egengrinovich (egengrinovich) wrote,
egengrinovich
egengrinovich

Category:

Информационная безопасность критической инфраструктуры

Информационная безопасность критической инфраструктуры (ИБКИ) относительно новая тема, ставшая актуальной с развитием IP-сетей и началом повсеместного использования международных стандартов для задач управления технологическими объектами (энергетика, газ, нефтепереработка, транспорт, водоотведение, химическая промышленность и т.д.). Возникает сразу вопрос, значит, правы консервативно настроенные эксперты, что новые технологии – это зло, были старые аналоговые системы, выделенные каналы передачи данных, отдельные рабочие места для диспетчерского персонала и бумажные отчеты для руководства? С точки зрения ИБКИ, безусловно, устаревшие системы управления, использующие нестандартные протоколы передачи данных и не присоединенные к сетям общего пользования, в принципе безопасны, проблемы возможны только за счет некорректной настройки самих систем управления и ошибок персонала при их эксплуатации. С другой стороны, меняется первичное оборудование, требования рынков, решаемые технологические и аналитические задачи. Сохранить конкурентно способность могут только те компании, которые активно внедряют новые технологии, а в ряде случаев устаревшее аналоговое оборудование просто снимается с производства и его эксплуатация становится неоправданно дорогой. Есть еще одна точка зрения: «Ну, хорошо, прогресс не остановить, но сети передачи данных могут быть изолированы физически!». Да, возможная точка зрения, вопрос в том, что за все надо платить. Объем информации, используемый в технологических сегментах сети, за последние десять лет увеличился на несколько порядков, функционал вырос кратно, появились новые сервисы (уведомления руководства по электронной почте, вебсервера на контроллерах и прочее), диагностика и обслуживание оборудования квалифицированным персоналом по удаленному каналу, аналитические и финансовые системы, использующие данные технологических процессов, как исходную информацию, ситуационно-аналитические центры реагирования и т.д. Платой и весьма существенной, будет необходимость ручного переноса информации и ограничения по использованию автоматического функционала, уже установленного оборудования и систем. Как эксперт, могу предположить, что в принципе можно построить систему, используя принцип физического выделения технологических сегментов сетей и прописания набора организационно-технических регламентов, регулирующих ответственность и вопросы обмена данными между физически разделенными сегментами сетей. Только это потребует решения большого количества неявных задач, например:
• отдельные физические каналы передачи данных до каждого технологического объекта, отвечающие современным требованиям;
• отсутствие возможности оперативного контроля ситуации для руководства и внешних компаний (ситуационно-аналитические центры, сервисные компании, МЧС);
• система контроля ошибок и полноты данных при ручном переносе информации;
• система регистрации и контроля внешних носителей, предназначенных для переноса информации.
Конечно, здесь приведен далеко не полный перечень, но он уже вполне достаточен для того, чтобы серьезно задуматься о целесообразности такого решения проблем ИБКИ.
Фактически сегодня, мы находимся в ситуации, когда все крупные российские компании, имеющие инфраструктуру, которую можно отнести к критической, используют сети общего пользования (физические каналы) или собственные бизнес-сети для передачи технологических данных. Для персонала эксплуатирующего критическую инфраструктуру, ничего не изменилось. Сохранились старые регламенты, инструкции, система диспетчерского и технологического управления. Использование стандартов обеспечивает полную прозрачность сетевой инфраструктуры и до момента возникновения аварий и проблем в системах управления, вопросы ИБКИ вызывают негативную реакцию, что вполне оправдано. Регулирующие документы, либо отсутствуют, либо находятся в стадии разработки. Функционал систем влияющих на уровень ИБКИ требует введения определенных ограничений и регламентов. Обычно для любой компании работоспособность критическая инфраструктуры является важнейшим показателем и все, что даже косвенно, может повлиять на ее эксплуатацию, подвергается очень серьезному критическому анализу. Складывается ситуация, когда потенциальная угроза ИБКИ не воспринимается как нечто реальное и непосредственно угрожающее. Тут же следует вопрос: «Как же так? Все же очевидно!». Чаще всего те кто произносят фразы, типа «все очевидно» или «абсолютно понятно», к сожалению, не могут внятно сформулировать, что же в действительности угрожает ИБКИ и насколько опасны данные конкретные угрозы. Попробуем разобраться, в чем тут дело. Начнем с того, что сегодня специалисты по ИБ в основной своей массе имеют богатый практический опыт реализации проектов в государственной и финансовой сфере, а с проблемами и особенностями защиты критической инфраструктуры знакомы лишь в теории. В свою очередь, технологи, ответственные за эксплуатацию и развитие критической инфраструктуры весьма поверхностно представляют телекоммуникационную составляющую, эксплуатируемых ими систем. В результате, прямое взаимодействие специалистов заканчивается ничем, они просто не понимают друг друга, разная терминология, различные уровни и сферы ответственности. Чтобы преодолеть этот разрыв, сформулируем общие принципы, на которых могло бы строиться такое взаимодействие, используя термины понятные обеим фокусным группам специалистов:
1. Уровень доступа и действия всех технологов, ответственных за эксплуатацию критической инфраструктуры (КИ) строго регламентированы, также как и действия банковских служащих, работающих со счетами клиентов.
2. Объем информации передаваемый в системах управления КИ обычно незначителен, а вот гарантированная скорость передачи данных, критически важный параметр в таких системах.
3. Промышленные контроллеры, в том числе, устанавливаемые на объектах КИ имеют, встроенные WEB-сервисы, для предоставления возможности дистанционного мониторинга объекта.
4. Если объект КИ находится под управлением автоматической системы (без участия человека), то обычно высокая надежность достигается дублированием (троированием) автономных программно-аппаратных комплексов (ПАК). Технологические оперативно-информационные системы в стандартном режиме просто мониторят работу и самодиагностику таких ПАК, управляющие воздействия не предусмотрены. Безусловно предусмотрены процедуры изменения конфигурации ПАК, как локально, так и дистанционно.
5. Если система управления автоматизированная (с участием человека), то четко определены уровни оперативно-диспетчерского управления, которые имеют полномочия и техническую возможность управлять объектом КИ.
6. Предусмотрена четкая иерархия ретрансляции технологических данных по уровням оперативно-диспетчерского и технологического управления. В среднем, количество потребителей информации (пассивный просмотр данных, получение отчетов и BI-показателей) на порядок выше, количества технологов, вовлеченных в процесс непосредственного управления процессами.
7. Предусмотрен четкий порядок информирования причастных должностных лиц при различных событиях и происшествиях от временного пропадания канала передачи данных, до крупной аварии, повлекшей серьезные последствия. Большинство современных систем управления КИ, имеют встроенный SMTP сервер для рассылки соответствующих извещений по электронной почте.
8. В целом ряде случаев, в качестве основного или резервного канала ретрансляции информации между уровнями оперативно-диспетчерского управления используется IP-облако или арендованные каналы передачи данных.
9. Антивирусные базы и стандартное программное обеспечение в технологических сегментах сетей обычно не обновляется, что обосновывается совместимостью ранее установленного программного обеспечения конкретного производителя с существующей операционной средой. Более того, часто производитель системы управления выпускает патчи (дополнения) к своему ПО (например, в случае выявления уязвимости по ИБ), но оно не устанавливается, так как в случае его установки необходимо провести полные функциональные испытания системы управления и внести изменения в организационно-методические документы.
10. Приняв систему управления в эксплуатацию от подрядчика, технолог уверен, что теперь любые изменения в архитектуре системы, могут быть выполнены только по четко регламентированной процедуре заявок и отчетов о выполнении сервисно-эксплуатационных работ. Если в системе управления используются внешние IP-каналы передачи данных, то контроль изменения правил маршрутизации потоков данных на интеллектуальных телекоммуникационных устройствах у диспетчера отсутствует.
11. Растет количество бизнес-приложений, использующих данные систем управления КИ. Это значит, что обеспечивается полноценное взаимодействие технологического и бизнес сегментов корпоративных IP сетей.
Разложив, таким образом, системы оперативно-диспетчерского и технологического управления, можно говорить о конкретных угрозах ИБ, возникающих на каждом уровне при использовании той или иной телекоммуникационной архитектуры в системах управления КИ.
Основная задача, которая должна решаться системами ИБКИ – сохранение управляемости объектом КИ, при любых внешних атаках, изменениях телекоммуникационной инфраструктуры, ошибках сервисных компаний и ошибочных (предумышленных или нет) действиях внутреннего персонала компании.
Tags: АСУТП, Информационная безопасность, критическая инфраструктура
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 0 comments