ТЕМА С ОБЛОЖКИ: Информационная безопасность систем управления

Страховые компании, юристы, правительства и частные лица во всем мире испытывают все большую озабоченность возможностью и последствиями компьютерной атаки на производство и важные элементы инфраструктуры экономики. В таких важных отраслях экономики, как энергетика, водоснабжение, добыча нефти и газа вызывает беспокойство уязвимость основных систем управления процессами: распределенных систем управления (DCS), ПЛК, SCADA-систем, HMI и сетей систем управления.

Нужно признать, что для этого есть причины – если потенциально уязвимые места традиционных ИТ систем хорошо известны и понятны, то остаются непонятыми причины и пути устранения широко распространенных недостатков в обеспечении безопасности систем управления. В результате многие сталкиваются с неопределенными опасениями, считая, что удар будет нанесен обязательно и это только вопрос времени.

На сегодняшний день в промышленности сделано еще очень мало, чтобы снять эти опасения. Одни специалисты считают, что, если проблема вызывает столько шума, она не может быть действительно серьезной, и игнорируют ее. Другие просто опускают руки и ждут, когда что-то произойдет и насколько это будет серьезно.

Тем не менее есть специалисты, для которых задачи ясны. Они считают, что безопасность – это еще один аспект обеспечения надежности и работоспособности системы управления процессом производства. Для того чтобы пользователи системы могли в случае необходимости осуществить более взвешенный подход к ее безопасности, защите и восстановлению, требуется гарантия целостности и доступности всех средств системы управления.

Вопросы культуры

Традиционно корпоративная ИТ-организация располагает знаниями и ресурсами для обеспечения информационной безопасности. Однако специалисты по ИТ часто не разбираются в системах управления. И пока оперативный персонал отвечает за работу и обслуживание (O&M) систем управления, их понимание информационной безопасности и расходы на нее будут меньше, чем на ИТ. Более того, пробелы в технологии и культуре увеличивают этот разрыв. Зачастую специалисты по ИТ:

• недооценивают необходимость обеспечения работоспособности систем управления 24 часа 7 дней в неделю;
• не понимают возможных недостатков применения информационных технологий и стратегий в системах управления;
• считают, что доступность важнее безопасности.

Современные тенденции

Многие предприятия, столкнувшиеся с проблемами нарушения безопасности систем управления, не хотят делиться этой информацией или даже просто признавать, что такие случаи имели место. Тем не менее информация о проблемах безопасности систем управления собирается во всех отраслях производства по всему миру. Если рассматривать растущее число сообщений о таких проблемах с практической точки зрения, учитывая только реальные факты, то можно выделить такие направления, как типы атак, снижение эксплуатационных характеристик и финансовые потери, а также ответные действия со стороны производства.

Компьютерные инциденты, связанные с системами управления, имели место в энергоснабжении (передача, распределение и производство электроэнергии на гидро-, тепловых и атомных электростанциях), в системах водоснабжения, нефте- и газоперерабатывающих предприятиях, химической и других отраслях промышленности. Как отмечено ФБР, недавние события, связанные с нарушением компьютерной безопасности систем управления, включают рост «зондирования» и анализ систем управления важных элементов инфраструктуры. Было также замечено, что увеличилось число «разговоров» об уязвимости систем управления на электронных досках объявлений хакеров, известных как доски объявлений black hat или доски уязвимости.

Ни одна независимая организация еще не проводила точного учета кибератак на системы управления. Можно найти ряд «независимых» баз данных по этой проблеме, но статистические выводы, которые можно сделать на основе этой ограниченной информации, в лучшем случае, сомнительны. Однако специалисты этой отрасли видят одинаковые тенденции роста уязвимости как традиционных ИТ систем, так и систем управления (см. график «Данные доклада CERT (Computer Emergency Response Team) о инцидентах, связанных с информационной безопасностью»).

Все возможные типы компьютерных преступлений, направленных против конкретной компании, делятся на три большие категории:

1) преднамеренные удары, такие как хакерство (неавторизованный вход в секретные электронные файлы), отказ от обслуживания поступившего запроса (DoS-атака, задуманная с целью сломать сеть посредством заполнения бесполезным трафиком), получение доступа путем обмана (указав при рассылке сообщений в поле «from» электронной почты поддельный адрес);

2) непреднамеренные последствия или побочный вред, причиняемый червями и вирусами;

3) неумышленные дыры в системе внутренней безопасности, такие как несоответствующая процедура проверки операционных систем или неадекватная архитектура систем управления.

Данные доклада CERT об инцидентах, связанных с информационной безопасностью

Camegie Mellon University, 2004

^{За последние несколько лет значительно возросло количество кибератак/вторжений, как преднамеренных, так и непреднамеренных. Так, за период с 1998 по 2003 годы произошло более 310 000 случаев, в то время как за 1993-1997 гг. их было чуть больше 10 000.}

Из трех перечисленных категорий реже всего встречаются направленные атаки. Они потенциально наиболее разрушительны, но они требуют хороших знаний как самой организации, так и инфраструктуры ее поддержки. Отсюда следует, что наиболее вероятными компьютерными правонарушителями в этом случае являются недовольные сотрудники, уволенные работники или те, кто некоторое время работал с тем логическим объектом, который позднее подвергся атаке.

Чаще всего причинами вероятных нарушений компьютерной безопасности являются непреднамеренные внутренние события, вызванные несоответствующим или неадекватным тестированием или процедурами. Испытание сетей системы управления на проникновение, осуществляемое персоналом, не знакомым с этой системой, ведет к неприятностям.

Самые обычные события – это интернет-вирусы и черви, которые не имеют целью причинение вреда какому-то конкретному пользователю, но изначально поражают Microsoft Windows или другую основную инфраструктуру ИТ. Поскольку человеко-машинные интерфейсы систем управления развиваются в направлении коммерчески доступных операционных систем, то растет число DoS-атак. Такие происшествия, связанные с системами управления, чаще всего трудно предсказать, они в большей степени основаны на платформе системы управления и сроке службы устройства. Наиболее типичный результат – это непредсказуемое поведения системы, включая снижение скорости работы, потерю отклика и отключение системы.

План действий

Подрыв доверия к системам производства и управления – это угроза безопасности населению или служащим, потеря доверия общественности, нарушение законных требований, утеря фирменной или конфиденциальной информации, экономические потери и угроза национальной безопасности. Прямые финансовые потери происходят из:

• ухудшения работы системы управления (например, потери производительности и ограничения возможностей, а также проблемы соответствия техническим условиям и т.д.);
• увеличения персонала, задействованного в восстановлении системы;
• жалоб клиентов/судебных тяжб, повышения страховых премий, потери репутации и т.д.

Как показывает график, количество вирусов, червей и других компьютерных атак на традиционные ИТ системы постоянно возрастает. Однако поскольку лишь малая часть этих событий становится известной, то трудно сформировать детальный план действий, позволяющий руководителю работ сделать экономически обоснованный выбор между информационной уязвимостью и традиционными проблемами эксплуатации и сопровождения (O&M).

Кроме того, многие специалисты в области энергетики однозначно связывали значительные экономические потери только с большими потерями электроэнергии. KEMA провела исследования, на основе которых были подготовлены архивы событий в компаниях, системы управления которых подверглись компьютерным атакам (преднамеренным, непреднамеренным и атакам вирусов или червей). Результаты исследования показывают, что значительные экономические потери имели место и в тех случаях, когда не было потерь энергии или продукции. Эти результаты, являясь предварительными, могут быть использованы для создания детального плана действий с целью снижения риска компьютерных преступлений, включая оценку уязвимости, разработку политики информационной безопасности систем управления и реализацию релевантных ИТ технологий (таких, как соответствующим образом сконфигурированные брандмауэры).

Ответные действия производства

Защита систем управления действительно вызывает озабоченность. Но все ли обстоит настолько плохо? Не обязательно. Даже для тех, кто рассматривает системы управления как ключевой элемент.

ISA и другие органы стандартизации активно занимаются разработкой всеобъемлющих стандартов для защиты систем управления. Комитет ISA-SP99, состоящий из представителей различных отраслей промышленности, компетентных в области систем управления, работает над стандартами, практическими рекомендациями, техническими докладами и другой информацией. Цель разработки – определить процедуры установки производственных систем и систем управления с электронной защитой, практические мероприятия для систем безопасности, а также оценить эффективность электронных средств защиты. Руководство предназначен всем, кто занимается разработкой, внедрением и организацией работы производственных систем и систем управления. Оно адресовано пользователям, системным интеграторам, специалистам по безопасности, производителям и поставщикам систем управления.

Пользователи, конечно, должны адаптировать рекомендации к конкретным системам и местоположению. Тем не менее, многие производители, которые предприняли определенные шаги для установки программ защиты (даже таких элементарных, как брандмауэры на уровне управления), сообщают о крупных успехах.

Рекомендации

Как добиться успеха?

1. Советуем начать с полного анализа возможных рисков, который включает все значительные области риска для оборудования. Намного проще позднее сузить область действия программы защиты, чем пропустить с самого начала что-то очень важное. Качественный анализ рисков поможет избавиться от страха и позволит ограничить вопросы безопасности определенным кругом проблем, которые поддаются решению.

2. Держите в поле зрения вопросы денег. Финансовый анализ рисков поможет компаниям экономически оправдать затраты на меры безопасности и определить допустимый уровень риска.

3. Организациям также необходимо правильно определить основные принципы и порядок работы, а также тщательно подобрать технологии. По своей сути, безопасность – это процесс, а не проблема технологии, поэтому многих инцидентов можно избежать, если укрепить дисциплину и усовершенствовать практику управления производственным процессом. Ключ к снижению риска – установление эффективного режима работы, соответствующего требованиям. Это относится к использованию технологий и режимов работы оборудования.

Миф: все инциденты с информационной безопасностью исходят от нарушителей «со стороны»

Computer Security Institute, 2004

^{Статистика показывает, что нарушителями безопасности являются как служащие, так и нарушители «со стороны».}

4. Больше читайте. Органы стандартизации и промышленные группы постоянно работают над тем, чтобы повысить безопасность систем управления. Такие организации, как ISA (Общество приборов, систем и автоматизации), NIST (Национальный институт стандартов и технологии), группа CIDX (Обмен данными в химической промышленности), IEC (Международная электротехническая комиссия), CIGRE (Международный совет по большим энергосистемам), NERC (Национальный совет по изучению окружающей среды) и другие организации публикуют документы по информационной безопасности систем управления.

Комитет ISA SP-99, сформированный в 2002 г., опубликовал два технических доклада, которые можно получить через ISA. Первый доклад ISA TR99.00.01 содержит информацию о технологиях безопасности и методах их применения в системах управления. Второй доклад ISA TR99.00.02 представляет собой руководство в помощь пользователям по созданию эффективной программы безопасности, включая принципы, порядок работы и технологии. Комитет ISA SP-99 начал работу по созданию общего промышленного стандарта безопасности производства и систем управления. Усилия ISA направлены в первую очередь на технологии защиты систем управления и обеспечение методов установки, поддержки и оценки программы безопасности, учитывающей все грани риска для оборудования систем управления. Поскольку работа ISA SP-99 не ограничена какой-либо конкретной отраслью промышленности, в настоящее время ее членами являются свыше 250 представителей более 220 компаний, т.е. почти всех крупных отраслей, связанных с производством и управлением технологическими процессами.

Многие группы ведут важную и полезную работу в этой области. Форум по техническим требованиям к безопасности управления производственным процессом (PCSRF), Национального института стандартов и технологии работает над определением точных, основанных на общих критериях технических требований к уже существующим и будущим системам управления. ISA и PCSRF сотрудничают в вопросах безопасности. Группа «Обмен данными в химической промышленности» (CIDX) продолжает работу в области информационной безопасности систем управления в химической промышленности и постоянно делится результатами своей работы с ISA SP-99 и всей отраслью производства систем управления в целом.

5. Работая над методами предотвращения информационных преступлений, необходимо также искать средства исправления, реконструкции и восстановления. Поскольку большая часть нарушений системы безопасности, действующих на процесс работы, остается некоторое время необнаруженной, недостаточно ограничиваться только предупреждением нарушений. В промышленности следует сосредоточиться на методах предотвращения потери управления производством/технологическим процессом и совершенствовать способы обнаружения проблемы, искать пути исправления и восстановления процесса производства с помощью технологической дисциплины, поддержки качества, управления рисками, безопасности процесса производства и продукции, планов непрерывной работы и планов на случай стихийных бедствий.

6. Если у вас нет времени, соответствующего персонала и практического опыта, обращайтесь за помощью к специалистам по интеграции систем и консультантам за пределами вашей организации.

Вызовы

Итак, рассмотрев все, что уже сделано на настоящий момент и что еще предстоит сделать для обеспечения безопасности систем управления, можно ли говорить, что наступает конец света? По меньшей мере, можно сказать, что сгустились тучи. Существует много потенциальных проблем, а в промышленности возникают все новые.

Однако дело обстоит не так уж плохо. Для того, чтобы значительно снизить риск появления таких проблем, промышленность может взять на вооружение хорошо продуманные ответные меры:

• необходимо сосредоточиться на выявлении проблем, которые могут повлиять на надежность средств управления;
• используйте сбалансированные решения на основе инженерного подхода для снижения вероятности инцидента;
• максимально ограничьте возможную область атаки;
• следует работать над быстрым исправлением и восстановлением поврежденных систем.

По мере того как в промышленности накапливаются знания об угрозах безопасности, инженерам следует работать над адаптацией программ, принципами, порядком и технологией использования последних достижений в области защиты систем управления.

Брайан Л. Сингер (Bryan L. Singer) – председатель ISA SP-99, главный консультант по вопросам экономики, руководитель службы безопасности в Rockwell Automation.

Джозеф Вайсс (Joseph Weiss) PE, CISM (Сertified Information Security Manager) – главный консультант компании KEMA, председатель специальной комиссии Общества энергетики IEEE по проверке информационной безопасности стандартов оборудования. В ISA он – член Комитета по безопасности систем управления – SP99, член специальной комиссии по информационной безопасности CIGRE.