процесса управления «Лаборатория Касперского» предлагает набор технологий, позволяющих, в частности, своевременно обнаружить аномалии в сети и управлении технологическим процессом. Используемые при этом способы защиты – идентификация устройств, онлайн-информирование о появлении новых устройств, оповещение о неавторизованных изменениях микропрограмм PLC, детектирование вредоносного или нетипичного сетевого трафика, выявление непредусмотренного потока команд и данных на уровне технологического процесса и т. д. Примечательно, что перечисленные технологии предназначены для детектирования нехарактерной активности независимо от причины ее возникновения (вирусы, хакеры, ошибки в программах, ошибки конфигурирования, намеренная или непреднамеренная деятельность либо бездействие персонала и т. д.), их можно рассматривать как противоаварийную защиту на уровне потоков управления. Наряду с этим «Лаборатории Касперского» предоставляет сервисную и информационную поддержку.
Среди современных угроз для АСУ ТП КВО компания «Доктор Веб» выделяет компьютерные вирусы, точечные хакерские атаки и DoS-атаки, а также программные уязвимости. Екатерина Пашоликова, начальник отдела по работе с ключевыми клиентами компании «Доктор Веб», рассказала о методах, задачах и возможностях экспертизы вирусозависимых компьютерных инцидентов в АСУ ТП. Целью экспертизы как комплекса мероприятий является исследование произошедшего для выяснения причин, последствий, обеспечения возможности проведения расследования и преследования злоумышленника по закону. Объектами экспертизы могут быть серверное оборудование, АРМ, съемные носители информации, фото и видеоматериалы. Докладчик представила алгоритм действий в случае вирусозависимого компьютерного инцидента, дала рекомендации по построению системы антивирусной защиты и обеспечению информационной безопасности АСУ ТП, подчеркнув преимущества решений российского разработчика средств защиты информации. Продукты Dr.Web имеют сертификаты соответствия ФСТЭК, ФСБ и Минобороны России, что позволяет использовать эти решения в организациях, предъявляющих повышенные требования к уровню безопасности, в том числе для защиты КВО. По мнению Екатерины Пашоликовой, обеспечение безопасности периметра – ключевое направление защиты АСУ ТП КВО.
Николай Домуховский, представитель компании «Уральский центр систем безопасности», посвятил свое выступление вопросам обеспечения информационной безопасности систем автоматического управления (САУ). В докладе были рассмотрены особенности функционирования САУ с точки зрения ИБ применительно к двум режимам: операционному и инженерного сопровождения. В первом случае к актуальным угрозам ИБ САУ относятся внедрение аппаратных и программных закладок, доступ к портам ввода-вывода, воздействие со стороны смежных систем и сервисного компьютера. Обеспечение информационной безопасности САУ предусматривает комплекс мер: превентивных (например, разграничение доступа), детектирующих (обеспечение целостности, регистрация и учет событий) и корректирующих (резервное копирование компонентов САУ). Докладчик проанализировал порядок реализации мер по обеспечению защиты для каждого из указанных режимов функционирования САУ. По словам Николая Домуховского, требования по обеспечению ИБ АСУ ТП должны учитывать особенности режимов функционирования защищаемых систем. Основным направлением обеспечения ИБ АСУ ТП является формирование замкнутой программной среды в операционном режиме работы системы и полный контроль над процессом инженерного сопровождения. Чтобы исключить влияние со стороны системы обеспечения ИБ на работу АСУ ТП, необходимо сосредоточить выполнение превентивных мер информационной безопасности на границе системы. Причем меры обеспечения ИБ АСУ ТП должны закладываться при создании системы, в том числе ее архитектура, используемые компоненты и т. д.
Методика исследования программных и программно-аппаратных средств оценки защищенности АСУ ТП – основная тема выступления Александра Бурцева, директора департамента АСУ ТП компании «Станкоинформзащита». Специалисты предлагают следующий алгоритм проведения исследований программно-аппаратных средств АСУ ТП с использованием анализа кода встроенного ПО. После получения точной копии встроенного ПО исследуемого устройства нужно определить архитектуру микропроцессора устройства, а при необходимости и алгоритмы сжатия или защиты такого ПО для проведения полноценного исследования. Затем следует установить, какие сетевые протоколы поддерживаются устройством, какие сетевые сервисы за это отвечают, выявить, какие программные модули дополнительного ПО производителя прямо или косвенно взаимодействуют с запущенными на устройстве сетевыми сервисами. После проведения анализа основных предметов исследования – сетевых протоколов, встроенного и дополнительного ПО – реализовать выполнение СПС, демонстрирующее как стандартную работу сетевых протоколов, так и обнаруженные в них уязвимости и ошибки.
Что касается основных проблем безопасности встроенного ПО оборудования АСУ ТП, то в этот перечень, по мнению представителя компании «Станкоинформзащита», входят использование устаревших версий ОС в моделях оборудования, давно представленных на рынке, применение в ПО сторонних программ, имеющих уязвимости, слабые механизмы восстановления работоспособности системы при сбое, отсутствие механизмов предотвращения эксплуатации типовых уязвимостей ПО, выполнение всех процессов в режиме ядра ОС. При оценке защищенности ПО и оборудования АСУ ТП в компании рекомендуют руководствоваться следующими основными критериями: возможность выполнения произвольного вредоносного кода на устройстве или с использованием ПО, в том числе в составе программы управления или проекта; возможность несанкционированного получения доступа к другим программным и программно-аппаратным средствам; возможность оказания целенаправленного воздействия на параметры технологического процесса; возможность нарушения функционирования устройства или ПО как в короткие, так и в более продолжительные промежутки времени.
Даже самые передовые и дорогостоящие средства защиты информации не будут эффективно работать без соблюдения организационных мер, процедур и процессов безопасности, выстроенных на конкретном объекте, подчеркнул в своем выступлении Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП компании «ДиалогНаука». Разработка и внедрение организационных мер, политик, процедур и процессов безопасности – не менее важная составляющая обеспечения защиты информации, чем внедрение СЗИ. К тому же программные или программно-аппаратные СЗИ зачастую невозможно применить, потому что это слишком дорого, сложно, технически нереализуемо, некому управлять данными средствами, а зачастую таковые просто избыточны.
Как показывает опыт компании «ДиалогНаука», при обеспечении ИБ не следует недооценивать роль и значение таких мер и процессов, как аудит, разделение и сегментирование сетей, использование возможностей телекоммуникационного оборудования (ACL, port security и т. п.), ограничение прав и полномочий, применение встроенных механизмов безопасности, управление конфигурациями, обучение и информирование пользователей и ряд других хорошо известных процессов в сфере ИБ. По словам Дмитрия Ярушевского, все перечисленное не заменит СЗИ, но даст возможность снизить риски ИБ без крупных затрат благодаря использованию имеющегося оборудования и встроенных механизмов защиты, выполнению процессов безопасности и организационно-технических мер. Игнорирование подобного подхода к реализации поставленных задач связано, в частности, с тем, что сотрудники, отвечающие за безопасность, не разбираются в АСУ ТП, а специалисты в этой сфере не вникают в тонкости обеспечения информационной безопасности.
Сергей Дворянкин, начальник департамента концерна «Радиоэлектронные технологии», ГК «Ростех», отметил актуальность вопросов управления комплексами программно-технических средств, обеспечивающих безопасность функционирования АСУ ТП. Напомнив, что последствиями деструктивных информационных воздействий на КВО являются не только нарушение работоспособности объекта, но и техногенные катастрофы, утечка данных и т. д., докладчик подчеркнул, что современные АСУ ТП КВО недостаточно защищены от кибернетических атак. Причин тому несколько: во-первых, ошибочно полагается, что вирусов или компьютерных атак для таких систем не существует; во-вторых, не завершено формирование методологической и нормативной базы применения средств обеспечения безопасности АСУ ТП КВО; в-третьих, отсутствует комплексный подход к обеспечению безопасности функционирования АСУ ТП КВО. В то же время в последние годы увеличивается количество угроз, связанных не только с ростом количества уязвимостей в системах, но и с повышенным вниманием к объектам КВО (предприятиям непрерывного цикла, центрам управления движением, энергообъектам и компьютерным сетям) хакеров и злоумышленников. Сергей Варенкин проанализировал преимущества применения аппаратно-программного комплекса (АПК) обеспечения защиты автоматизированных систем управления от несанкционированного вмешательства в управление технологическими процессами и представил структурную схему использования АПК защиты в АСУ ТП.
Еще одной темой обсуждения на конференции, вызвавшей дискуссию в кулуарах, стала защита информации при выполнении НИОКР. Сергей Зверев, старший офицер восьмого управления Генерального штаба ВС РРФ, исполнительный директор ООО «Центр по защите информации при военно-техническом сотрудничестве», рассказал о конкретных примерах и привел аргументы в пользу того, что должный контроль, как и процедуры защиты информации, не обеспечиваются, при организации таких работ допускаются многочисленные нарушения нормативных требований. Докладчик перечислил основные каналы утечки информации при выполнении НИОКР по созданию вооружения, военной и специальной техники (ВВСТ). Сведения о разрабатываемых изделиях становятся доступными в открытых источниках, в частности из переписки между предприятиями-смежниками. По мнению Сергея Зверева, на этапе разработки системы нужно определять статус сведений, подлежащих обработке в системе. В техническом задании следует четко формулировать, какая информация подлежит защите, а на каждом этапе осуществления работ – оценивать полноту выполнения требований ТЗ.
Регулирование защиты информации в АСУ ТП КВО
По состоянию на 2014 г. на территории РФ функционировали 4,5 тыс. критически важных объектов, сообщил начальник отдела ФСТЭК России Сергей Войналович.
Действующая нормативная база в области обеспечения безопасности информации в АСУ ТП КВО включает в себя документы, в которых фигурирует понятие «ключевые системы информационной инфраструктуры» (КСИИ): документ Совета Безопасности РФ «Система признаков критически важных объектов и критериев…»; руководящие документы ФСТЭК «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» и «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»; методические материалы «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», а также «Положение о Реестре ключевых систем информационной инфраструктуры». Эта система документов дополняется отраслевыми и корпоративными стандартами, в которых устанавливаются профильные требования по обеспечению безопасности информации в КСИИ.
АСУ ТП КВО различного уровня важности входят в число приоритетных объектов технической разведки, отметил докладчик. Задача защиты информации в автоматизированных системах этих объектов осложняется возникновением новых угроз, обусловленных наличием в системах элементов зарубежного производства, интеграцией АСУ ТП с другими информационными системами и появлением новых способов воздействия на автоматизированные системы. С учетом этих факторов был подготовлен и издан приказ ФСТЭК России № 31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную потенциальную опасность для жизни и здоровья людей и для окружающей природной среды». В целом в нем используются те же подходы, что и в приказе ФСТЭК № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», но есть и определенные отличия.
Организация защиты информации в АСУ ТП осуществляется по пятиступенчатому алгоритму: 1) формирование требований к защите информации в АСУ ТП (этап включает разработку модели угроз и классификацию АСУ по требованиям защиты информации); 2) разработка системы защиты АСУ ТП; 3) внедрение системы защиты АСУ ТП (включая тестовые испытания и приемку); 4) обеспечение защиты информации в ходе эксплуатации АСУ ТП (включая обучение персонала); 5) защита при выводе из эксплуатации АСУ ТП – этап предусматривает уничтожение данных и носителей информации. Аттестация подсистемы защиты информации как отдельный этап предусмотрена.
Классификация АСУ проводится в зависимости от значимости информации. Установлены три класса защищенности АСУ. Для каждого из уровней АСУ (полевого, логического, операторского) может быть установлен свой класс защищенности, класс системы в целом определяется по наибольшему значению.
Защита информации в АСУ ТП обеспечивается техническими и организационными мерами. Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности АСУ приведены в приложении № 2 к Требованиям. В целях исключения избыточности в реализации мер защиты информации Требованиями предусмотрены компенсирующие меры.
В приказе № 31 появилась новая группа «нулевых» мер, предписывающих разработку правил и процедур (политик) выполнения тех или иных процедур – идентификации и аутентификации субъектов доступа и объектов доступа, обеспечения безопасной разработки ПО, управления обновлениями ПО и т. д. Цель этих мер – обеспечить наличие на местах организационно-распорядительной документации. В конце 2015 г. в рамках обновления нормативных правовых актов планируется ввести такие же меры применительно к защите информации в государственных информационных системах.
В заключение докладчик обратился к наиболее частым вопросам, возникающим у заинтересованных организаций в связи с появлением нового нормативного правового акта. Большинство разъяснений дается в информационных сообщениях, которые размещаются на официальном сайте ФСТЭК в разделе «Информационные и аналитические материалы». Информационное сообщение от 25 июля 2014 г. № 240/22/2748 разъясняет вопросы, связанные с приказом № 31. Среди них следующие:
- АСУ ТП КВО является КСИИ. Поэтому на данный момент при моделировании угроз информации в АСУ ТП можно применять методические документы ФСТЭК по КСИИ;
- приказ № 31 вступил в действие 17 августа 2014 г. Поэтому АСУ, введенные в эксплуатацию до 17 августа 2014 г., не обязательно приводить в соответствие с приказом № 31. Но регулятор рекомендует это сделать;
- жесткого требования использовать в АСУ ТП сертифицированных СЗИ нет;
- аттестация АСУ ТП не обязательна, ее необходимость определяется владельцем.
Отраслевой опыт
Опытом обеспечения безопасности АСУ ТП поделились на конференции представители энергетической отрасли, транспорта, промышленных предприятий.
Профессор кафедры АСУТП НИУ МЭИ Эдик Аракелян ознакомил аудиторию с результатами реальных проектов по построению систем информационной безопасности АСУ ТП ТЭС – выявленными проблемами и предлагаемыми подходами к их решению. Так, например, существует проблема критериев определения объема функций и информации АСУ ТП, подлежащих защите. Для ее решения предлагается разделить информацию на три класса исходя из класса защищенности объекта и уровня значимости информации. Для снятия проблемы взаимодействия АСУ ТП и средств защиты (ложного срабатывания/несрабатывания) предлагается использовать разные режимы работы системы защиты в зависимости от класса информации. Докладчик дал рекомендации по определению класса защищенности АСУ ТП исходя из потенциального ущерба – ущерб зависит от типа ТЭС (с поперечными связями или блочная). Были отмечены также некоторые неопределенности, имеющиеся в приказе № 31 ФСТЭК России. По мнению докладчика, на основе приказа должны быть разработаны отраслевые регламентирующие документы, учитывающие особенности эксплуатации АСУ ТП. Серьезная задача – информирование и обучение персонала, создание для этого методик и технических средств. Вариант ее решения – разработка тренажера с эмулятором ПТК и интегрированной моделью технологического объекта.
Сотрудник Уфимского государственного авиационного технического университета (УГАТУ) Иван Пащенко представил результаты первого этапа работ по созданию системы защиты информации Smart Grid на основе интеллектуальных технологий. Была разработана онтология предметной области, позволяющая описать сеть Smart Grid с точки зрения информационной безопасности; составлены таблицы угроз и контрмер на основании ГОСТ 27000 и приказа ФСТЭК № 31; разработана база правил для основных угроз ИБ; проведена оценка уровня рисков до и после применения контрмер в конкретной сети Smart Grid.
Руслан Пермяков, заместитель директора по развитию ООО «СИБ», рассказал о практической реализации защиты АСУ ТП объекта энергетики с учетом требований приказа ФСТЭК № 31. В настоящее время компания завершает работу по созданию ПТК АСУ ТП, который будет испытываться на реальной ТЭС. Докладчик отметил необходимость наличия не «навесной», а встроенной защиты, интегрированной с элементами АСУ ТП. Для учета интересов эксплуатирующей организации необходимо выстраивать цепочку взаимодействия от производителей элементов АСУТП к интеграторам АСТУП и интеграторам СЗИ. Важный аспект – определение зон ответственности производителя, интегратора и заказчика при реализации защитных мер.
Около 90% инцидентов связаны с нарушением обслуживающим АСУ ТП персоналом элементарных правил информационной безопасности, поэтому преднамеренные и непреднамеренные действия персонала должны быть обязательно включены в модель угроз. Еще одна актуальная проблема – идентификация полевых устройств, посылающих информацию с систему управления. Для ее обеспечения необходима сертифицированная «слабая» криптография.
Об актуальных киберугрозах в системах железнодорожной автоматики и телемеханики рассказал Александр Привалов, директор ФГУП «ЗащитаИнфоТранс».
По статистике Национального антитеррористического комитета РФ, за последние десять лет до 70% террористических актов совершались на транспорте либо с использованием транспортных средств. Поэтому государство уделяет самое пристальное внимание разработке и реализации комплексных мер по обеспечению транспортной безопасности, в частности, устойчивости автоматизированных систем управления объектами транспортной инфраструктуры к вредоносным информационным воздействиям. Такую работу выполняет ФГУП «ЗащитаИнфоТранс» с использованием испытательных лабораторий, макетов, стендов действующих автоматизированных систем управления железнодорожным транспортом. В соответствии с моделью угроз формируется перечень актуальных угроз несанкционированного использования различных систем железнодорожной автоматики и телемеханики (диспетчерской централизации, микропроцессорной централизации, управления и контроля железнодорожного подвижного состава и др.) и проводится оценка потенциального ущерба. Составленные характеристики нарушителя таковы, что обладать ими может только система кибервоздействия, функционирующая в интересах экономически развитой страны.
Большинство систем являются проектно-компонуемыми и строятся по иерархическому принципу. Каждый уровень иерархии – удаленного мониторинга и контроля, диспетчерского управления (информационного обеспечения), логической обработки информации (автоматического управления), низовой автоматики – характеризуется своими особенностями проведения и последствий кибератак. Расчет возможного ущерба представляет собой весьма трудоемкую процедуру. Среди прочего для этого используются экспертные оценки.
Менеджер по защите информации в системах уровня АСУ ТП ПАО «Северсталь» Владислав Пугачев поделился опытом минимизации угроз АСУ ТП КВО. Безопасности этих систем ПАО «Северсталь» уделяет пристальное внимание с 2011 г. К настоящему времени на предприятии разработана нормативная документация по данному направлению, выстроен процесс согласования всех ТЗ и проектов на автоматизацию, проведен аудит действующих АСУ ТП на всех производствах.
Анализ причин простоев производства показал, что одним из наиболее значимых факторов являются ошибки проектирования и эксплуатации. Причины первых – нечетко поставленные задачи; ошибки при проведении предпроектных работ (неучет условий эксплуатации, режимов работы и т. д.); недостаток компетенций у проектировщиков в области программирования, информационной безопасности; пренебрежение требованиями ТЗ и регламентирующих документов; попытки снизить стоимость проекта, что приводит, в частности, к выбору ненадежных решений и отказу от запасов; некачественные экспертиза и приемка проектной документации. Ошибки эксплуатации бывают вызваны нарушением условий эксплуатации оборудования, нечеткими границами зон обслуживания, недостаточно высоким качеством программных продуктов, а также отсутствием инструментов для полноценного тестирования программных разработок АСУ ТП. Мероприятия по минимизации указанных ошибок включают разработку нормативной документации по созданию проектов с учетом требований законодательства и стандартов компании, создание регламентов обслуживания систем; определение зон ответственности и разработку SLA; всестороннее согласование технических заданий на автоматизацию и контроль хода ключевых проектов по автоматизации. Предусматриваются разбор инцидентов, связанных с простоями по вине автоматизации, а также аудит АСУ ТП с выработкой рекомендаций по устранению замечаний и контролем их выполнения. Выполняется регулярное информирование персонала о новых угрозах и инцидентах, проводятся обучение и периодический контроль соблюдения регламентов обслуживания.
Алексей Пуртов, директор департамента – главный конструктор цифровых систем проектирования ОАО «КАМАЗ», посвятил свой доклад вопросам создания системы управления предприятиям, устойчивой к санкциям. При использовании импортных систем возникают риски последствий недружественной санкционной политики стран происхождения – отказов или нарушений работы оборудования, операционных систем и прикладного ПО, повышенной уязвимости стратегических информационных систем, установленных на отечественных предприятиях и т. д. Однако в настоящее время российские разработки не могут в полной мере выполнить весь спектр требований предприятия, которое использует виртуальную разработку и внедряет сквозное управление жизненным циклом изделий. В то же время такое предприятие имеет опыт использования и адаптации лучших в своем классе продуктов и их синтеза для получения оптимального решения.
Для создания импортонезависимой системы мирового уровня необходимо слаженное взаимодействие всех участников процесса разработки (включая предприятия-заказчики) в едином информационном пространстве и под единым управлением. Речь идет о создании не только ПО, но и методик, позволяющих тиражировать систему. Для этого целесообразно организовать консорциум научных и производственных организаций, обладающих соответствующими компетенциями. Задача – создание и внедрение модульных систем управления продуктовыми проектами и производственными процессами на базе интегрированных между собой отечественных программных продуктов. По мере готовности они смогут замещать импортные аналоги.
Задачи и средства их решения
Одной из основных угроз информационной безопасности АСУ ТП КВО является нарушение целостности информации – подмена контента при передаче по каналам связи исходной информации или управляющих воздействий, искажение отчетной информации. Михаил Белюченко, советник департамента информационных технологий Группы компаний МАСКОМ представил сравнительно недорогое отечественное решение, которое может использоваться для обеспечения целостности информации АСУ ТП, особенно если речь идет о системах пространственно распределенных КВО. Аппаратно-программный комплекс «Свиток» может либо применяться при создании новых АСУ ТП, либо интегрироваться в уже существующие системы. Основные функции АПК «Свиток» включают криптографическую аутентификацию оконечных IP-устройств с использованием электронной подписи, обеспечение целостности информации методом имитозащиты и при необходимости ее шифрование. АПК может сигнализировать оператору о нарушении целостности информации, давая возможность блокировать ее дальнейшую передачу. За счет формирования электронных документов (ГОСТ 6.10.4-84), подписанных электронной подписью ответственного лица, их долговременного хранения и выдачи по запросу обеспечивается юридическая значимость результатов обработки информации. В настоящее время идет сертификация АПК в ФСБ России.
Директор ООО Фирма «Пластик Энтерпрайз» Олег Тюрин рассказал об опыте защиты АСУ ТП в отрасли спецхимии и боеприпасов. В отрасли остро стоит вопрос безопасности производства, поэтому планируется внедрение системы мониторинга промышленной безопасности и экологического состояния на всех предприятиях. Разрабатываемые фирмой системы оборудованы аварийными пультами управления на случай выхода из строя программного обеспечения. Что касается СЗИ, то проблемы их выбора связаны со сложностью определения уровня защищенности системы (алгоритмы технологического процесса обычно не содержат сведений ограниченного распространения, но в эту категорию попадают составы, объемы и концентрации взаимодействующих в ходе процесса ингредиентов), с требованиями гибкости перенастройки и совместимости со специализированным ПО. Для упрощения процесса определения класса защищенности разрабатываемой АСУ ТП целесообразно гармонизировать правила устройства и безопасной эксплуатации предприятий и другие отраслевые документы с современными требованиями ГОСТов по СЗИ. Докладчик также обратил внимание на то, что в сметной документации проектировщикам следует предусматривать расходы на меры по обеспечению информационной безопасности.
Арнольд Галустов, исполнительный директор компании «Сайа Бургесс Контролз Рус», официального дистрибьютора швейцарской компании Saia-Burgess Controls AG в России и СНГ, ознакомил аудиторию с особенностями контроллеров Saia PCD, используемых для автоматизации зданий. Коммуникации считаются одной из сильных сторон данных контроллеров. Докладчик отметил, что протоколы, используемые при автоматизации зданий, позволяют решить задачу идентификации сигнала – источника, места и качества. Кроме того, встроенный веб-сервер обеспечивает возможность управлять конечными устройствами непосредственно с контроллера. Для ответственных задач компания выпустила контроллер с двумя Ethernet-интерфейсами – один из них может использоваться, например, для организации сети автоматизации здания, другой – для выхода в корпоративную сеть. Или же оба интерфейса Ethernet могут использоваться в режиме взаимного резервирования.
Заместитель генерального директора компании «АСКОН-Интеграция» Иван Трохалин представил сквозную технологию 3D-проектирования, моделирования, расчетов, испытания и подготовки производства (СТ3D) в защищенном исполнении. Ее создание является частью программы по созданию типовой информационной системы ядерного оружейного комплекса (ТИС ЯОК) в пилотной зоне ФГУП «РФЯЦ-ВНИИЭФ». На сегодня созданы прикладная часть CT3D – программный комплекс, сертифицированный для применения в контуре ДСП, и методология его применения. Сейчас решается задача создания защищенного исполнения CT3D для работы с гостайной.
Андрей Зензинов, младший научный сотрудник Института проблем информационной безопасности механико-математического факультета МГУ им. М.В. Ломоносова, посвятил свой доклад вопросам моделирования сценариев работы АСУ ТП КВО на стадии предпроектных исследований. Институт предлагает использовать гибридное моделирование, которое объединяет в себе варианты моделирования натурного, аналитического (с использованием вероятностных моделей), дискретно-событийного (на симуляторах), виртуального. Гибридное моделирование позволяет изучать взаимодействие всех частей АСУ ТП, совместимость ПО и средств защиты, работу сетевой инфраструктуры в различных ситуациях и режимах работы КВО.
Максим Кривчиков, научный сотрудник НИИ механики МГУ им. М.В. Ломоносова, рассказал о возможностях и проблемах формальной верификации макетов программного обеспечения АСУ ТП КВО. Распространенные подходы к верификации (подтверждению соответствия продукта существующим требованиям) – визуальный контроль, тестирование, статический анализ – не гарантируют от ошибок. Формальная верификация ПО позволяет получить строгое математическое доказательство соответствия программы спецификациям, но является весьма трудоемким и наукоемким процессом, поэтому пока не получила широкого распространения. Докладчик привел примеры подходов к формальной верификации, отметив, что ее внедрение необходимо начинать уже на ранних этапах жизненного цикла ПО.
Итоги
Обсуждения в ходе Третьей конференции «Информационная безопасность АСУ ТП КВО» показали, что в этой сфере по-прежнему остаются актуальными вопросы гармонизации нормативных документов и подготовки специалистов. А вопросы импортозамещения и создания качественных отечественных продуктов стали еще более злободневными. Наряду с определением того, что (какую информацию) и как (какими средствами) необходимо защищать в АСУ ТП, большое значение имеет мотивация участников процесса. Многие выступавшие обращали внимание на необходимость определения зон и меры ответственности заказчиков и исполнителей проектов. Впрочем, прозвучавшие доклады свидетельствуют о том, что владельцы и операторы КВО заинтересованы в защите АСУ ТП не просто в целях «защиты от регулятора», а в силу понимания принципиальной важности этой задачи.
