Контакты
Подписка 2024

Актуальная проблема защиты информации в АСУ ТП

Светлана Конявская, 08/07/24

Совершенно естественно, что области повышенного риска тщательно регулируются, хотя это тоже, в свою очередь, создает новые риски. Совершенно естественно, что АСУ ТП – как раз такая область. Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.

Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”

Большинство текстов статей и докладов про защиту информации в АСУ ТП относится к одному из трех типов: если автор из отрасли защиты информации, текст посвящен разъяснению требований или тому, какие из требований выполняет его продукт (если автор еще и вендор), а если автор из отрасли АСУ ТП, то текст содержит рассказ о своем опыте выполнения этих требований. Казалось бы, и это тоже совершенно естественно. Но если провести параллели, ситуация начинает выглядеть пугающе.

ris1-Jul-08-2024-12-08-27-6903-PM

Представим себе, что речь идет вообще не о защите информации, а о... ну пусть о хирургии глаза. Естественно, что к оборудованию для операций на глазах предъявляются, я уверена, очень серьезные требования, чтобы не получалось так, как в известных фильмах в жанре "триллер". И вот представим себе, что индустрия медицинского оборудования рассуждает так же, как мы сейчас слышим и читаем в своей профессиональной области: "Что у нас подходит под эти требования? Есть ряд продуктов, отлично, этот и этот немножко доработаем, опишем, какие требования выполняются, и это будет для хирургии глаза". Естественно, они такие же ответственные и добросовестные инженеры, как наши, и все на самом деле соответствует требованиям, а не только декларируется. Для каждого продукта создается описание, какие именно требования он закрывает.

Теперь каждая клиника может сама совершенно свободно выбрать тот набор решений, из которого соберет уникальное оборудование для хирургических операций на глазах, соответствующее именно тем медицинским задачам, которые стоят именно перед этой клиникой.

В конце концов, в клинике работают профессионалы, а если они не совсем ясно понимают требования, так требования регулярно и подробно разъясняются. Сообщество вендоров расскажет о каждом продукте, а специалисты по нормативной методической базе и в целом по медицинскому оборудованию разберут опыт клиники и оценят, насколько хорошо у них получилось.

Картина в духе если не Ионеско, то как минимум Стругацких. Во всяком случае, идти на операцию становится страшновато.

И ведь, если серьезно, описанный окулоапокалипсис мало отличается от того, что происходит в области защиты информации в АСУ ТП.

Мы с вами, специалисты по защите информации, честно анализируем требования, честно описываем соответствие этим требованиям своих продуктов, честно пишем рекомендации. Мы крайне внимательно слушаем специалистов "с земли" – о том, каковы особенности построения их систем, что у них с обновлениями (и выносим вердикт "так точно ни в коем случае нельзя"), что-то учитываем и адаптируем свои продукты к новым задачам. В результате у нас есть масса предложений, из которых любой желающий может создать систему защиты информации. А чтобы они четко понимали, что нужно брать именно наши продукты, мы им систематически готовим актуализированные обзоры требований, особенно подчеркивая негативные последствия, которые наступят, если их не выполнять.

Кажется, это все уже совершенно не естественно, правда? Думается, что нам следует делать не решения, подходящие для АСУ ТП, не те, что можно использовать в АСУ ТП, а те, которые решают задачи целиком, без применения инженерной смекалки на местах.

Задачи защиты информации в АСУ ТП в принципе не могут радикально отличаться от задач защиты информации в компьютерной системе вообще.

Защищенная компьютерная система – это система, в которой защищены компьютеры, данные и каналы связи.

Компьютеры защищаются комплексом мер, основные из которых – обеспечение доверенной загрузки с помощью сертифицированных средств доверенной загрузки (СДЗ). Здесь допускается сертификация ФСТЭК России и ФСБ России.

Данные защищаются контролем доступа к ним. Для этого используются средства защиты информации (СЗИ), или, другими словами, средства разграничения доступа (СРД). Иногда данные также защищаются криптографически, и тогда дополнительно применяются требования по организации доверенной среды в соответствии с требованиями ФСБ России.

Каналы связи защищаются средствами криптографической защиты информации (СКЗИ). Для функционирования СКЗИ необходимо обеспечить доверенную среду функционирования криптографии (СФК), что также обеспечивается применением сертифицированных средств доверенной загрузки, но в этом случае в обязательном порядке требуется сертификация ФСБ России.

Типовая АСУ ТП для сложных современных производств обычно имеет трехуровневую структуру:

  • операторский уровень – уровень диспетчерского наблюдения с возможностью вмешательства в особых случаях;
  • уровень автоматического управления оборудованием (SCADA);
  • уровень датчиков и контроллеров – канал от контроллера к исполнительным механизмам (например, насосу).

Взаимодействие уровней обеспечивается посредством каналов связи.

На всех уровнях необходимо обеспечить доверенную среду и защищенность каналов связи с учетом адекватной модели нарушителя – как внутреннего, так и внешнего.

Наиболее подвержены атакам компьютеры верхнего уровня и каналы связи первого и второго уровней. Необходимо также обеспечить надежную защиту канала от SCADA к контроллерам, особенно если канал находится хотя бы частично вне контролируемой зоны.

Что же нужно делать? Думается, что нам с вами хорошо понятно, что нужно разрабатывать способы унифицированной интеграции СЗИ и СКЗИ (класса не ниже КС2 при рекомендуемом КС3) в оборудование АСУ ТП и предлагать для внедрения готовые решения, которые:

  1. Обеспечат доверенную загрузку и разграничение доступа к данным для операторских компьютеров.
  2. Обеспечат криптографическую защиту каналов связи от операторских компьютеров до аппаратуры SCADA.

Вот, собственно, и все.

Темы:ОКБ САПРАСУ ТПЖурнал "Информационная безопасность" №2, 2024

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?
  • Комплексная защита КИИ на производственном объекте
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию
  • Dr.Web Industrial: защита серверов и рабочих станций в промышленных системах управления
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    Dr.Web Industrial обнаруживает подозрительную активность на серверах и рабочих станциях внутри промышленного сегмента сети, не приводя к остановке непрерывного технологического процесса

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...