Защита АСУ ТП: от теории к практике

Алексей Мальнев
руководитель направления
защиты АСУ ТП "АМТ-ГРУП"

Почему защита АСУ ТП стала актуальной

Однако в части защиты систем АСУ ТП на промышленных предприятиях, предприятиях топливно-энергетического комплекса все еще остается много вопросов. В том числе и потому, что защитой АСУ ТП до недавнего времени мало кто интересовался. Приблизительно год назад о проблеме защиты АСУ ТП внезапно все вспомнили (разумеется, данной темой интересовались и ранее, но не в таких масштабах): в блогах, публикациях, на семинарах на данную тему в этом году дискутировали многие, при этом были и заявления о наличии богатого опыта защиты АСУ ТП.

На самом деле, в данном случае понятие "внезапно" не является совсем точным. Внимание к проблеме защиты АСУ ТП вызвано двумя факторами.

Первый - произошедшие и происходящие в настоящий период инциденты (червь Stux-net, "иранский" ответ в виде червя Shamoon, взлом серверов и кража информации OaSyS SCADA Telvent (Schneider Electric) и другие инциденты)создали благодатную почву для повышенного внимания к проблематике.

Второй - закончился долгий период отсутствия внимания к проблеме со стороны отечественных регуляторов. После семилетней паузы (документ от 2005 г. "Система признаков критически важных объектов") Совет Безопасности РФ в 2012 г. выпустил документ "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критично важных объектов инфраструктуры Российской Федерации".

Если коротко резюмировать посыл этих изменений, то составляется дорожная карта или государственная концепция защиты КСИИ. Планируется создание концептуально новой, единой глобальной системы обнаружения компьютерных атак в КСИИ, формирование сил обнаружения и предупреждения компьютерных атак. Определяется необходимость проработки вопросов лицензирования и сертификации, определяется исключение или ограничение прохождения информационного обмена по территории иностранных государств. Также определяются сроки и этапы работ по реализации единой государственной концепции защиты КСИИ с 2013 по 2020 г. Нужно отметить, что, несмотря на все упомянутые документы, на законодательном уровне конкретные требования пока не определены.

В рамках данной статьи рассмотрим некоторые технические вопросы защиты систем АСУ ТП, являющихся подмножеством систем КСИИ.

Проблема в сложности АСУ ТП или в интеграторах?

Какие требования предъявляет проблематика защиты АСУ ТП к интеграторам И Б? На мой взгляд, требуется сочетание опыта в сфере защиты информации и опыта реализации проектов по созданию инфраструктуры АСУ ТП. Необходимо знание специфики работы промышленных систем и особенностей работы сетевых протоколов АСУ ТП, умение ориентироваться в рекомендациях отечественных регуляторов и западных стандартов. Поэтому крайне желательно наличие среди специалистов интегратора как инженеров по АСУ ТП, так и специалистов по ИБ (такое сочетание, как инженер АСУ ТП и специалист И Б, в одном лице - достаточно редкое явление).

В действительности далеко не во всех проектных организациях есть инженеры по системам АСУ ТП, а также имеется опыт реализации проектов по защите АСУ ТП. Также в проектных организациях не часто встречаются выделенные подразделения безопасности АСУ ТП, специализирующиеся на изучении проблемы и наращивании компетенций в данной области. При этом наблюдается позиционирование практически всех системных интеграторов как обладателей экспертизы в области защиты АСУ ТП.

Если говорить о существующем сегодня подходе к защите АСУ ТП, то он во многом перенесен из других отраслей. Как правило, это защита на сетевом (IP) уровне, с хорошо знакомыми интеграторам средствами защиты и организационными мерами. Отчасти в этом есть здравый смысл, тем более что тенденция развития систем АСУ ТП активно смещается к использованию стека протоколов TCP/IP и к стандартным ОС, что добавляет классические сетевые угрозы ИБ. Но в целом такой подход больше похож на "делаем что умеем". Зачастую не выполняется даже комплекс банальных мер защиты в самих сегментах АСУ ТП. Интеграторы и владельцы подчас боятся затрагивать сегмент АСУ ТП, особенно на его нижних уровнях. Учитывая, что в нем основной целью злоумышленников является контрольно-измерительная информация, данный подход, мягко говоря, не эффективен. Также не всегда возможна реализация рекомендаций отечественных регуляторов и западных стандартов без ущерба нормальному функционированию систем АСУ ТП.

К примеру, полная изоляция сегментов АСУ ТП подчас технически невозможна без ущерба функциональности системы, но в некоторых случаях регуляторы предъявляют такие требования к конкретным владельцам КСИИ.

Находить изящное, не конфликтующее и действительно функциональное решение в таких условиях является непростой задачей для интегратора при защите АСУ ТП.

Примеры специализированного подхода к обеспечению безопасности сегментов АСУТП

Подход к обеспечению ИБ в любой отрасли должен быть комплексным, и защита АСУ ТП не является исключением. Должна быть проведена оценка угроз ИБ, разработаны правила политики безопасности и т.д. Если же говорить о технических аспектах защиты, то, как известно, АСУ ТП логически разделяют на три уровня:

• верхний уровень, или уровень визуализации, диспетчеризации и сбора данных;
• средний уровень, или уровень контроллеров;
• нижний уровень, или уровень контрольно-измерительного оборудования.

Наиболее критичные уровни с точки зрения защиты - это верхний и средний уровни АСУ ТП. И это связано с тем, что нижний уровень в большинстве случаев хорошо изолирован логически и защищен физически. Также он относительно малоизвестен для среднестатистического злоумышленника и, что наиболее важно, использует изолированную среду на физическом уровне (RS-232, RS-485 и т.д.).

Верхний уровень критичен потому, что чаще всего представляет собой единую точку управления и мониторинга АСУ ТП. Также только данный уровень, как правило, взаимодействует с внешним миром (хотя на практике обнаруживаются подключения и на других уровнях). Средний уровень обрабатывает и непосредственно влияет на наиболее критичный тип данных АСУ ТП - контрольно-измерительную информацию.

Ниже приведены два примера защиты АСУ ТП с использованием специализированных средств на верхнем и среднем уровнях.

Пример 1: Решение по защите на верхнем уровне АСУТП

Для защиты сегмента АСУ ТП от попыток НСД со стороны корпоративного сегмента ЛВС и сохранения при этом информационного взаимодействия между сегментами применяются системы одностороннего межсетевого взаимодействия, например Fox-IT DataDiode.

Данное решение изначально использовалось в информационных системах НАТО и потом нашло свое применение в АСУ ТП.

С точки зрения логики работы решение представляет собой специализированные прокси-серверы "черный" (сторона источника информационного потока - сегмент АСУ ТП) и "красный" (сторона назначения информационного потока - сегмент корпоративной ЛВС) - см. рис. 1. Взаимодействие осуществляется лишь в рамках пары "сервер АСУ ТП - прокси DataDiode". Между самими же прокси-серверами DataDiode происходит уже одностороннее взаимодействие. При этом однонаправленная связь реализуется именно на физическом уровне (см. рис. 1). Встречное воздействие исключено на физическом уровне за счет использования гальванической развязки (оптический интерфейс устройства DataDiode в сторону Red Proxy работает только в режиме transmit. Любые другие варианты взаимодействия исключены на аппаратном уровне).

Например, в одном из реализованных проектов необходимо было обеспечить периодическую отсылку данных Historian OPC Server в сегмент корпоративной сети для мониторинга и анализа. Существует также множество других вариантов использования систем одностороннего межсетевого взаимодействия: обеспечение взаимодействия компонентов иерархии WSUS сегментов корпоративной сети и АСУ ТП, пересылка журналов аудита в формате syslog для SIEM-систем, расположенных вне сегмента АСУ ТП, однонаправленное взаимодействие по протоколам CIFS, SMTP и FTP для решения внутренних задач подразделений АСУ ТП (см. рис. 2).

Разумеется, требования по контролю сессий никто не отменял, и межсетевые экраны также должны использоваться на входе и выходе из демилитаризованной зоны. В некоторых случаях возможно и целесообразно применение двунаправленной схемы одностороннего взаимодействия (см. рис. 3).

Пример 2. Решение по защите на среднем уровне АСУТП

Системы безопасности не часто внедряют на уровне контроллеров. Иногда используются системы обнаружения и предотвращения атак со специализированным для АСУ ТП набором сигнатур атак. Либо устанавливаются традиционные для корпоративных сетей межсетевые экраны, на которых настраиваются правила доступа для протоколов АСУ ТП с инспекцией на сетевом уровне TCP/IP (например, открывается доступ по порту TCP 502 (Modbus TCP)).

В некоторых случаях на уровне контроллеров целесообразно использовать специализированные промышленные полевые межсетевые экраны (Field Firewalls, Industrial Firewalls). В настоящее время существует ряд западных решений (Tofino-security, Siemens и др.) и ведутся отечественные разработки в данном направлении.

Суть задачи в том, чтобы контролировать сессии промышленных протоколов не только на сетевом уровне (что реализовано почти во всех межсетевых экранах), но и на прикладном уровне (это реализовано в некоторых системах предотвращения атак, но в крайне ограниченном наборе сигнатур и с рядом других ограничений). Простейший пример - определять разрешаемый набор кодов функций на чтение и запись в протоколе Modbus, таким образом мы получаем полноценную инспекцию промышленных протоколов на уровне приложений (см. рис. 4). Именно эта информация является наиболее критичной в АСУ ТП. Разумеется, промышленные межсетевые экраны поддерживают все основные протоколы АСУ ТП: Modbus TCP, DNP3, ОРС, МЭК 60870-5-104, CIP и десятки других.

Немаловажным является исполнение устройств при защите на данном уровне АСУ ТП: требования к рабочей температуре, вибрационным нагрузкам, влагоустойчивости зачастую определяют необходимость использования устройств исключительно в промышленном исполнении.

Тенденции в области защиты АСУ ТП

В ближайшее время, вероятнее всего, значительная часть владельцев КСИИ будет больше озадачена получением реальной картины об уровне бедствия на их площадках с точки зрения ИБ. Поэтому большая часть проектов по защите АСУ ТП будет начинаться с работ по аудиту. При этом приоритетом с точки зрения концепции защиты будет в большинстве случаев являться выполнение требований ФСТЭК. И такую тенденцию мы наблюдаем уже сегодня. Впоследствии очень вероятно, что требования будут смещаться в сторону реального повышения уровня защищенности систем АСУ ТП и построения комплексных систем безопасности с ориентиром на лучшие мировые практики и стандарты в этой области (при соблюдении требований отечественных регуляторов).

Быть действительно готовыми к таким возросшим требованиям специфичной отрасли - актуальная задача номер один для интеграторов ИБ.