Контакты
Подписка 2025

Актуальная проблема защиты информации в АСУ ТП

Светлана Конявская, 08/07/24

Совершенно естественно, что области повышенного риска тщательно регулируются, хотя это тоже, в свою очередь, создает новые риски. Совершенно естественно, что АСУ ТП – как раз такая область. Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.

Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”

Большинство текстов статей и докладов про защиту информации в АСУ ТП относится к одному из трех типов: если автор из отрасли защиты информации, текст посвящен разъяснению требований или тому, какие из требований выполняет его продукт (если автор еще и вендор), а если автор из отрасли АСУ ТП, то текст содержит рассказ о своем опыте выполнения этих требований. Казалось бы, и это тоже совершенно естественно. Но если провести параллели, ситуация начинает выглядеть пугающе.

ris1-Jul-08-2024-12-08-27-6903-PM

Представим себе, что речь идет вообще не о защите информации, а о... ну пусть о хирургии глаза. Естественно, что к оборудованию для операций на глазах предъявляются, я уверена, очень серьезные требования, чтобы не получалось так, как в известных фильмах в жанре "триллер". И вот представим себе, что индустрия медицинского оборудования рассуждает так же, как мы сейчас слышим и читаем в своей профессиональной области: "Что у нас подходит под эти требования? Есть ряд продуктов, отлично, этот и этот немножко доработаем, опишем, какие требования выполняются, и это будет для хирургии глаза". Естественно, они такие же ответственные и добросовестные инженеры, как наши, и все на самом деле соответствует требованиям, а не только декларируется. Для каждого продукта создается описание, какие именно требования он закрывает.

Теперь каждая клиника может сама совершенно свободно выбрать тот набор решений, из которого соберет уникальное оборудование для хирургических операций на глазах, соответствующее именно тем медицинским задачам, которые стоят именно перед этой клиникой.

В конце концов, в клинике работают профессионалы, а если они не совсем ясно понимают требования, так требования регулярно и подробно разъясняются. Сообщество вендоров расскажет о каждом продукте, а специалисты по нормативной методической базе и в целом по медицинскому оборудованию разберут опыт клиники и оценят, насколько хорошо у них получилось.

Картина в духе если не Ионеско, то как минимум Стругацких. Во всяком случае, идти на операцию становится страшновато.

И ведь, если серьезно, описанный окулоапокалипсис мало отличается от того, что происходит в области защиты информации в АСУ ТП.

Мы с вами, специалисты по защите информации, честно анализируем требования, честно описываем соответствие этим требованиям своих продуктов, честно пишем рекомендации. Мы крайне внимательно слушаем специалистов "с земли" – о том, каковы особенности построения их систем, что у них с обновлениями (и выносим вердикт "так точно ни в коем случае нельзя"), что-то учитываем и адаптируем свои продукты к новым задачам. В результате у нас есть масса предложений, из которых любой желающий может создать систему защиты информации. А чтобы они четко понимали, что нужно брать именно наши продукты, мы им систематически готовим актуализированные обзоры требований, особенно подчеркивая негативные последствия, которые наступят, если их не выполнять.

Кажется, это все уже совершенно не естественно, правда? Думается, что нам следует делать не решения, подходящие для АСУ ТП, не те, что можно использовать в АСУ ТП, а те, которые решают задачи целиком, без применения инженерной смекалки на местах.

Задачи защиты информации в АСУ ТП в принципе не могут радикально отличаться от задач защиты информации в компьютерной системе вообще.

Защищенная компьютерная система – это система, в которой защищены компьютеры, данные и каналы связи.

Компьютеры защищаются комплексом мер, основные из которых – обеспечение доверенной загрузки с помощью сертифицированных средств доверенной загрузки (СДЗ). Здесь допускается сертификация ФСТЭК России и ФСБ России.

Данные защищаются контролем доступа к ним. Для этого используются средства защиты информации (СЗИ), или, другими словами, средства разграничения доступа (СРД). Иногда данные также защищаются криптографически, и тогда дополнительно применяются требования по организации доверенной среды в соответствии с требованиями ФСБ России.

Каналы связи защищаются средствами криптографической защиты информации (СКЗИ). Для функционирования СКЗИ необходимо обеспечить доверенную среду функционирования криптографии (СФК), что также обеспечивается применением сертифицированных средств доверенной загрузки, но в этом случае в обязательном порядке требуется сертификация ФСБ России.

Типовая АСУ ТП для сложных современных производств обычно имеет трехуровневую структуру:

  • операторский уровень – уровень диспетчерского наблюдения с возможностью вмешательства в особых случаях;
  • уровень автоматического управления оборудованием (SCADA);
  • уровень датчиков и контроллеров – канал от контроллера к исполнительным механизмам (например, насосу).

Взаимодействие уровней обеспечивается посредством каналов связи.

На всех уровнях необходимо обеспечить доверенную среду и защищенность каналов связи с учетом адекватной модели нарушителя – как внутреннего, так и внешнего.

Наиболее подвержены атакам компьютеры верхнего уровня и каналы связи первого и второго уровней. Необходимо также обеспечить надежную защиту канала от SCADA к контроллерам, особенно если канал находится хотя бы частично вне контролируемой зоны.

Что же нужно делать? Думается, что нам с вами хорошо понятно, что нужно разрабатывать способы унифицированной интеграции СЗИ и СКЗИ (класса не ниже КС2 при рекомендуемом КС3) в оборудование АСУ ТП и предлагать для внедрения готовые решения, которые:

  1. Обеспечат доверенную загрузку и разграничение доступа к данным для операторских компьютеров.
  2. Обеспечат криптографическую защиту каналов связи от операторских компьютеров до аппаратуры SCADA.

Вот, собственно, и все.

Темы:ОКБ САПРАСУ ТПЖурнал "Информационная безопасность" №2, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Управление ИТ-активами в АСУ ТП: базовые задачи промышленной кибербезопасности
    Инвентаризация ИТ-активов в промышленных сетях – это фундаментальная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые продвинутые средства защиты – межсетевые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно.
  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Две новые магистратуры МФТИ или зачем разработчики преподают
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Компании ОКБ САПР в апреле 2025 г. исполнилось 36 лет (это 6^2, красивая дата), и больше двадцати из них мы с удовольствием сотрудничаем с журналом “Информационная безопасность”. А еще в этом году исполняется 20 лет кафедре защиты информации ФРКТ МФТИ, базовой организацией которой мы являемся.
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...