ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ В ПРОМЫШЛЕННОМ СЕГМЕНТЕ

Аннотация. Активное внедрение автоматизированных систем управления технологическими процессами (АСУ ТП) в производственном сегменте приводит к значительному росту объемов информационной среды предприятий и, как следствие, к многократному увеличению рисков, связанных с утечкой, потерей или порчей информации. АСУ ТП — это совокупность программных, технических и аппаратных средств, которые управляют технологическим процессом. Важно ещё на стадии проектирования оценить риски, связанные с возможным несанкционированным доступом к АСУ ТП. Нарушения в работе АСУ ТП, вызванные как внешним, так и внутренним воздействием, могут привести как к незначительному сбою в работе предприятия, так и к полной остановке технологического процесса. Как правило, результат подобных сбоев приводит не только к экономическим убыткам, но и может иметь катастрофические последствия, как для окружающей среды, так и для населения в целом (в случае с потенциально опасными производствами). Обеспечение информационной безопасности АСУ ТП одна из важнейших задач, которая стоит перед каждым промышленным предприятием, использующим АСУ ТП, а в особенности, перед потенциально опасными производствами.

Ключевые слова: автоматизированные системы управления, технологические процессы, АСУ ТП, информационная безопасность, защита информации, промышленные сети.

На первый взгляд, можно предположить, что за всеми внешними угрозами АСУ ТП стоит целый ряд трудоемких технических мероприятий, которые достаточно сложно реализовать. Однако, анализируя современные кибератаки на промышленные предприятия, можно сделать вывод, что они в основном строятся на принципах социальной инженерии. Именно человеческий фактор является самым слабым звеном в системе информационной безопасности.

Кроме того, существует стереотип, что на критических объектах промышленных предприятий информационная система изолирована. Однако, достаточно часто в рамках проводимых аудитов встречаются примеры обратного. Например, наличие интернета в сегментах промышленной сети.

Если посмотреть на современную промышленную сеть, как правило, АСУ ТП и технологическая подсеть являются частью целой системы. Она может быть объединена с сетью для передачи информации. Например, соединена с интернетом для проведения регламентных работ со стороны поставщика программного обеспечения АСУ ТП, так как многие производители, поставляя свой продукт, обязательным условием договора на поставку включают пункт об удаленной поддержке и удаленном доступе к проданному программному обеспечению. Как следствие, для удаленного доступа возникает необходимость обеспечить либо deal-up соединение (сервис, позволяющий компьютеру, используя модем и телефонную сеть общего пользования, подключаться к другому компьютеру для инициализации сеанса передачи данных) через модемы или это может быть обычное Интернет-соединение.

По статистике большинство угроз для АСУ ТП — это проникновение извне (внешний хакер или вирусописатель), а не изнутри. Чисто локальных инцидентов (когда доступ осуществляется изнутри со стороны оператора, либо со стороны бизнес сети) происходит куда меньше. Однако не нужно исключать и возможность возникновения внутренних угроз (уволенный работник, сводящий счеты с предприятием, подкуп сотрудника и другие человеческие факторы).

Самым распространенным источником внешней угрозы является действие вредоносного кода. При этом используется следующий сценарий. Сначала осуществляется сбор информации из социальных сетей и других источников. Затем подготовленная информация в виде электронного сообщения с прикрепленным документом или ссылкой на сайт направляется на адрес электронной почты внутри компании, отвечающей за управление и эксплуатацию предприятия. В любом случае, кликнув по ссылке, злоумышленник направляет ничего не подозревающего пользователя на фальшивый сайт, который может выглядеть как вполне легитимный, и устанавливает контроль над компьютером жертвы. Зачастую, настройки браузера только облегчают заражение, по умолчанию разрешая запускать те или иные файлы или контент. Соответственно, это приводит к автоматической загрузке, в том числе и вредоносного программного обеспечения (ПО). После взлома рабочей станции скачивается база хешей паролей. Различия между обычной шифрующей функцией и хеш-функцией в том, что последняя не имеет обратной функции. Таким образом, можно сравнить результаты шифрования двух паролей, но восстановить пароль по его шифрованному виду обратно не представляется возможным, кроме перебора всех паролей и сравнения полученных хешей. Далее используется инструмент для подбора паролей и уже, обладая логином и паролем для доступа к внутреннему промышленному сегменту, злоумышленник может осуществлять действия, связанные с изменением технологического процесса и последующим нанесением ущерба для компании.

Не редко встречается проблема заражения вредоносным кодом посредством подключения внешних носителей информации, на которых может находиться новая прошивка для промышленного контроллера или каких-то других элементов системы управления ТП.

Существует специальная публичная база данных инцидентов кибербезопасности на промышленных предприятиях. Это база RISI, которая содержит информацию обо всех происшествиях на промышленных объектах за последние десятилетия.

Так, например, АЭС "Davis-Besse" в США была заражена червем MS SQL Server 2000. Инфекция вызвала перегрузку данных в сети и вывела ее из строя. В результате чего атомный реактор пришлось остановить для того, чтобы не произошло экологической катастрофы.

Нефтяная компания Aramco заявила, что кибератака повредила около 30000 компьютеров. Атака была направлена на прекращение добычи нефти и газа в Саудовской Аравии. Компания закрыла свою основную внутреннюю сеть более чем на неделю. Компьютерный вирус, Shamoon, распространился по сети и стер жесткие диски компьютеров.

Угроза для АСУ ТП может быть реализована совершенно по-разному. Через непосредственное влияние на технологические процессы, через сотрудников, операторов производства или через обычный вредоносный код, который нарушает непрерывность функционирования технологического процесса, что приводит к нанесению ущерба. Соответственно, и сами угрозы могут преследовать различные цели, такие как: простой промышленного оборудования, утечка данных о логике работы производства, перехват управления или вывод из строя оборудования и т.д. Это в свою очередь приводит к негативным последствиям, таким как: финансовые потери, срыв сроков выпуска продукции, замена оборудования или восстановление потерянной информации, потеря клиентов, экологическая катастрофа или угроза здоровью персонала и т.д.

Организация информационной безопасности на предприятии

Сегодня основным механизмом защиты промышленных сетей является сегментирование или зонирование, когда сеть разбивается на блоки. У каждого из такого рода блоков своя модель угроз и свои методы защиты. Например, на нижнем уровне, где находятся контроллеры, исполнительные устройства, датчики, сенсоры, вентили, роботы и другие устройства используется, в первую очередь, пассивная защита, для того чтобы не нарушить функционирование того или иного устройства или технологического процесса. В демилитаризованной зоне (сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных) возможно применение уже активной защиты, базирующейся на принципах нейтрализации вредоносного кода. Цель демилитаризованной зоны (ДМЗ) - добавить дополнительный уровень безопасности в локальной сети, позволяющей минимизировать ущерб в случае атаки на один из общедоступных сервисов. На нижнем уровне, где реализуется пассивная защита, в первую очередь организуется мониторинг происходящего, обнаружение аномалий и атак, а решение по блокированию тех или иных атак принимает уже конкретно сотрудник, отвечающий за работоспособность или за безопасность промышленного сегмента.

Разумеется, в ряде случаев может понадобиться взаимодействие с внешним миром. И в этом случае, по определению, необходим, так называемый, межсетевой экран, который, по сути, является своим отдельным сегментом. Через него можно пропускать или блокировать потоки информации и контролировать их направление движения, получать или контролировать протоколы, размеры пакетов, время, в которое может фиксироваться тот или иной трафик. Таким образом, демилитаризованная зона превращается в буферную зону, в рамках которой осуществляется активная защита и мониторинг происходящего для предотвращения попадания из внешнего мира в промышленный сегмент каких-либо вредоносных программ или злоумышленника.

Структуру информационной безопасности промышленных предприятий можно условно разделить на три составляющие. На первом месте, несомненно, стоят межсетевые экраны, которые ограничивают доступ и обеспечивают сегментацию в промышленных сетях (рис.1). Межсетевые экраны (МСЭ) используются в качестве первой линии защиты сетей. Они являются барьерами между защищенными, контролируемыми внутренними сетями, которым можно доверять, и ненадежными внешними сетями, такими как Интернет. МСЭ - устройство обеспечения безопасности сети, которое осуществляет мониторинг входящего и исходящего сетевого трафика и на основании установленного набора правил безопасности принимает решения: пропустить или блокировать конкретный трафик. Основная цель данных решений - не дать вредоносному коду или злоумышленнику проникнуть в промышленный защищаемый сегмент, и не нарушать работу этого самого сегмента.

Специализированные индустриальные средства безопасности занимают второе место. Они способны понимать промышленные протоколы Modbus (открытый коммуникационный протокол, основанный на архитектуре ведущий-ведомый), DNP3 (Distributed Network Protocol протокол передачи данных, используемый для связи между компонентами АСУ ТП), GOOSE и др., и умеют разбирать, фильтровать и обнаруживать атаки, использующие уязвимости на индустриальных объектах.

Application Whitelisting (средства создания замкнутой программной среды) стоят уже на третьем месте. Их основная задача - создание белых списков приложений, которые разрешено запускать на контролируемых частях узла промышленной сети, на операторских машинах HMI (Human-Machine Interface), на серверах баз данных и т.д. Таким образом, они инициируют запуск средств ограничения доступа для создания белого списка разрешенных приложений.

Рисунок 1. Схема работы межсетевого экрана

Также для соединения сервисных служб, административных отделов предприятия целесообразно использовать VPN канал (Virtual Private Network — виртуальная частная сеть) для защиты конфиденциальности и целостности передаваемых данных (рис.2). Требуется также ограничить количество сессий терминальных приложений, которые пользователь может запустить. Кроме того, необходимо использовать систему обнаружения вредоносного кода и вторжений для отслеживания того, что делается в рамках разрешенного на межсетевом экране трафике и т.д. Это целый набор мероприятий, который в итоге повышает защищенность промышленного сегмента.

Рисунок 2. Схема работы VPN-шифрования

Необходимо также четко контролировать все информационные потоки, знать, что такое нормальное поведение, а что такое поведение аномальное. В этом случае можно выстроить полноценную систему защиты промышленного предприятия. Кроме того, далеко не каждое решение корпоративной безопасности подходит к промышленной сети. Например, на промышленном предприятии необходимо руководствоваться совершенно другими стандартами и требованиями по задержкам, длинам и размерам пакетов, которые передаются от предприятия на центр диспетчерского управления.

В промышленных сетях, как и в любых других, необходимо уделять пристальное внимание работе непосредственно с пользователями сетей. Важно своевременно проводить обучение рядовых сотрудников с целью повышения их знаний по основам информационной безопасности. Кроме того, одним из способов борьбы с инсайдерскими угрозами является анализ поведения привилегированных аккаунтов. Каждый пользователь обладает уникальной моделью поведения: скорость набора текста, используемые программы, время работы и т.д. Своевременное обнаружение отклонений от нормы поможет вовремя принять меры по предотвращению угрозы.

Также необходимо обеспечить безопасный доступ для локальных пользователей, которые могут подключаться к промышленным контроллерам, к серверам, хранящим или создающим логику работы того или иного технологического процесса, к серверам баз данных и т.д. Первостепенные задачи на этом этапе заключаются в контроле доступа и профилировании устройств. Для этого существует специальная система Network Admission Control, которая позволяет реализовать полноценный контроль доступа своих и чужих пользователей и устройств к различным элементам промышленного сегмента. Система автоматически их распознает и в зависимости от определенных политик либо разрешает, либо запрещает доступ.

Помимо контроля локальных пользователей по проводным соединениям нельзя забывать и про контроль беспроводных подключений, так как на многих промышленных объектах используются беспроводные технологии.

Одним из интересных решений по предотвращению возможного несанкционированного доступа является система обнаружения атак (Intrusion Detection System - IDS) — это программное или аппаратное решение, которое просматривает трафик сети для обнаружения несанкционированных попыток проникновения в защищаемый сегмент. Система перехватывает сетевой трафик и передает его на свой анализатор, отслеживает активность процессов отдельных серверных машин, а также проверяет целостность файлов.

Существует три варианта обнаружения атак.

Одним из основных методов обнаружения является распознавание характеристик (сигнатур). Система сравнивает входные данные со своей базой основных маркеров векторов атак, и, в случае обнаружения атаки, оповещает об этом администратора. Однако, у этого метода существует весомый недостаток - ограниченность. Чтобы остаться незамеченным, злоумышленнику достаточно незначительно изменить вектор атаки.

Второй метод заключается в поиске аномалий. Система в течение некоторого времени анализирует трафик и создает его модель. Далее все данные сравниваются с этой моделью и, в случае отклонений от нормы система оповещает администратора. К сожалению, у этого метода тоже есть свои недостатки. Во-первых – это изменяемость модели, то есть, если в течение длительного времени злоумышленником будут повторяться какие-то однотипные действия, то впоследствии модель перестроится. А во-вторых - множество ложных срабатываний.

Третий метод обнаружения атак - аномалии протокола. Главным достоинством данного метода является то, что стандарты меняются достаточно редко, и у администратора не возникает потребности регулярно обновлять базу данных. Но возникают проблемы, когда в сети появляется оборудование с другой реализацией определенного сетевого протокола. В этом случае возникает необходимость либо отказаться от данного метода совсем, либо прибегнуть к очень тонкой настройке.

В ряде случаев во внутренней сети встречается использование honeypots (приманок), то есть специализированных систем, цель которых - привлечение внимания злоумышленника. Это могут быть отдельностоящие серверы, похожие на реальные, но не содержащие никакой важной информации и изолированные от основной сети. Они являются более легкой добычей для злоумышленника. За подобными системами ведется постоянный контроль, что позволяет вовремя предотвращать попытки несанкционированного доступа.

В комплексе с системой обнаружения атак необходим набор инструментов быстрого реагирования (response toolkit) — это программное и аппаратное обеспечение, которое применяется в случае инцидента. Кроме того, необходимо сформировать команду реагирования на инциденты, главными целями которой будут: реакция на все инциденты (в том числе и потенциальные), быстрое подтверждение или опровержение факта вторжения, устранение последствий инцидента.

В случае реагирования на инцидент время является самым важным фактором, так как именно от скорости реагирования зависит будет атака успешной или нет. Кроме того, в случае большого количества инцидентов, следует выстраивать приоритеты в зависимости от того, в каком сегменте сети он инициируется и насколько важны данные на потенциально зараженной машине. Исходя из специфики предприятия, необходимо определить, какие инциденты нужно нейтрализовать в первую очередь.

После того, как атака будет нейтрализована, команде реагирования необходимо составить подробный отчет. Проанализировав произошедший инцидент, команда реагирования вносит необходимые изменения в настройках ПО и оборудования. Также формируют рекомендации по повышению информационной безопасности для того, чтобы в будущем предотвратить такие инциденты или ускорить реагирование на возможные атаки.

Заключение

Обеспечение информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП) является одной из первостепенных задач, стоящих перед любым промышленным предприятием и, в особенности, перед предприятием, связанным с потенциально опасным производством. Ведь любые нарушения в работе технологического процесса могут привести не только к экономическим убыткам, но и к экологической катастрофе.

При этом, защита информации должна осуществляться комплексно, сразу по нескольким направлениям. Должна быть разработана концепция и политика информационной безопасности. Важно учитывать, что индустриальный сегмент в большинстве случаев не изолирован от внешнего мира, вследствие чего необходимо осуществлять сегментирование сетей и максимально контролировать проводные и беспроводные соединения, а также использовать специализированные индустриальные средства безопасности (промышленные протоколы Modbus, DNP3, GOOSE), средства антивирусной защиты и средства создания замкнутой программной среды (Application Whitelisting).

Важным элементом обеспечения информационной безопасности АСУ ТП является система обнаружения атак, а также набор инструментов быстрого реагирования.

Чем больше методов будет задействовано, тем меньше вероятность возникновения угроз. Обеспечение информационной безопасности должно быть направлено, прежде всего, на предотвращение рисков, а не на ликвидацию их последствий.

Список литературы:

1. Федеральная служба по техническому экспортному контролю [Электронный ресурс] –https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-3 (дата обращения 21.02.2019)
2. Кибербезопасность IndustrialIoT: мировые тенденциии [Электронный ресурс] –https://www.cisco.com/c/dam/m/ru_ru/training-events/2017/cisco-connect/pdf/16_45-17_45-Aleksey_Lukackiy Informacionnaya_bezopasnosto_Industrial_IoT_mirovye_tendencii_i_rossiyskie_realii.pdf (дата обращения 10.02.2019)
3. База инцидентов на промышленных предприятиях [Электронный ресурс] –http://www.risidata.com/Database/Search_Results/search&keywords=Ohio/
4.  Втюрин В.А. Автоматизированные системы управления технологическими процессами. Основы АСУТП: учебное пособие [для студентов ВУЗов] / Втюрин В.А. – Санкт-Петербург: СГЛА им. С.М. Кирова, 2006. – 152 с.
5.  Баллод Б.А. Информационная безопасность и защита информации: Курс лекций/ ГОУВПО «Ивановский государственный энергетический университет им.В.И. Ленина».- Иваново, 20010. 304 с
6. Лукацкий А. Кибербезопасность ядерных объектов // Индекс безопасности. 2014 № 4 (115), Том 21. С. 128
7. Информационные технологии: учебник. /Голицына О.Л., Попов И.И., Максимов Н.В., Партыка Т.Л. – 2-е изд., перераб. и доп. – М.: ФОРУМ: ИНФРА-М, 2008. – 608с.
8. Скабцов Н. Аудит безопасности информационных систем /Скабцов Н. – СПб.: Питер, 2018. – 272 с.