Фокус на безопасность технологического сегмента

Алексей Косихин
Руководитель направления по работе с ТЭК
центра информационной безопасности
компании "Инфосистемы Джет"

Столь резкий всплеск популярности данной тематики не случаен. Даже непродолжительный сбой в системах технологического управления отдельно взятой компании может оказаться чреват многомиллионным ущербом, рисками возникновения экологических катастроф и ситуаций, угрожающих жизни и здоровью населения целых регионов.

Актуальность темы защиты АСУ ТП получила закрепление и на законодательном уровне. Советом безопасности РФ и ФСТЭК введено понятие ключевой системы информационной инфраструктуры (КСИИ). Также был выпущен ряд документов, регулирующих обеспечение безопасности АСУ ТП. Например, "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ", вышедшие в июле 2012 г. Разработаны и описаны перечень ключевых систем, модели угроз и нарушителя, необходимые требования по защите. Но на данный момент все они носят рекомендательный характер. Ожидается, что окончательно нормативная база сформируется только к 2020 г. но уже в 2014 г., по заверениям регуляторов, будет принят ряд законодательных мер, обязывающих владельцев АСУ ТП защитить системы технологического управления должным образом и использовать при этом только сертифицированные средства.

Наглядно, реально, рискованно

Поговорка о том, что лучше один раз увидеть, нежели сотню раз услышать, особенно актуальна для запуска проекта по защите АСУ ТП. Иными словами, официальным началом работ по обеспечению безопасности технологического сегмента является наглядная демонстрация его уязвимости. Практика показывает, что большинство организаций сферы ТЭК не уделяют должного внимания защите АСУ ТП, в лучшем случае используя межсетевые экраны. При проведении тестов на уязвимость нам зачастую удавалось в кратчайшие сроки получить доступ к серверам управления технологическими процессами, к управлению ключевыми агрегатами и т.п. различными способами. Например, через Wi-Fi-сети (в том числе и нелегальные точки, которые организовывали сотрудники на своих рабочих местах), методами социальной инженерии, через незакрытые дыры в периметре сети и т.д. Проведенные проверки выявляли случаи, когда даже при наличии средств управления несанкционированным доступом сотрудники использовали для входа в систему единый пароль и логин. В результате становилось практически невозможно отследить действия недобросовестного сотрудника или инсайдера (а то и вовсе уволенного), которые могут практически безнаказанно вывести оборудование из строя.

Подтверждено опытным путем

Накопленный опыт выполнения проектов по защите АСУ ТП в компаниях ТЭК и нескольких промышленных предприятиях позволил выработать общий подход к обеспечению ИБ АСУ ТП. Он позволяет компаниям уже на начальной стадии работ ознакомиться с общей картиной проекта и эффективно контролировать его дальнейшие этапы. При этом основной упор делается на надежность системы ИБ и использование средств защиты, адаптированных под защиту АСУ ТП. А сам общий подход адаптируется в каждом конкретном случае с учетом специфики бизнеса и технологических процессов каждой компании. Это отражается на разрабатываемых документах, схемах подключения и настройки средств защиты и т.п.

Само создание системы ИБ АСУ ТП правильнее рассматривать как трехчастную задачу, включающую в себя организационную, техническую и организационно-техническую составляющие. Первая предусматривает разработку концепции защиты АСУ ТП на уровне бизнеса. При этом разрабатывается пакет документов, регламентирующих подход к обеспечению безопасности. В рамках второй внедряются средства защиты, требующие минимального вмешательства сотрудников (обычно межсетевые экраны, средства обнаружения вторжения и защиты от несанкционированного доступа, VPN и антивирусы). На третьем этапе внедряют средства, помогающие оценивать состояние защищенности АСУ ТП, выявлять и оперативно реагировать на инциденты, связанные с ИБ. Обычно это системы класса SIEM и различные сканеры безопасности. Следует отметить, что большая часть компаний, занимаясь безопасностью АСУ ТП, выполняет только первую часть либо первую и вторую, но эшелонированный и комплексный подход требует выполнения и организационно-технической части.

Отечественная специфика

Особенность российского рынка безопасности АСУ ТП в том, что большинство используемых систем являются единичными заказными разработками или продуктом давно исчезнувших проектных институтов, работающими по различным протоколам, написанным на разных языках программирования. Более того, часто оказывается, что одна компания использует целый набор разнообразных АСУ ТП. Это стало результатом периода активных слияний и поглощений на этапе становления рынка ТЭК и накладывает свою специфику на подход к обеспечению безопасности АСУ ТП, увеличивая среднюю длительность проекта.

Стремясь к большей стандартизации, крупные игроки отечественного рынка ТЭК постепенно переводят свои АСУ ТП на западные промышленные системы. Это решает проблему "зоопарка" АСУ ТП в границах одной компании, позволяет сократить сроки работ и упростить обследование и эксплуатацию систем. Но одновременно повышает актуальность стоящей перед организациями задачи соблюдения требований законодательства в части использования сертифицированных средств защиты. General Electric или Siemens и другие компании десятки лет разрабатывают успешно используемые в США и странах Европы АСУ ТП и предлагают адаптированные к ним средства защиты. Но использование последних в России весьма ограничено, так как ни одно из них не прошло соответствующую процедуру сертификации. Наша практика использования сертифицированных наложенных средств защиты, не адаптированных под протоколы защищаемой АСУ ТП, позволила составить типовой набор продуктов, которые успешно внедряются для АСУ ТП самых различных типов. В него входят как сертифицированные средства защиты (межсетевые экраны, антивирусы, средства защиты каналов связи и т.д.), так и несертифицированные. Например, системы класса SIEM (Security Information and Event Management), являющиеся средством мониторинга. Но на рынке стали появляться и российские разработки для защиты АСУ ТП, имеющие необходимый уровень сертификации. Пока это касается специализированных межсетевых экранов и операционных систем.

О чем надо помнить, приступая к защите?

Во-первых, необходимо учитывать большое число и территориальную распределенность АСУ ТП. Практика показывает, что АСУ ТП нефтедобывающих компаний могут располагаться в радиусе нескольких сотен километров друг от друга. Для компаний энергетического комплекса, напротив, более характерна сосредоточенность большого числа площадок на ограниченном пространстве - центральный офис, несколько ЦОД, районных станций, окружных подстанций и т.д. Один из наших проектов насчитывал порядка 3000 таких точек. Для упрощения их обследования необходимо категоризировать АСУ ТП организации по типу протоколов, по размеру, уровню автоматизации, критичности и т.п.

Во-вторых, сами объекты, на которых находятся точки доступа к АСУ ТП, зачастую оказываются закрытыми, и для получения физического доступа к ним нужно согласовать множество документов, пройти специальный инструктаж и обучение, в некоторых случаях сдать экзамен на доступ к критично важным объектам.

В-третьих, за счет отсутствия стандартизованных АСУ ТП становится невозможным создание стенда для эмуляции возможных с точки зрения нарушителя ситуаций.

Проект завершен, что дальше?

Средняя длительность проекта по защите АСУ ТП составляет около 1,5 лет. Для его реализации необходим штат квалифицированных специалистов с узкой специализацией. Эти постулаты уже воспринимаются всеми как данность и не вызывают вопросов. Но процесс защиты АСУ ТП не останавливается на этапе окончания проекта. Созданная система защиты требует поддержки, донастройки, постоянного контроля. При этом в большинстве компаний штат сотрудников ИБ-подразделений составляет 5-6 человек, а обслуживать им приходится до 20-25 различных решений. Это ставит организации перед необходимостью пополнять штат высококвалифицированными специалистами, занимающимися ИБ технологических сетей.

Логичным ответом российского рынка на потребность организаций в минимизации ресурсов (бюджет, штат сотрудников и т.п.), затрачиваемых на поддержку безопасности АСУ ТП на должном уровне, стало появление услуги, называемой "безопасность - как сервис". Среди отечественных компаний растет заинтересованность в услугах ИБ-аутсорсинга и аутстаффинга, а также в получении услуг ИБ из облака. Многие из них уже готовы отдавать на аутсорсинг ИБ критичных систем, включая мониторинг и реагирование на инциденты. Это позволит компаниям удерживать систему управления ИБ на должном уровне, своевременно реагировать на возникновение новых угроз, на атаки и инциденты, проводить донастройку средств защиты информации.