Защита технологических сетей

– В чем состоит специфика защиты АСУ ТП? Чем она обусловлена?
– Технологические сети, или АСУ ТП, являются специфическими сетями. Специфика заключается в том, что данные сети зачастую управляют очень опасными производствами в реальном времени. Малейший сбой или задержка сигнала может привести к катастрофе и человеческим жертвам. Соответственно, внедряя какие-либо решения по безопасности, мы должны быть очень осторожны. Нельзя просто взять и поставить средство защиты в технологическую сеть. Необходимо тщательно все протестировать и убедиться в том, что внедряемое средство защиты не приведет к задержкам, искажениям и сбоям. Простейший антивирус при неправильной настройке может привести к повышению нагрузки на процессор и, соответственно, замедлению реакции системы на сигналы от контроллеров и датчиков. Не говоря уже о системах предотвращения вторжений и других средствах, имеющих возможность разрывать соединения или вмешиваться в процессы функционирования систем. В нашей практике был случай, когда ошибка в прошивке оборудования именитого производителя приводила к задержке переключения каналов в несколько миллисекунд, а это приводило к сбоям технологического оборудования. В корпоративной сети задержки переключения или передачи информации не являются столь критическими, но в технологических сетях такая задержка переключения приводит к сбоям процессов. Большую роль играет также то, что большинство технологических сетей создавались очень давно. Соответственно, внесение каких-либо изменений в настройки системы или процессы функционирования затруднено или невозможно в силу отсутствия разработчиков, невозможности внесения изменений и т.д.

– В современном мире технологические и корпоративные сети активно обмениваются информацией, что неизбежно ведет к их взаимной интеграции. В чем заключается главная опасность такого взаимопроникновения сетей?
– В современном мире онлайн-управление играет важную роль в работе производства. Руководству необходимо иметь актуальную информацию по текущему состоянию производства, его загруженности, сбоях и т.д. Исходя из полученной информации, требуется посылать управляющие сигналы. Отсюда возникла необходимость связи между корпоративной и технологической сетями. В те времена, когда этот процесс только начинался, об опасностях, связанных с этим, не задумывались. Изначально информация передавалась из технологической сети в корпоративную. Казалось, что наличие межсетевого экрана и антивируса способно полностью защитить компанию.

Однако в современном мире опасность взлома сетей и кибертероризма вышла на первый план. Компании осознали, что те опасности, с которыми в корпоративной среде уже привыкли бороться и имеют большой арсенал средств борьбы, теперь угрожают и технологическим сетям. При этом имеющиеся корпоративные средства защиты нельзя применить в технологической сети. А ущерб от взлома АСУ ТП может быть гораздо больше. Простой вирус в корпоративной сети приведет в худшем случае к простою в работе, а в технологической сети может привести к катастрофе с человеческими жертвами. Известный случай с доменной печью в Германии. В результате проникновения была нарушена взаимосвязь между контроллером и панелью управления. На панели управления отображались неверные данные и не позволяли управлять печью. В результате специалисты вынуждены были перейти в ручной режим управления для предотвращения катастрофы.

– Как бороться с такими угрозами?
– Бороться необходимо различными средствами, Начиная от специализированных средств защиты и до разделения сетей и ограничения доступа из корпоративной сети к технологической. Ранее, когда связи между сетями не было, проблем было меньше. Опасности корпоративной сети не могли напрямую попасть в АСУ ТП. Перенос файлов осуществлялся посредством дискет или позже – флеш-дисков, и можно было простыми средствами обеспечить защиту. Сейчас, при взаимной интеграции сетей, проникновение угроз стало гораздо проще. Зачастую между сетями нет никаких средств разграничения доступа или межсетевого экрана, а на рабочих станциях нет антивируса или других средств защиты. Отсюда возникает ситуация, когда простой вирус спокойно может заразить как корпоративные компьютеры, так и технологические и привести к сбоям и выходу из строя производственного оборудования. Если же какие-то правила разграничения доступа все-таки присутствуют, то возникает пресловутый человеческий фактор. Многие администраторы для облегчения удаленного доступа к оборудованию оставляют себе "проходы" в средствах защиты, как бы маленькие калитки сбоку от основных охраняемых ворот. Таким образом, взлом компьютера администратора приведет к проникновению в технологическую сеть как раз через такую калитку. Поэтому первым делом необходимо четко разделить и разграничить доступ из одной сети в другую. Кроме этого, не должно быть прямых связей между системами технологической и корпоративной сетей, Только через демилитаризованную зону с проверкой на легитимность и безопасность. Далее – антивирусы, установка обновлений, контроль доступа к USB-портам и т.д. Еще необходимо обучать персонал, объяснять основные принципы информационной безопасности наравне с техникой безопасности на производстве.

– Возможно ли на современном производстве получить самодостаточную технологическую сеть, минимально зависящую от корпоративной?
– Я думаю, что нет. Развитие информационных технологий позволяет оперативно реагировать на рынок и быстрее принимать правильные решения. Планирование и своевременное доведение управляющих команд позволяет обеспечить преимущества перед конкурентами, поэтому без интеграции сетей и сервисов не обойтись. Но делать это нужно аккуратно, учитывая вопросы безопасности. И делать это нужно на этапе написания технического задания, а не после сдачи объекта в промышленную эксплуатацию.

Сейчас большинство вендоров уже предлагают свои системы для обеспечения безопасности АСУ ТП. Ими разработаны в том числе и архитектуры построения защищенных технологических сетей. Как я говорил выше, проблема в том, что большинство технологических сетей строились давно и, соответственно, перестраивать их сейчас очень сложно и дорого. Зачастую перестройка вообще невозможна, поэтому защита таких сетей представляет из себя сложную задачу.

– Как на предприятии ЕВРАЗ решена проблема интеграции сетей? Расскажите о своем проекте.
– После проведения теста на проникновение мы убедились в том, что сети достаточно плотно переплетены и недостаточно защищены. Это повышало риск нарушения работы технологической сети, остановку производства и в самом плохом варианте – катастрофу. Постоянно появляющаяся информация о взломах АСУ ТП во всем мире дополнительно убедила компанию, что необходимо защитить наши технологические сети. Руководством компании была поставлена задача: в течение года обеспечить разработку проекта по защите технологической сети. Проанализировав результат теста на проникновение, мы обнаружили, что один из основных векторов атаки шел из корпоративной сети. Активно использовалась атака на компьютеры разработчиков и администраторов. Соответственно, мы решили прежде всего разделить наши сети и обеспечить безопасное взаимодействие. Изучив лучшие мировые практики от ведущих международных институтов и вендоров, мы определили основные подходы к защите и приступили к поиску компании, которая нам поможет реализовать проект. Для пилотного проекта мы выбрали два цеха, наиболее опасных с точки зрения возможной катастрофы. В обоих цехах происходит работа с жидким металлом, и нарушение технологического процесса может привести к серьезной катастрофе. Выбор компании-интегратора также был связан с трудностями. В России пока не много проектов, реализующих защиту АСУ ТП в металлургии. Зачастую заказчики делают только аудит безопасности и подготавливают техническую документацию. Само внедрение не проводится. Соответственно, найти подрядчика, имеющего реальный опыт реализации защиты АСУ ТП, достаточно сложно. А брать компанию, не имеющую соответствующих компетенций, не хотелось. Компания выбиралась в ходе конкурса, где учитывались наличие опыта аналогичных проектов, качество предложенного решения и много других параметров.

В результате выбранная компания-интегратор провела дополнительный аудит технологической сети и сначала разработала для нас концептуальный проект разделения сетей, некий идеальный вариант. Далее с их помощью мы определили те части проекта, которые мы можем быстро и наиболее безболезненно внедрить в сжатые сроки. На основании этого был составлен план работ. Задача ставилась амбициозная. Нам необходимо было практически за пять месяцев реализовать сложный проект без остановки производства. В проекте были задействованы представители практически всех подразделений ИТ и АСУ ТП. Команда совместно со специалистами интегратора напряженно работала. По ходу проекта вносились правки, исходя из текущих возможностей и сложностей в реализации. Основные сложности возникали как раз со старинными АСУ ТП. Сейчас можно сказать, что нам удалось завершить проект в срок. На сегодняшний день мы смогли максимально разделить корпоративную и технологическую сети, обеспечить безопасный, контролируемый доступ и взаимодействие между системами. Там, где мы не смогли полноценно провести разделение, были применены другие методы защиты. Естественно, проект еще нельзя считать полностью завершенным. Я бы сказал, что это первый этап. Еще остались элементы концептуального проекта, требующие внедрения. Мы пока не погружались глубоко в недра технологического оборудования, но задел сделан. Работа была проведена большая и в сжатые сроки.

– Что должно получиться в итоге, чтобы проект был признан успешным и получил реализацию и в других цехах производства?
– По завершении проекта был запланирован повторный тест на проникновение, который должен показать правильность нашего подхода и его реализации. Задача аудиторов остается аналогичной – им необходимо проникнуть в технологическую сеть. При этом по условиям теста он начинается в режиме "черного ящика". В случае если в этом режиме проникновение не удастся, мы плавно перейдем к режиму "серого ящика". В конце аудита уже будет использоваться режим "белого ящика". Мы предоставим аудиторам документацию по проекту для проведения анализа с точки зрения безопасности. По результатам теста на проникновение будет приниматься решение об успешности проекта и его тиражировании или о его доработке. Если нам удалось правильно определить вектор атаки и грамотно спланировать защиту, то аудиторам не удастся проникнуть в технологическую сеть. Если же им удастся все-таки проникнуть, то в любом случае мы будем понимать, где мы недоработали, и сможем внести исправления в концептуальный проект и в его реализацию в цехах. Кроме этого, мы ожидаем от аудиторов рекомендаций по дальнейшему улучшению защиты АСУ ТП на наших площадках.

– Многие промышленные предприятия негативно относятся к каким-либо тестовым решениям, так как любой "полигон" для решения требует колоссальных финансовых затрат, остановка производства также исключена. Как вы смогли реализовать у себя пилотный проект?
– Мы также не приветствуем использование тестовых решений. В нашей ситуации очень опасно использовать неапробированные решения. Последствия сбоев могут быть весьма печальными. Поэтому мы использовали только проверенные решения, досконально проверяя настройки и по возможности проводя предварительные испытания. Сначала был проведен аудит АСУ ТП, выявлены потоки информации, определены настройки оборудования.

Далее все настройки предварительно отрабатывались на бумаге, потом проверялись на стендах и только после этого переносились на производство. Старались аккуратно спланировать все действия, чтобы максимально использовать технологические окна в работе производства. Задача была сложная. В связи с тем, что АСУ ТП имеет в своем составе достаточно старые элементы, которые не позволяют изменять свои настройки, приходилось на ходу менять концепцию, чтобы обеспечить приемлемый уровень безопасности без нарушения работоспособности оборудования и процессов. Большую роль играло взаимодействие членов команды внедрения. Представители ИТ, АСУ ТП, интегратора были в постоянном контакте, обсуждая предлагаемые решения и внося коррективы. Все это позволило в результате реализовать сложный проект в сжатые сроки.

Комментарий эксперта

Артем Натурсов

Вице-президент по информационным технологиям, ЕВРАЗ

Начавшийся тренд в направлении цифровой трансформации предприятий приводит к необходимости тесной интеграции всех уровней автоматизации: от датчиков до ERP систем, если следовать классификации ISA 95. Поэтому любая платформа для индустриального Интернета вещей должна учитывать требования информационной безопасности. Наличие эффективного барьера между корпоративной и технологической сетями не означает сдерживания тенденций выше. В нашем проекте мы постарались создать систему, которая достаточно гибко подстраивается под требования интеграции и обеспечивает должный уровень защиты.