Безопасность от кибератак и аварий в АСУ ТП

Безопасность АСУ ТП подразделяется на функциональную и информационную безопасность. Чем они отличаются - функциональная безопасность (ФБ) обеспечивает безотказную работу систем управления, а если что-то пошло не так, то ФБ должна перевести ее в безопасное состояние. Информационная безопасность отвечает за защиту от умышленного проникновения в информационную среду управления, защиту от угроз и кибератак хакеров,  за целостность и резервирование данных. Это актуально в нынешнее непростое время, в век информационных войн, когда атака на опасный производственный объект ОПО или критически важный объект (КВО) может привести к непоправимым последствиям.

Что такое функциональная безопасность АСУ ТП, какие бывают отказы?

Функциональной безопасностью называют безопасность, которая связана с непреднамеренно вызванными отказами в выполнении отдельных функций системы. Причинами отказов могут быть дефекты программ, данных, аппаратуры, влияние внешней среды и непреднамеренно неправильные действия обслуживающего персонала.

Функциональная безопасность для ряда производств отказ системы управления может привести к останову технологического процесса и потере продукции, но при этом отказ не представляет опасности для оборудования и персонала. Понятие функциональной безопасности возникает в том случае, когда искусственно созданные или естественные нарушения технологического процесса способны привести к авариям, разрушению технологического оборудования, человеческим жертвам. Функциональная безопасность определяется как часть общих мер безопасности, которая находится в зависимости от правильности работы системы безопасности в ответ на изменения на процессе. Требование функциональности определяется, как способность системы безопасности переводить процесс в безопасное состояние при наличии отклонений.

Опасный отказ (Dangerous failure) - отказ, который имеет потенциал привести АСУ ТП к опасному состоянию, или к неспособности осуществлять функции защиты. Система безопасности может формально находиться в работе, но в момент наступления опасного события на процессе не способна отреагировать на него.

Безопасный отказ (Safe failure) - отказ, который не имеет потенциала привести АСУ ТП к опасному состоянию, или неспособности осуществлять функции безопасности. Система безопасности может совершить ложный немотивированный аварийный останов процесса, в то время как в действительности ничего опасного на процессе не произошло.

Стандарты, относящиеся к функциональной безопасности

- IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems (МЭК 61508 функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью), состоящий из 7 частей, переведен и внедрен в РФ в виде ГОСТа;

— IEC 61511, Functional safety – Safety instrumented systems for the process industry sector;

— IEC 62061, Safety of machinery – Functional safety of electrical, electronic and programmable electronic control systems;

— IEC 61513, Nuclear power plants – Instrumentation and control for systems important to safety;

— ISO 26262, Road vehicles – Functional safety;

— EN 50129, Railway Industry Specific – System Safety in Electronic Systems;

— IEC 62304, Medical Device Software.

В России существуют не менее 30 документов, затрагивающих тему информационной защиты АСУ ТП:

 - Базовая модель угроз безопасности информации в КСИИ;

 - Методика определения актуальных угроз безопасности информации в КСИИ;

 - Общие требования по обеспечению безопасности информации в КСИИ;

 - Рекомендации по обеспечению безопасности информации в КСИИ;

 - ФЗ №256-ФЗ «О безопасности объектов ТЭК», обязывающий использовать системы защиты информации и ИТ сетей от неправомерного доступа, уничтожения, модифицирования, блокирования и иных неправомерных действий;

 - Приказ ФСТЭК России №31, содержащий требования к обеспечению защиты информации АСУ ТП на критически важных, потенциально опасных и представляющих собой повышенную опасность объектах.

В Приказе ФСТЭК №31 вся работа по обеспечению защиты информации АСУ ТП делится на пять больших этапов:

формирование требований (в том числе определение уровня значимости системы, необходимого класса защищенности, возможных угроз Си требований к системе защиты);

разработка системы защиты на основе сформулированных требований;

ее внедрение;

обеспечение защиты в процессе эксплуатации системы;

обеспечение защиты при выводе системы из эксплуатации.

Политика обеспечения информационной безопасности АСУ ТП

Выделяют несколько систем защиты ИБ в промышленности, особенно первые три класса, так как позволяют наиболее эффективно сохранять доступность АСУ:

система сетевой защиты. Иногда ее делят на две подсистемы – межсетевого экранирования и обнаружения вторжений. В таких случаях подразумевается, что в АСУ ТП будет внедрено дополнительное оборудование – межсетевые экраны и система обнаружения вторжений;

система многофакторной аутентификации;

система обеспечения целостности;

система быстрого восстановления конфигураций и данных;

система предотвращения утечек конфиденциальной информации;

система управления патчами;

система управления мобильными устройствами;

система управления неструктурированными данными;

система анализа защищенности;

система криптографической защиты.

Одним из распространенных подходов к построению ИБ-системы АСУ ТП является эшелонированная защита, которая включает в себя следующие уровни:

физической безопасности (ограничение физического доступа к панелям управления, диспетчерским и другим помещениям, устройствам, кабелям);

сетевой безопасности – в него входят сетевая инфраструктура (например, межсетевые экраны со встроенными сенсорами систем предотвращения вторжения) и средства защиты, интегрированные в сетевое оборудование (коммутаторы и маршрутизаторы);

безопасности рабочих станций и серверов (управление обновлениями ПО, применение антивирусного ПО, удаление неиспользуемых приложений, протоколов и сервисов);

безопасности приложений (аутентификация, авторизация и аудит при доступе к приложениям);

безопасности устройств (контроль над изменениями и ограничение доступа).

Правила информационной защиты АСУ ТП

Эти правила и требования особенно актуально для защиты особо опасных производственных объектов ОПО и обеспечения безопасности критически важных объектов КВО химической и атомной промышленности.

Правило 1: Установка файрвола

Для изоляции систем между 2 и 3 уровнями ставят один файрвол с зашифрованным трафиком, запретить на нем прямой доступ из интернета с применением IP адреса, на который нельзя зайти извне. Маршрутизаторы должны быть настроены (вернее их порты) таким образом, чтобы не было доступа от неавторизованных устройств. Неиспользуемые порты должны постоянно мониториться на предмет того, что они все-еще заблокированы, а сетевые правила постоянно мониториться.

Правило 2: Защита рабочих станций

Для защиты рабочих станций АСУ ТП от заражения вредоносными вирусами и нежелательных действий ПО применяют политику разграничения прав, используя спецшаблон от службы CIS (Center for Internet Security), ограничивают возможности до более низкого уровня, отключают порты и уменьшают права на выполнение опасных действий. Доступ к файловой и операционной системе должен быть индивидуален для каждого пользователя. Неправильно, когда по умолчанию все users пользуются админскими правами на рабочей станции, и это происходит очень часто. DVD-приводы должны быть заблокированы из BIOS, особенно USB-порты, через которые в основном и происходят кражи информации и заражения вирусами.

Правило 3: Учетные записи

Пароли к учетным записям должны содержать символы в верхнем и нижнем регистре, цифры и специальные символы, а общая длина пароля не менее 8-12 символов. Как правило, вирус, проникая в одно ПО, может с его помощью получает доступ ко всей системе. Пароли часто нужно менять на новые, при этом три последних пароля не должны совпадать. Учетные записи должны быть на BIOS, ОС и на спец ПО, например, на SCADA систему.

Правило 4: Резервирование и восстановление

Нужен план по ежегодному резервированию (или еще чаще), согласно которому в остановочные ремонты производится резервное копирование всей системы. Восстановление системы выполнять не толко когда обнаруживаются какие-либо нарушения, но и в качестве профилактики, отката до начальной точки создания АСУ ТП.

Правило 5: Мониторинг ИБ и оценка рисков

Периодически нужно проверять логи рабочих, инженерных станций, маршрутизаторов и тп на наличие атак на АСУ ТП. С помощью спец ПО и антивирусов можно анализировать всплески сетевой активности, наличия каких либо аномалий в оперативной памяти или наличие неопознанных процессов в памяти.