Невзламываемая система безопасности SCADA: Защита углеводородных объектов и трубопроводных сетей

Расположенная в сердце России, богатое Самолторское углеводородное месторождение было открыто в 1960х. Это самое крупное нефтегазовое месторождение в стране. Оно лежит в Западной Сибири, где температура колеблется от -50°С зимой до 35°С летом.

В этом районе, дочерняя компания одного из десяти крупнейших частных нефтяных компаний в мире контролирует 8300 производственных и 2700 нагнетательных скважин, оснащенных самым современным оборудованием.

Материнская компания является гораздо более вертикально интегрированной, чем её американские коллеги, в том плане, что она контролирует разведку, строительство, производство, транспортировку, обработку и распространение вплоть до розничной торговли, включая 1500 АЗС.

Российские дочерние компании ведут мониторинг за потоком, давлением, температурой, вязкостью, составом, содержанием воды и других данных, а также системами SCADA, отвечающими за управление и контроль клапанов, насосов и компрессоров, с помощью радиосвязи. Этот метод страдает от низкой скорости соединения и недостатка защищённости. Любой с помощью антенны может наблюдать за радиосигналами.

Русские сталкиваются с теми же рисками, что и мы здесь. Трубопроводы должны наблюдаться и поддерживаться в порядке. Как и в Аляске, многие российские трубопроводы протянуты на огромных расстояниях. Всегда существует опасность злоупотреблений, вредоносных программ, недовольства либо вредительства – будь то доморощенные и иностранные террористы, конкурирующие регионы, страны или компании, с целью саботажа, шпионажа или вымогательства.

Из России с любовью

C августа 2011 года сети нефтяных месторождений используют радиомодемы стандарта WiMAX – беспроводной технологии доставки высокоскоростного Интернета на большие расстояния. В США это часть сети 4G, распространяемой сотовыми операторами для расширения сетевых возможностей в мобильных устройствах. WiMAX – это усовершенствованный Wi-Fi. Вместо 30 метров радиус действия – 50 километров. Однако поддерживающие Интернет телефоны могут быть перехвачены, заражены, клонированы, взломан и перенаправлены. Поэтому русские ищут технологии, защищающие от подслушивания и манипуляции со стороны конкурентов, иностранных либо отечественных, а также от вредоносного ПО. Риск заразиться есть даже при использовании брандмауэра.

Невзламываемая безопасность

В поиске простого и экономичного решения русские выбрали на рынках проверенное устройство “уровня завода” - FL mGuard from Phoenix Contact, разработанное Innominate Security Technologies. Эта система была специально разработана для жестких условий эксплуатации и включает в себя небольшие, экономичные, приспособленные к промышленности модули, которые включают маршрутизатор, межсетевой экран, шифрование, аутентификацию и другие функции, которые могут быть установлены без нарушения производства.

Соединение в FL mGuard происходит через туннели Виртуальной Частной Сети(VPN). Это позволяет использовать публичные сети вместо создания дорогих схем выделенных линий. Другие черты - Internet Security Protocol (IPsec), шифрование по высшему уровню AES-256, утверждённому правительством США и другими. Связь с устройствами управления допускается только в установленных местах с помощью программных невзламываемых ключей безопасности и аутентификацию с помощью сертификатов, подтверждающих полномочия конкретных лиц на конкретных рабочих местах. Любые попытки несанкционированного доступа пресекаются.

Решение MGuard является надежной промышленной технологией автоматизации. Она особенно подходит для удаленных объектов и была ранее успешно развернута для защиты стационарных и мобильных спутниковых каналов связи в пустыне и джунглях -районах, где никакой другой связи не было. Это решение, которое легко настраивается, отвечает строгим стандартам безопасности ИТ, работает на низком напряжении, и может вместить до десятилетий работы в суровых условиях. Номинальное среднее время наработки на отказ (MTBF) составляет 23,6 лет.

Установка происходит с помощью программируемых логических контроллеров (ПЛК), оснащенных простыми двухпарными устройствами удаленного терминала (RTU) RS485 Modbus, общими для автоматизации в промышленных условиях.

Используя подключение к Интернету с защищенным паролем входа в систему безопасности, устройство может быть создано в этой области и включено с помощью шаблона на веб-сайте производителя. Такая конфигурация на месте не требует опытный ИТ-персонал. Она может быть выполнена начинающим специалистом. По умолчанию устройство настроено в наиболее безопасной конфигурации. Кроме того, как в данном случае, программа mGuard Менеджер Безымянных Устройств (IDM) mGuard, установленная на сервере управления клиентами, используется для настройки и включает большие группы устройств mGuard через предварительно созданные шаблоны приложений.

Вывод

Простые индустриальные решения сетевой безопасности уже готовы и применяются для защиты месторождений и путей транспортировки в России. Это проверенные ”защищающие с корней” продукты безопасности, доступные для обеспечения защиты НПЗ, коммунальные услуг и критических трубопроводов с промышленными сетями. Устройства сетевой безопасности mGuard, описанные здесь, широко используются для защиты промышленного оборудования для автоматизации и процессов, протекающих на новых и старых операционных системах. Конечным пользователем имя и конкретные детали применения этой истории не разглашаются в целях безопасности, как и имена интеграции и управления персоналом, а также вышеупомянутая информация о хакерских ресурсах SCADA.