Некоторые вопросы обеспечения безопасности АСУ ТП

Сергей Корольков
Технический директор ЗАО “ДиалогНаука"

Эксперты в области ИБ соглашаются, что обеспечение безопасности АСУ ТП отличается от обеспечения безопасности корпоративных и нф ор маци онны х систем (КИС). Обычно говорится о том, что необходимо уделять внимание не только обеспечению конфиденциальности, но и о том, что жизненный цикл у них отличается, и технологические окна КИС совсем не такие. Остановимся на этом подробнее.

Объект защиты

Что же является объектом: информация, процесс, средства, реализующие процесс, или документы?

Вероятно, уважаемый читатель уже обратил внимание на то, что в этой статье термин "информационная безопасность" не употреблялся в отношении АСУ ТП. Связано это с тем, что корректная терминология в отношении безопасности АСУ ТП еще не выработана, а если и выработана, то еще не устоялась.

Российская нормативная база ориентирована на защиту информации. Например, ФСТЭК в принятой 7 лет назад и действующей нормативной документации ведет речь о безопасности информации в ключевых системах информационной инфраструктуры. То есть изначально в основе требований находится предположение, что необходимо защищать именно информацию в системе управления. В недавно введенных в действие так называемым 31-м приказом требованиях к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах уже появился текст, раскрывающий вопрос объекта защиты. В соответствии с этим документом объектом защиты является не только информация, а программно-технический комплекс и средства защиты информации.

Зарубежные стандарты и практики предусматривают еще более широкое понятие объекта защиты: вся информация, программно-технические средства и персонал, влияющий на технологический процесс (ТП). И такой подход является более правильным: при обеспечении безопасности должны быть рассмотрены любые нетехнологические активы, влияющие на ТП.

Обладает ли ТП свойством конфиденциальности?

Наверное, большинство представителей профессии, в названии которой есть слово "безопасность", не представляют ее таковой без обеспечения конфиденциальности. С одной стороны, данные о потреблении электричества клиентами энергокомпании или, например, данные об отгрузках нефтепродуктов конкретным потребителям представляют коммерческую тайну. Но эта информация является конфиденциальной с точки зрения всего бизнеса предприятия. Следует ли из этого, что ТП обладает свойством конфиденциальности? С точки зрения самого ТП и результата его работы конфиденциальность данных не играет никакой роли. Более того, сложно представить ТП, где разглашение информации о нем, его результатах работы может непосредственно и негативно повлиять на сам ТП. Хотя и были случаи, когда, например, утечка некорректных показателей одного датчика на АЭС может привести к развитию нежелательных социальных последствий в целом регионе.

Отличия в жизненном цикле систем

Жизненный цикл КИС протекает, в общем, перед глазами специалиста по ИБ. В начале с ним согласовывается техническое задание на создание или модернизацию системы, через несколько месяцев начинается реализация системы, в течение ближайших лет система переходит в эксплуатацию. Специалист по ИБ имеет возможность принимать меры по повышению уровня ИБ на всех стадиях жизненного цикла. У КИС обычно есть технологические окна, резервные копии, тестовые сегменты, которые позволяют управлять изменениями системы, не снижая показателей надежности. В большинстве систем управления ТП отсутствуют механизмы, позволяющие апробировать меры по ИБ, а технологические окна предусмотрены и "заняты" операциями технического характера.

В случае с АСУ ТП специалист по ИБ чаще всего "появляется" уже на этапе промышленной эксплуатации. При этом АСУ создавалась годы или десятилетия назад. Создатели системы и ее компонентов не могут ответить на все вопросы о ее функционировании, так как уже находятся за пределами доступности специалиста по безопасности. Те документы и записи, которые были оставлены при создании системы и запуске ее в эксплуатацию, сейчас не всегда могут быть понятны. То есть перед специалистом по ИБ есть система управления, которая в ряде случаев не может быть адекватно проанализирована, осмыслена и не может быть изменена. Лица, эксплуатирующие систему, и специалисты по безопасности могут только ей доверять и наблюдать за тем, как она работает. Это сильно ограничивает количество и качество мер, которые специалист может применить.

Слабое звено всех технологических систем

Традиционно самое слабое звено всех технологических систем – человек. Это касается и обеспечения безопасности АСУ ТП. Особенности АСУ ТП не позволяют использовать специалиста с навыками защиты КИС для защиты АСУ ТП: требуются другие базовые знания, применяются другие меры, ответственность также совершенно иная. Если в области безопасности КИС есть приток кадров, отработанные процедуры повышения квалификации, сообщества, то в области обеспечения безопасности АСУ ТП всего этого нет.

Ответственность, лежащая на специалисте по безопасности АСУ ТП, совершенно иная, она не измеряется тем универсальным мерилом, к которому все привыкли в случае с КИС, – оценкой величины ущерба в деньгах.

Сотрудники, обеспечивающие безопасность КИС, привыкли к тому, что рынок средств защиты находится в развитом состоянии, средства защиты есть в любых ценовых категориях, от различных производителей, как прошедшие оценку соответствия, так и нет. В случае с АСУ ТП таких средств крайне мало. Да и сами категории средств защиты могут отличаться от привычных, при условии, что под специфический промышленный протокол вообще удастся найти СЗИ. Попытки использовать СЗИ для КИС в АСУ ТП не всегда бывают успешными. Например, применение аппаратных замков на АРМ операторов ТП иногда бессмысленно: работа сменная, при пересменке перезагрузка системы или смена учетной записи пользователя не осуществляется.

Еще раз о нормативной базе

О состоянии нормативной базы по вопросам безопасности АСУ ТП в России не писал только ленивый. Необходимо отметить, что обязательность применения нормативных документов неочевидна, и это признают даже регуляторы. Данный вопрос предполагается решить выпуском Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Как отмечалось выше, в марте 2014 г. ФСТЭК были приняты требования к обеспечению защиты информации в АСУ ТП. Анализ требований 31-го приказа показал, что сами требования не противоречат, а местами и удачно пересекаются с требованиями, которые выдвигаются к системам защиты АСУ ТП в международных стандартах и лучших практиках.

На основании каких характеристик АСУ ТП должны быть сформированы требования по защите?
Вот тут встает первый краеугольный камень для специалиста по ИБ, решившего системно подойти к вопросу защиты АСУ ТП. В разъяснении, выпущенном ФСТЭК по вопросам применения 31-го приказа, говорится о том, что для определения актуальных угроз необходимо использовать принятые ранее (в 2007 г.) документы. Однако, как отмечалось выше, в документах 2007 г. защита КСИИ рассмотрена с точки зрения обеспечения защиты файлов и директорий от разглашения, каталог угроз не учитывает ряд современных технологий. Можно ли на основании такого анализа угроз сформировать корректным образом требования к защите?

Для формирования целостного и системного подхода к определению требований по безопасности для конкретной АСУ ТП необходимо не только пользоваться действующей нормативной базой, но и учитывать накопленный в виде международных стандартов опыт.

Комментарий эксперта

Безопасность АСУ ТП - вопрос неоднозначный

Игорь Решетников

Президент ООО “Нефте-газсофтсервис", руководитель российского MES-центра

Мне, как практику, больше нравится, когда безопасность трактуется как степень защищенности. Когда мы говорим о безопасности КИС, то не забываем о вирусах, доступе в серверные помещения и т.п. Хотелось бы, чтобы и для систем АСУ ТП понятие безопасности рассматривалось именно как обеспечение стабильной и бесперебойной работы. И тут подходы, надо отметить, полностью противоположны защите КИС. Антивирусное ПО уже не помощник, а враг № 1, его на терминалах АСУ ТП быть не должно. Спрятать шкаф АСУ ТП в отдельное помещение с журналом доступа также невозможно. И далее, в том же духе. АСУ ТП - это, прежде всего, задачи управления. В связи с этим ремарка, что "изоляция АСУ ТП - это миф" кажется несколько странной. Никто и никогда не должен иметь доступа к системам управления "с дивана". К данным - да, к управлению - нет. Для этого придуман целый класс специализированных систем сбора данных и предоставления их в удобном агрегированном виде, от классических MES-систем и до узкоспециализированных систем. Есть чудесные примеры, когда даже такие объекты, как АЭС, управляются издалека: в центре поддержки, в 100 км от самой станции видно все, что происходит на АЭС, но все команды управления формируются только на самом объекте. Поэтому сети АСУ ТП не только могут, но и должны быть физически разделены с остальными ЛВС предприятия.

В статье все отмечено очень точно, но не стоит забывать еще и о таком аспекте: серьезная угроза кроется в том, что сложность систем АСУ ТП растет, и на этот уровень перетекают многие задачи визуализации, управления, хранения, которых там быть не должно, - это задачи SCADA и MES-уровня. В результате даже контроллеры уже имеют встроенную ОС, требуют постоянного обновления и отдельного внимания. Что там внутри - загадка. АСУ ТП - это прежде всего простота и надежность. Встроенные беспроводные средства передачи данных, средства графической визуализации и т.п. неоправданно усложняют систему управления и снижают надежность. Если же эта самая система управления сконфигурирована правильно, то есть АСУ ТП имеет минимум возможностей, но решает свои задачи управления и передачи данных на верхний уровень, в том числе - данных о состоянии объекта управления, а система уровнем выше (MES, DGS) следит за корректностью, авторизует оператора, хранит архивные данные и пр., то только тогда будет обеспечена максимально возможная безопасность системы управления, так как задачи управления и контроля независимы и разделены.