Светлана Конявская, 08/07/24
Совершенно естественно, что области повышенного риска тщательно регулируются, хотя это тоже, в свою очередь, создает новые риски. Совершенно естественно, что АСУ ТП – как раз такая область. Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”
Большинство текстов статей и докладов про защиту информации в АСУ ТП относится к одному из трех типов: если автор из отрасли защиты информации, текст посвящен разъяснению требований или тому, какие из требований выполняет его продукт (если автор еще и вендор), а если автор из отрасли АСУ ТП, то текст содержит рассказ о своем опыте выполнения этих требований. Казалось бы, и это тоже совершенно естественно. Но если провести параллели, ситуация начинает выглядеть пугающе.
Представим себе, что речь идет вообще не о защите информации, а о... ну пусть о хирургии глаза. Естественно, что к оборудованию для операций на глазах предъявляются, я уверена, очень серьезные требования, чтобы не получалось так, как в известных фильмах в жанре "триллер". И вот представим себе, что индустрия медицинского оборудования рассуждает так же, как мы сейчас слышим и читаем в своей профессиональной области: "Что у нас подходит под эти требования? Есть ряд продуктов, отлично, этот и этот немножко доработаем, опишем, какие требования выполняются, и это будет для хирургии глаза". Естественно, они такие же ответственные и добросовестные инженеры, как наши, и все на самом деле соответствует требованиям, а не только декларируется. Для каждого продукта создается описание, какие именно требования он закрывает.
Теперь каждая клиника может сама совершенно свободно выбрать тот набор решений, из которого соберет уникальное оборудование для хирургических операций на глазах, соответствующее именно тем медицинским задачам, которые стоят именно перед этой клиникой.
В конце концов, в клинике работают профессионалы, а если они не совсем ясно понимают требования, так требования регулярно и подробно разъясняются. Сообщество вендоров расскажет о каждом продукте, а специалисты по нормативной методической базе и в целом по медицинскому оборудованию разберут опыт клиники и оценят, насколько хорошо у них получилось.
Картина в духе если не Ионеско, то как минимум Стругацких. Во всяком случае, идти на операцию становится страшновато.
И ведь, если серьезно, описанный окулоапокалипсис мало отличается от того, что происходит в области защиты информации в АСУ ТП.
Мы с вами, специалисты по защите информации, честно анализируем требования, честно описываем соответствие этим требованиям своих продуктов, честно пишем рекомендации. Мы крайне внимательно слушаем специалистов "с земли" – о том, каковы особенности построения их систем, что у них с обновлениями (и выносим вердикт "так точно ни в коем случае нельзя"), что-то учитываем и адаптируем свои продукты к новым задачам. В результате у нас есть масса предложений, из которых любой желающий может создать систему защиты информации. А чтобы они четко понимали, что нужно брать именно наши продукты, мы им систематически готовим актуализированные обзоры требований, особенно подчеркивая негативные последствия, которые наступят, если их не выполнять.
Кажется, это все уже совершенно не естественно, правда? Думается, что нам следует делать не решения, подходящие для АСУ ТП, не те, что можно использовать в АСУ ТП, а те, которые решают задачи целиком, без применения инженерной смекалки на местах.
Задачи защиты информации в АСУ ТП в принципе не могут радикально отличаться от задач защиты информации в компьютерной системе вообще.
Защищенная компьютерная система – это система, в которой защищены компьютеры, данные и каналы связи.
Компьютеры защищаются комплексом мер, основные из которых – обеспечение доверенной загрузки с помощью сертифицированных средств доверенной загрузки (СДЗ). Здесь допускается сертификация ФСТЭК России и ФСБ России.
Данные защищаются контролем доступа к ним. Для этого используются средства защиты информации (СЗИ), или, другими словами, средства разграничения доступа (СРД). Иногда данные также защищаются криптографически, и тогда дополнительно применяются требования по организации доверенной среды в соответствии с требованиями ФСБ России.
Каналы связи защищаются средствами криптографической защиты информации (СКЗИ). Для функционирования СКЗИ необходимо обеспечить доверенную среду функционирования криптографии (СФК), что также обеспечивается применением сертифицированных средств доверенной загрузки, но в этом случае в обязательном порядке требуется сертификация ФСБ России.
Типовая АСУ ТП для сложных современных производств обычно имеет трехуровневую структуру:
- операторский уровень – уровень диспетчерского наблюдения с возможностью вмешательства в особых случаях;
- уровень автоматического управления оборудованием (SCADA);
- уровень датчиков и контроллеров – канал от контроллера к исполнительным механизмам (например, насосу).
Взаимодействие уровней обеспечивается посредством каналов связи.
На всех уровнях необходимо обеспечить доверенную среду и защищенность каналов связи с учетом адекватной модели нарушителя – как внутреннего, так и внешнего.
Наиболее подвержены атакам компьютеры верхнего уровня и каналы связи первого и второго уровней. Необходимо также обеспечить надежную защиту канала от SCADA к контроллерам, особенно если канал находится хотя бы частично вне контролируемой зоны.
Что же нужно делать? Думается, что нам с вами хорошо понятно, что нужно разрабатывать способы унифицированной интеграции СЗИ и СКЗИ (класса не ниже КС2 при рекомендуемом КС3) в оборудование АСУ ТП и предлагать для внедрения готовые решения, которые:
- Обеспечат доверенную загрузку и разграничение доступа к данным для операторских компьютеров.
- Обеспечат криптографическую защиту каналов связи от операторских компьютеров до аппаратуры SCADA.
Вот, собственно, и все.
