Безопасность АСУ ТП: лед тронулся?

В последние годы все больше внимания вызывают вопросы информационной безопасности АСУ ТП на предприятиях и критически важных объектах. Эксперты объясняют это рядом факторов, главный из которых — целый ряд целенаправленных атак на подобные объекты и высокая стоимость возможного ущерба. Ведь стороннее вмешательство в технологические процессы может вызвать не только аварии, но и настоящие катастрофы.

В нашей стране актуальность этой темы также растет. Немалую роль здесь сыграл интерес к ней со стороны регулирующих органов. К тому же уже нельзя не учитывать и набирающую силу тенденцию к распространению Промышленного Интернета вещей.

Как эти события влияют на текущую ситуацию в области обеспечения безопасности АСУ ТП в нашей стране? Какова специфика этого направления и его перспективы? На эти и другие вопросы отвечают представители компаний, специализирующихся в области создания и внедрения ИБ-решений.

Ситуация меняется

Уже не один год говорится о том, что создавшееся положение в сфере безопасности АСУ ТП оставляет желать много лучшего. Но сейчас, по мнению большинства экспертов, здесь наметились позитивные сдвиги. Говорить о кардинальных переменах еще рано, но уже ведутся и планируются к запуску проекты разной степени глубины — от первоначальных аудитов состояния ИБ до комплексных проектов по внедрению средств защиты в промышленных системах.

Дмитрий Даренский, начальник отдела промышленных систем компании «Информзащита», объясняет это тем, что большинство операторов и владельцев систем уже осознали, что защищенность АСУ ТП все же влияет на экономические показатели деятельности предприятий.

Кроме того, безопасности в данной области в последнее время уделяется больше внимания из-за растущей интеграции между промышленной и бизнес-инфраструктурой и прихода в мир АСУ ТП классических ИТ. Однако, по мнению Дмитрия Ярушевского, руководителя отдела кибербезопасности АСУ ТП компании «ДиалогНаука», у этой медали есть и обратная сторона: «Когда безопасность становится модным трендом, качество предоставляемых услуг и продуктов неизбежно страдает».

Так, иногда проявляется тенденция подбирать и внедрять ИБ-продукты и сервисы, основываясь не на результатах анализа угроз и рисков защищаемого техпроцесса и АСУ, а по каким-либо иным соображениям. Кроме того, многие вендоры анонсируют свои продукты как предназначенные для защиты АСУ ТП, хотя это в лучшем случае все те же корпоративные системы защиты информации, «завернутые» в промышленные защищенные корпуса с парой новых сигнатур. При этом сохраняется привычный для корпоративных систем акцент на конфиденциальность, необходимость постоянных обновлений и доработки конфигураций. А это не совсем то, что нужно для защиты АСУ ТП, работающих в режиме 24/7/365.

Да и сами предприятия уделяют внимание безопасности АСУ ТП далеко не в полном объеме. Как отметил Павел Коростелев, менеджер отдела продвижения продуктов компании «Код безопасности», государство постепенно усиливает надзор в этой области, но до тех пор, пока за несоответствие требованиям регуляторов не будет введено серьезных санкций, тема будет развиваться очень неспешно. Он видит две основные причины тому. Первая — риск влияния средств защиты на технические процессы. Люди, ответственные за промышленную безопасность, слишком хорошо понимают опасность внедрения в инфраструктуру дополнительных элементов. Вторая причина связана с отсутствием реальных инцидентов в сфере безопасности. Пока не наберется «критическая масса» конкретных примеров влияния рисков ИБ на работоспособность технологических систем, их владельцы не будут считать такой риск существенным и не станут снижать его.

Евгений Дружинин, старший эксперт отдела безопасности промышленных систем управления компании Positive Technologies, согласен с тем, что исторически ИБ для АСУ ТП всегда играла роль скорее мешающего элемента. Однако, по его мнению, к сегодняшнему дню на практике доказано, что множество систем управления обладают уязвимостями, которые могут повлиять на основную функциональность. Благодаря этому стало формироваться понимание важности роли ИБ как одной из ключевых составляющих безотказной работы АСУ ТП.

Еще одна проблема связана с тем, что на рынок выходят интеграторы, не очень компетентные в области защиты АСУ ТП, что не только не уменьшает риски, но, наоборот, может и добавить их. Эту проблему отметил Олег Кузьмин, директор департамента информационной безопасности компании «Ай-Теко»: «На наш взгляд, на предприятиях, эксплуатирующих АСУ ТП, целесообразно периодически проводить оценку необходимости и достаточности принимаемых мер по этим вопросам и своевременно корректировать действия по совершенствованию ИБ-системы. Но для этого требуются крайне специфические знания в области функционирования АСУ ТП и умение разбираться в общих организационно-технических вопросах. А большинство системных интеграторов, предлагающих в настоящее время услуги по обеспечению безопасности АСУ ТП, по сути, не могут их оказывать в требуемом объеме при таком качестве работ, которое устроило бы заказчика, и практическая польза от подобных услуг будет весьма сомнительной».

Безопасность безопасности рознь

Так в чем же заключается специфика обеспечения безопасности в области АСУ ТП? Чем подходы и решения в этом сегменте отличаются от используемых для защиты традиционных ИТ-систем и что у этих направлений общего?

По единодушному мнению экспертов, различия в обеспечении безопасности АСУ ТП и традиционных ИТ-систем настолько существенны, что общим является разве что само слово «безопасность». В вопросах ИБ АСУ ТП много специфичных особенностей, начиная с принципиальных технических и функциональных различий между ИТ-системами и системами автоматизации, равно как и в определении их критичности, и заканчивая несходством методик проведения работ по аудиту, проектированию, внедрению и эксплуатации систем защиты.

По мнению Дмитрия Ярушевского, главная специфика этой области заключается в том, что защищать необходимо не саму АСУ, не информацию в ней, а управляемый технологический процесс: «Об этом зачастую забывают. В корпоративных системах мы привыкли иметь дело с информацией, научились оценивать риски для бизнеса, связанные с нарушением ее конфиденциальности, целостности и доступности. Достаточно понять, откуда информация берется, куда поступает, как и где обрабатывается и хранится, а затем разработать модель нарушителя, установить в нужных местах средства защиты — и можно спать спокойно. Конечно, я утрирую, но в общем виде это примерно так и выглядит».

Для сравнения он предложил представить производственную площадку горно-металлургического комбината: восемь цехов и тридцать участков технологических процессов, объединенных общим бизнес-процессом. Количество различных АСУ ТП здесь может превышать сотню. Останов одних систем может привести к останову всей линии производства и многомиллионным убыткам, искажение данных в других — к выпуску бракованной продукции, а нарушение работы третьих повлечет даже выброс в атмосферу ядовитых веществ. Поэтому, прежде чем подступаться к вопросам обеспечения безопасности, специалисту необходимо понять, какие угрозы и риски вообще существуют во всех этих АСУ и как реализация этих угроз может повлиять на отдельные участки технологических процессов и на производство в целом.

Предположим, специалист, разобравшись в принципах работы, архитектуре и выявленных уязвимостях этих систем, выяснил, что один из самых «тонких» с точки зрения безопасности участков — это установленные в цехе HMI-пульты, с которых осуществляется управление неким оборудованием. Доступ к ним имеют все работники цеха, а это около тысячи человек, использующих один общий логин/пароль, запрашиваемый только при перезапуске оборудования. Но очевидный вариант — создать для каждого оператора персональные учетные записи — не годится, так как в масштабах всего предприятия совокупные потери времени на аутентификацию будут слишком велики. Нужны альтернативные решения, которые зависят от архитектуры, используемого оборудования и ПО целевой АСУ ТП.

Евгений Дружинин считает, что из всех задач главная заключается в обеспечении безотказности и прогнозируемости выполнения функций по управлению АСУ ТП, остальные имеют более низкий приоритет. Однако стандартные механизмы защиты, привычные миру ИТ, напрямую здесь неприменимы, а иногда даже опасны из-за сложной и зачастую устаревшей архитектуры используемых систем.

Даниил Тамеев, руководитель направления по работе с ПиТЭК Центра информационной безопасности компании «Инфосистемы Джет», в качестве главного аспекта защиты технологических сегментов промышленных объектов выделил доступность, а не характерные для корпоративного сегмента конфиденциальность и целостность. Задачу обеспечения безопасности усложняет и то, что основная часть систем, являющихся объектом защиты, функционирует в режиме реального времени, а значит, даже малейшие задержки в работе, вызванные наложенными средствами защиты, недопустимы.

По мнению Олега Кузьмина, основная специфика обеспечения ИБ в АСУ ТП заключается в первую очередь в необходимости понимания общей организации производства, задач, решаемых с использованием АСУ ТП, управленческих и технологических процессов на предприятии, вопросов промышленной безопасности, а также в приоритетности стоящих задач, которые существенно отличаются от тех, что существуют в традиционных ИТ-системах.

Тем не менее эксперты усмотрели некоторое сходство в том, что для защиты АСУ ТП необходимо выстроить процессы, хорошо знакомые в мире ИТ: оценка рисков, управление рисками, доступом, инцидентами и т. д. Используемые принципы тоже схожи: сегментирование сетей, предоставление минимальных прав пользователям, регистрация событий и пр. Однако, отметил Дмитрий Ярушевский, важно помнить, что практическая реализация этих процессов и принципов может сильно отличаться от реализации их в корпоративных информационных системах.

К тому же, несмотря на сходство в логике защиты, стратегия обеспечения безопасности АСУ ТП значительно сложнее, чем для ИТ-систем. «Необходимо обладать широкими компетенциями, чтобы понимать последствия развертывания и функционирования подсистем ИБ в действующей АСУ ТП. Многие работающие в АСУ ТП операционные системы и приложения могут быть несовместимы с коробочными ИБ-продуктами, а системных ресурсов может просто не хватить для средств ИБ», — предупреждает Павел Коростелев.

Типовые проблемы в организации информационной безопасности АСУ ТП

При подготовке обзора опрошенным нами экспертам было предложено перечислить типовые проблемы в организации ИБ АСУ ТП, с которыми им приходилось сталкиваться на стадии предпроектного обследования объектов. В обобщенном виде ответы экспертов представлены ниже.

• Отсутствие какой-либо организации в решении вопросов безопасности АСУ ТП. Зачастую само понятие информационной безопасности АСУ ТП на объекте не используется и ответственность за ее обеспечение ни на кого не возложена.
• Нормативная база по ИБ плохо проработана или вообще отсутствует, нет и организационно-распорядительной документации по обеспечению ИБ в АСУ ТП, а корпоративные процессы и процедуры безопасности эту систему не затрагивают.
• Отсутствие требований по ИБ или их несоблюдение со стороны персонала, эксплуатирующего промышленные системы.
• Низкий уровень компетенции в вопросах ИБ у специалистов по автоматизации, проектированию, внедрению, эксплуатации, обслуживанию.
• Слабая осведомленность в вопросах автоматизации у специалистов по ИБ.
• Частичное или полное отсутствие документации на используемую АСУ ТП. Система в эксплуатации не первый десяток лет, документы потерялись, было много доработок, люди, стоявшие у истоков, уволились, и теперь никто толком не знает, как она работает.
• Непонимание целей проведения работ, расхождение между утвержденным заданием и ожиданиями заказчика, а также отсутствие понимания между функциональными подразделениями. При этом попытки наладить взаимодействие различных подразделений предприятия не предпринимаются.
• Неконтролируемый доступ к технологическим системам и отсутствие контроля за действиями подрядчиков и используемыми каналами удаленной связи с разработчиками АСУ ТП.
• Устаревшее технологическое и ИТ-оборудование.
• Отсутствие антивирусной защиты, каких-либо обновлений и контроля съемных носителей в технологической среде, использование устаревших ОС.

Действия государства

Помимо сложности самих систем организацию защиты АСУ ТП затрудняет ряд проблем, главной из которых эксперты считают дефицит госрегулирования. Важное значение в сфере госрегулирования имеет выпущенный в 2012 г. документ «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критично важных объектов инфраструктуры РФ» и приказ ФСТЭК России № 31, изданный в 2014-м.

Эксперты положительно оценили появление этих документов, но посетовали на то, что вся нормативно-правовая база носит лишь рекомендательный характер. «Хотя приказ ФСТЭК № 31 заставил владельцев АСУ ТП обратить внимание на безопасность промышленных систем, большинство из них до сих пор воспринимают его довольно поверхностно в силу отсутствия методологических материалов и необязательности выполнения требований самого приказа», — сформулировал общее мнение Евгений Дружинин.

Поэтому эксперты считают, что данного приказа недостаточно для кардинального улучшения ситуации, и связывают ожидания с планами регулятора по его доработке и совершенствованию нормативно-правой базы.

Так, по мнению Дмитрия Ярушевского, нужны глубокие концептуальные документы, описывающие, что именно, от чего и как необходимо защищать; как оценивать риски и как управлять ими. Нужна гибкая и детальная система классификации АСУ ТП или отдельных частей, определение того, какие требования следует применять к различным сегментам АСУ ТП, какие процессы следует выстроить у заказчика, какие подразделения должны отвечать за обеспечение безопасности и так далее.

Необходима также переработка базовой модели угроз и методики определения актуальных угроз с учетом специфики АСУ ТП и применяемых технологий. «Иными словами, работы непочатый край. Этим уже не один десяток лет занимаются зарубежные коллеги, и их опытом и разработанными документами стоит воспользоваться», — считает Дмитрий Ярушевский.

Что обязательно нужно, так это более подробные документы и методические рекомендации, детально описывающие способы выполнения требований регулятора. «Тематика защиты АСУ ТП такова, что исполнители проектов должны обладать широким кругозором, и чем детальнее будут описаны требования регулятора по организации защиты, тем легче их будет выполнять», — уверен Павел Коростелев.

К тому же 31-й приказ ФСТЭК — верхнеуровневый документ, а для учета уникальной специфики АСУ ТП в зависимости от той или иной отрасли нужны отраслевые стандарты. По словам Евгения Дружинина, уже существует ряд околоотраслевых стандартов, но они «заточены» не столько под отрасль, сколько под конкретную специфику предприятий, таких как «Газпром» или ФСК ЕЭС: «Данный вопрос может быть относительно легко решен через создание отраслевых рабочих групп, включающих производителей систем, операторов, интеграторов и специалистов по ИБ».

Реакция предприятий

Поскольку госрегулирование еще только набирает обороты, владельцы предприятий не торопятся реализовывать серьезные ИБ-проекты по защите АСУ ТП, так как не понимают, какую выгоду они получают от такого рода вложений. Отчасти это связано с тем, что оценка возможных финансовых убытков вследствие ИБ-инцидентов еще в новинку для риск-менеджмента и не входит в зону ответственности службы ИБ. Из-за этого риски возможного воздействия на АСУ ТП катастрофически недооцениваются. Например, существует классическое заблуждение, что подобные системы отделены от внешнего мира и поэтому безопасны. А без четкого понимания рисков трудно обосновать необходимость запуска сложных и дорогих ИБ-проектов на промышленных объектах.

Поэтому большинство предприятий идут по пути наименьшего сопротивления и минимальных затрат — например, повышают защищенность систем за счет реализации организационных и компенсирующих мер. И это уже хорошо. По мнению Дмитрия Даренского, практика показала, что такие меры способны значительно повысить уровень защищенности систем.

Ведь на многих предприятиях существуют серьезные организационные проблемы. Например, зачастую непонятно, в чью же зону ответственности подпадает безопасность АСУ ТП и кто должен решать эти задачи. Одни подразделения кивают на другие, и в худшем случае этим вопросом вообще никто не занимается. В результате технологи работают с АСУ, построенной внешними подрядчиками в соответствии с их пониманием безопасности, а безопасники обеспечивают защиту физического периметра предприятия и информации в корпоративной сети.

«До тех пор, пока у заказчиков, подрядчиков и регуляторов не сложится определенного понимания, в чьей именно зоне ответственности находится обеспечение безопасности АСУ ТП, и пока бизнес не поймет, насколько это действительно важно, ситуация кардинально не изменится», — считает Дмитрий Ярушевский.

Это мнение разделяет Павел Коростелев, который отметил, что изменить ситуацию может либо ужесточение законодательства, либо достаточное количество подтверждений того, насколько серьезно уровень безопасности АСУ ТП влияет на такие риски, как ущерб окружающей среде, здоровью и жизни людей, повреждение оборудования и нарушение непрерывности технологических процессов.

Поможет ли импортозамещение?

Курс нашего государства на импортозамещение оказывает влияние на самые разные аспекты применения ИТ, в том числе и на защиту АСУ ТП. Так, Дмитрий Даренский заметил, что именно после объявления этого курса крупные российские производители средств обеспечения безопасности начали заявлять о выпуске на рынок специализированных продуктов для защиты АСУ ТП. И хотя в промышленную эксплуатацию ни одно решение еще не введено, тем не менее интерес к ним со стороны рынка быстро набирает обороты, и вполне возможно, что уже в этом году появятся первые внедрения и первая реакция пользователей.

Благодаря политике импортозамещения отечественные разработчики получают преимущества на рынке перед иностранными конкурентами, но конкуренция продолжается. А что будет, если, обязав всех владельцев АСУ ТП использовать только отечественные разработки, устранить эту конкуренцию? Дмитрий Ярушевский сомневается, что это положительно отразится на качестве решений: «На мой взгляд, курс на импортозамещение должны держать не заказчики, а отечественные разработчики. Надо, чтобы они стремились создавать такие продукты, которые заказчики выберут вместо импортных. Этому и стоит посвятить бюджеты, направляемые сейчас на бездумное замещение китайского „железа“ с европейским ПО на китайское же „железо“ с доработанным СПО под российским названием».

В целом эксперты считают, что пока невозможно однозначно оценить, как именно повлияет политика импортозамещения на уровень обеспечения безопасности АСУ ТП. Значительная часть компонентов таких систем и средств их защиты разрабатывается в странах, присоединившихся к санкциям против России. Но из-за того, что заказчики недооценивают риски, из-за недостаточной строгости законодательства и сложной экономической ситуации спрос на эти средства невысок. Разработка российских средств защиты АСУ ТП, безусловно, нужна, но в силу чрезвычайной трудоемкости она должна быть экономически оправданна.

А с этим могут быть проблемы. С одной стороны, импортозамещение решает вопрос доверия к АСУ ТП, но с другой − порождает множество других, в том числе касающихся защищенности самих АСУ ТП. Это связано с тем, что зачастую разработчики отечественных систем, не имеющие крупных внедрений и выстроенного канала дистрибуции, не могут конкурировать с крупными зарубежными производителями по многим пунктам. И ключевой задачей при создании АСУ ТП остается их функциональное наполнение, а все остальные вопросы, касающиеся в том числе безопасности, решаются по остаточному принципу.

Поэтому важно, чтобы курс на импортозамещение не только давал толчок к массовому внедрению уже имеющихся систем, но и заставлял производителей повышать качество и конкурентоспособность своих решений.

Новые технологии — новые угрозы

Вслед за появлением Интернета вещей (IoT) в мир производства пришла концепция Промышленного Интернета вещей (IIoT), направленная на объединение промышленных производственных систем на уровне технологических процессов, интеллектуальных машин и систем управления. Идея состоит в том, чтобы исключить человека из ряда процессов, повысить производительность и обусловить рост экономики.

Очевидно, распространение Промышленного Интернета вещей так или иначе повлияет на подходы к обеспечению безопасности АСУ ТП. Но, по единодушному мнению экспертов, это дело будущего, так как предприятия пока не понимают, что это такое и зачем нужно.

Как считает Дмитрий Даренский, IIoT является результатом попытки объединить две концепции — Интернета вещей и Промышленного Интернета: «Эта попытка мне кажется не совсем удачной, потому что направлена на объединение концепций индустриальной и потребительской».

Тем не менее сейчас для данных концепций полным ходом идут разработки стандартов, в том числе и в области обеспечения кибербезопасности. Этим занимаются специально созданные консорциумы, такие как Industrial Internet Consortium, основанный в 2014 г. компаниями IBM, Cisco, General Electric, Intel и AT&T. В Германии это делается в рамках программы «Industry 4.0», а в Китае — в рамках государственной программы «Internet+».

В России также предпринимаются попытки создать консорциум Промышленного Интернета. Возглавляет эту работу Ростелеком при поддержке Минпромторга. Эксперты надеются, что со временем их действия помогут сформировать спрос на такие технологии со стороны предприятий, и готовы включиться в эту работу, так как сама тема имеет перспективу в нашей стране, хотя и более отдаленную, чем в остальном мире.

Как всякая новинка, Промышленный Интернет вещей влечет за собой и новые угрозы. Ведь IIoT затрагивает вопросы построения умного производства, интеграции АСУ ТП с другими системами (ERP, MES, PLM), позволяющими воздействовать на весь производственный цикл. Всё это создает дополнительные риски, и их недостаточная проработанность с точки зрения ИБ рано или поздно может отразиться на реальном производстве.

Эксперты уверены, что, несмотря на некоторую отсталость в применении новых технологий и сильную изношенность промышленного оборудования, тема IIoT через некоторое время будет актуальна и для российских предприятий. «Более или менее серьезно это направление безопасности начнет обсуждаться и, возможно, развиваться не раньше чем через два-три года», — сформулировал общее мнение Олег Кузьмин.