"Эта железка умнее меня!.."

Как мыслящему человеку не стать луддитом

Не станем тратить слова на аргументацию того, что технология никогда не виновата и человеку (в собирательном смысле) всегда полезно поискать причину в себе – что он в этой технологии не доделал. Примеры всегда ярче абстрактных аргументов. Приведем же примеры на материале критических информационных инфраструктур [1], потому что, во-первых, это тема номера, а во-вторых, такие примеры всегда впечатляют больше.

Безопасный город

Нас окружают камеры, данные с которых оказывают непосредственное влияние на принятие множества критически важных или просто значимых для конкретных граждан решений. Изображение с этих камер передается по каналам передачи данных общего пользования, и вмешательство в этот процесс "человека посередине" не представляет для злоумышленника сложности.

Такая атака дает преступнику возможность подменять данные на те, что позволят ему решить какие-то свои задачи, либо, что не менее опасно, особенно в условиях движения к биометрической идентификации, – накапливать данные о гражданах в целях дальнейшего использования в собственных целях.

Есть два варианта "доделать" эту технологию, они очевидны: заменить все камеры на такие, в которые по умолчанию встроены средства шифрования класса защиты КС2 и выше, или встроить в уже установленные повсеместно камеры СКЗИ на универсальной платформе (такие сегодня существуют, например специализированный микрокомпьютер с аппаратной защитой данных m-TrusT [2]), что сделает процесс сбора данных с камер защищенным с максимально возможным сохранением инвестиций. Стоимость оборудования камер СКЗИ будет ощутимо ниже замены всех камер. "Безопасный город" становится безопасным.

Умный дом

Умный дом сейчас едва ли не в большей степени ассоциируется с опасностью, чем с прогрессом. Приборы, взаимодействующие по сети, в лучшем случае разовьют искусственный интеллект и взбунтуются (это оптимистический сценарий, потому что случится это очень нескоро), а в худшем – попадут под управление не собственного хозяина, а его недоброжелателя. Можно рисовать много сценариев развития этой ситуации, как смешных, так и страшных. Оставив эту задачу сценаристам, можно решить проблему радикально – защитить взаимодействие вещей, поскольку от него зависят люди.

Если концентратором потоков информационного взаимодействия в системах IoT (так называемого Интернета вещей) будет аппаратный криптошлюз, преступник больше не сможет отключить ваш холодильник и включить кипяток в душе.

Умный дом становится безопасным. Далее вопрос снова сводится к тому, что под что будет подстраиваться, защита под технологию или технология под защиту. Ответ зависит от того, какая сумма может быть затрачена на эти цели.

Надежный банк

Если рассматривать в качестве примера объекта КИИ банкомат, то на первый взгляд там сегодня все устроено довольно просто. В его составе есть диспенсер (в нем лежат деньги и из него выдаются), компьютер и периферийное оборудование. Компьютер взаимодействует с процессинговым центром (например, по IP-протоколу) и USB-кабелями соединен с диспенсером и другим периферийным оборудованием.

При работе с банкоматом с пластиковой карты считывается ее номер, с клавиатуры – ПИН, все это передается в процессинговый центр, где и выполняется авторизация. Если всё в порядке, проверяется запрашиваемая сумма. Затем компьютером банкомата формируется команда на выдачу денег, которая передается в диспенсер. Из защитных механизмов здесь используется только один – диспенсер размещен в сейфе.

Такого очень упрощенного описания уже достаточно, чтобы понять, "что делать". Надо защитить каналы, как от процессингового центра к компьютеру, так и от компьютера к диспенсеру, и обеспечить целостность программно-аппаратной среды компьютера. Сделать это в соответствии с 187-ФЗ и положением Банка России № 683-П [3], нетравматично для функционирования системы и с сохранением инвестиций, можно также с помощью решения на универсальной платформе специализированного компьютера с аппаратной защитой данных.

Финансовые коммуникации становятся безопасными.

Безопасный транспорт

Представим себе железную дорогу как некоторый обобщенный эталонный макет транспорта вообще.

Если рассматривать ее с точки зрения сетевого взаимодействия объектов КИИ, то мы увидим три глобальных типа объектов: подвижные составы, станционное оборудование и некоторый центральный вычислительный центр (ведь мы рассматриваем условную модель, а не конкретную КИИ).

Основное взаимодействие происходит между подвижными составами и центральным вычислительным центром (назовем его ЦВЦ). Он рассылает расписание, аккумулирует данные от подвижных составов и рассылает сделанные на основании этих данных корректировки. Станционное оборудование также отправляет в ЦВЦ данные о движении подвижных составов, получает корректировки расписания, которые передает подвижным составам, и выполняет различные вспомогательные функции, прописывать которые на уровне такой контурной обрисовки условной транспортной системы нет смысла. Подвижные составы параллельно взаимодействуют со станционным оборудованием и с ЦВЦ, отправляя данные о своем движении и получая указания и корректировки.

Очевидно, что нарушение этого взаимодействия может иметь крайне неприятные последствия, и так же очевидно, что средства защиты этого взаимодействия должны быть унифицированы, но в то же время адаптированы к работе в совершенно разных условиях. Бортовой компьютер подвижного состава работает в условиях вибрации и нагревания, и в целом он абсолютно не похож на ПК или сервер. На станциях оборудование представляет собой стойку серверов, ЦВЦ – это ЦОД с серверами огромной производительности. Задача решается или сложной интеграцией, или универсальной платформой для СКЗИ. Реализация СКЗИ на универсальной платформе, с одной стороны, не имеет никаких ограничений по работе "навстречу" с реализациями этого же СКЗИ на любых других платформах, а с другой – позволяет организовать защищенное взаимодействие параллельно по разным каналам. Транспорт становится безопасным.

Умная энергетика

Объекты энергетики рассмотрим на примере электрических подстанций. Это объекты, предназначенные для приема, преобразования и распределения электричества. Многие из них расположены "в чистом поле" (на открытых пространствах, вдалеке от какой-либо инфраструктуры) и функционируют относительно автономно.

Такие объекты неизбежно вызывают повышенный интерес злоумышленников, о чем писал еще А.П. Чехов1. Подключение к подстанции с целью решения каких-то бытовых задач предельно опасно, так как объект не имеет ресурсов, позволяющих различать легальные и нелегальные запросы. Негативный эффект от таких действий не исчерпывается бесконтрольным потреблением электроэнергии. Цифровые подстанции, имеющие в составе управляющего комплекса противоаварийную систему, могут расценить изменение нагрузки как аварию и включить противоаварийную автоматику. В этом случае целевые функции подстанции могут быть не выполнены в нужный момент, а к чему конкретно это приведет, зависит от того, в рамках какой инфраструктуры и для чего предназначена данная конкретная электроустановка.

Очевидно, что необходимо средство защиты, которое позволит отличать аутентифицированный и гарантированно неизмененный управляющий сигнал от воздействия "народных умельцев".

Умное производство

Про "классические АСУТП" как проявление КИИ написано больше всего статей и даже книг. Необходимость установки в них СКЗИ высоких классов, а также все связанные с этим сложности хорошо понятны.

Особенность ряда крупных производств сегодня состоит еще в одном очень существенном обстоятельстве: их управляющие инфраструктурные элементы находятся за рубежом. А это означает, что при неблагоприятных внешнеполитических обстоятельствах эти элементы могут стать рычагами управления не только производственными процессами. Система безопасности таких объектов должна строиться в предположении, что центр управления может перестать быть доверенным источником и его команды должны интеллектуально обрабатываться, а не просто без искажений передаваться на исполнение.

Умный учет

Приборы учета всегда представляли собой цель для "улучшений" как со стороны недобросовестных пользователей учитываемых ресурсов, так и со стороны недобросовестных взимателей платы за эти ресурсы. Самого разного рода "скручивания" и "накручивания" счетчиков практически всех видов возникли, вероятно, одновременно с самими счетчиками. Каждый, кто брал в аренду автомобиль, который надо вернуть "с тем же количеством топлива", наверняка замечал, что датчик топлива ведет себя удивительно, а Интернет полнится советами по обходу любых счетчиков – от воды до трафика.

Умные приборы учета имеют два существенных отличия от обычных:

1. ими можно управлять удаленно, без непосредственного "личного" контакта с каждым;
2. они несут в себе функциональность не только непосредственно учета, но и управления.

Это совершенно логично: закончился лимит, превышена просрочка по оплате или наступило еще какое-то заранее назначенное граничным событие, и в установленном порядке отключается подача того, использование чего считает умный счетчик. Никакого произвола или человеческого фактора.

За исключением того, что подать эту команду может хакер. А принимая во внимание природу учитываемых ресурсов, трудно преувеличить общественную значимость ситуации, которую сможет создать злоумышленник, буде в его планах резкое повышение уровня социальной напряженности.

Эффект будет, впрочем, похожим, если предложить гражданам за свой счет заменить приборы учета на новые, защищенные. Аргумент, что это для безопасности, скорее всего, вызовет только раздражение. Средство защиты, которое возможно установить в существующую систему, очевидно предпочтительнее и в этом случае.

Защищенный бизнес

В защите нуждаются не только КИИ. Потребность в защите собственной информационной инфраструктуры, даже если она не является критической с точки зрения государства, все более осознана бизнесом, и уже не только крупным. Для таких информационных систем особенно важным становится баланс цены и качества. Создавая систему защиты "для себя", одинаково неверно как переплачивать за правильное название (с какой бы точки зрения "правильным" оно ни было бы) и избыточную функциональность, так и покупать за небольшие деньги ненадежную защиту.

Вывод, который проступает так явно, что его было бы нечестно не сделать, заключается в следующем. Умные технологии могут быть защищенными. Прекрасно, если сразу защищенными они проектируются. Но если при проектировании эти вопросы были упущены, защита системы не должна привести ни к нарушениям ее функционирования, ни к потерям инвестиций. Умная технология во всем должна остаться умной.

Список литературы:

1. Федеральный закон 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
2. Батраков А.Ю., Конявский В.А., Счастный Д.Ю., Пярин В.А. Специализированный компьютер с аппаратной защитой данных // Патент на полезную модель № 191690. 15.08.2019. Бюлл. № 23.
3. Положение Банка России от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".