АСУ ТП (автоматизированная система управления технологическим процессом) – группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. Компания Schneider Electric является ведущим проектировщиком и производителем промышленных решений в области автоматизации и управления оборудованием и имеет в данном направлении богатый опыт, основанный на многолетних разработках и реализованных проектах. Ведущим вебинара выступил технический консультант по кибербезопасности Schneider Electric Андрей Иванов. «Подход к обеспечению кибербезопасности АСУ ТП как объекта критической инфраструктуры» - так называлась его презентация.
Спикер рассказал, что структуру технических средств, входящих в состав АСУ ТП, условно можно разделить на три уровня: это полевые устройства, средства управления процессом и заводские системы. К полевым устройствам относятся различные датчики, определяющие физические характеристики процессов и преобразующие эту информацию в цифровую (датчики температуры, давления, расходомеры), клапаны, насосы, электродвигатели, приборы для распределение электроэнергии и так далее. На уровне процесса появляются технические средства, которые могут вести вычисления и обрабатывать информацию, например, ПЛК (программируемые логические контроллеры). На уровне завода находятся классические информационные системы, которые используют данные с нижних уровней для принятия решений на их основе, ведения отчетности и других задач.
Спикер подчеркнул, что технические средства АСУ ТП достаточно обширны, это целые линейки датчиков, исполнительных устройств, программируемых контроллеров, программных продуктов. Что касается кибербезопасности, то она проходит сквозной нитью через все три уровня.
Обращаясь к истории АСУ ТП, Андрей Иванов обратил внимание аудитории на то, что эта тема возникла еще в прошлом столетии. Когда компьютеры еще не были персональными, системы АСУ ТП строились с помощью релейной логики. Пока системы были небольшими, это было удобно и прогрессивно. По мере роста системы управления занимали все больше места, обслуживать их, выискивая неисправности в электрической схеме, становилось все труднее. Вносить изменения в логику такой системы можно было только «с отверткой в руках», проводя перекоммутацию.
Важным шагом на пути прогресса было появление интегральных микросхем и логических контроллеров, что упростило ситуацию. Первый ПЛК появился в 1968 году, его идеологом и главным конструктором был Ричард Морли (на слайде он крайний слева). ПЛК занимал в разы меньше места, чем релейное оборудование, и самое главное - для изменения логики работы было достаточно его перепрограммировать. Первый такой контроллер назывался Modicon - modular digital controller (сегодня контроллеры Modicon производит Schneider Electric). В ходе развития АСУ ТП в них стали появляться информационные технологии. Кстати, понятие ИТ, в его современном смысле, впервые было сформулировано в 1958 году.
В 1970-х годах появились персональные компьютеры, а вместе с этим - первые вирусы, первые хакеры и проблемы кражи информации, которая содержится в ПК и обрабатывается ИТ. С неизбежностью должно было появиться и понятие информационной безопасности. Оно впервые было описано в 1974 году в работе, которая называлась «Защита информации компьютерных систем». Там же прозвучала классическая триада «конфиденциальность – целостность – доступность», которая до сегодняшнего дня определяет требования к защите информации в ИТ.
Для дальнейшего хода беседы спикер предложил сузить широкое понятие информационной безопасности до рамок кибербезопасности. Термин кибербезопасности, кстати, не имеет единого определенного толкования. В целом, если информационная безопасность охватывает безопасность всей информации независимо от того, в каком виде она хранится, то кибербезопасность подразумевает безопасность цифровой информации в киберпространстве, обрабатываемой информационной технологией. Важным аспектом является кибербезопасность прикладного ПО, киберобъектов, которые содержат цифровую информацию, ИКТ и сетей.
Зачем же защищать системы АСУ ТП? В них нет, как правило, финансовой информации, они не обрабатывают денежные потоки. Взломав систему АСУ ТП, хакеры, на первый взгляд, не получают никакой материальной выгоды. К тому же, казалось бы, системы АСУ ТП изолированы от внешнего мира, недоступны снаружи и не могут быть атакованы. Но это не так! АСУ ТП соединены с системами АСУП, которые включены в корпоративную сеть, а та, в свою очередь, имеет доступ в Интернет. Возможность появления внутреннего нарушителя тоже нельзя игнорировать. Об этом говорят и отчеты компаний, занятых ИБ: например, «Ростелеком-Солар» указывает на тот факт, что 40 % атак приходится на серверы и рабочие станции управления технологическими процессами.
Конечно же, средства защиты АСУ ТП развиваются. Первый стандарт, посвященный кибербезопасности АСУ ТП, был разработан еще в 1990-х годах. Средств защиты много, и на сегодняшний день не существует универсального решения, приобретя которое и установив на АСУ ТП можно считать, что система абсолютно безопасна. Комплекс решений, обеспечивающих кибербезопасность, должен быть построен по многоуровневому принципу. Даже если злоумышленник сможет преодолеть один уровень, другой должен его остановить. Четыре основных группы решений касаются доступа, защиты, обнаружения угроз и реагирования на них.
Поскольку АСУ ТП состоит из технических и программных средств, кроме так называемых наложенных средств защиты (антивирусы, системы обнаружения вторжений и мониторинга сети) здесь должны использоваться встроенные средства защиты, которые присутствуют на борту оборудования, например, контроллеров. Производители АСУ ТП встраивают определенные меры безопасности в свои устройства. Для Schneider Electric, как для вендора АСУ ТП, процесс создания продукта начинается с безопасной разработки (SDL), цикл которой подразумевает использование безопасных проверенных компонентов, библиотек ПО и так далее. Следующие элементы комплексного подхода заключаются в безопасной разработке проекта, безопасном внедрении, безопасности при обслуживании.
Как выглядит на практике построение защищенных АСУ ТП? Важный элемент защиты - межсетевой экран, которым АСУ ТП оделена от корпоративной сети. Второй момент – сама сеть должна быть сегментирована, средства защиты выделены в отдельный сегмент. Schneider Electric выделяет три направления защиты. Первое - защита конечных узлов или тех узлов, которые используют для своей работы компьютеры. Следующий уровень – это защита сетей. И третий уровень – защита самих компонентов АСУ ТП, то есть в данном случае защита ПЛК, того самого встроенного функционала, который предоставляет вендор.
Таким образом, список основных базовых решений по кибербезопасности на системах АСУ ТП будет содержать разнообразные решения и средства по защите информации. Это антивирусы, системы обнаружения несанкционированного вторжения, системы резервного копирования и восстановления и так далее. На основе требований стандартов по кибербезопасности производители компонентов АСУ ТП выпускают собственные типовые требования, например, у Schneider Electric есть типовые требования для системы управления трубопроводами для транспортировки нефти или газа. Этот документ можно использовать не только для АСУ ТП управления трубопроводами: в нем приведены нюансы построения систем защиты, которые с учетом отраслевой специфики можно использовать и для других отраслей.
В целом, важно понимать: безопасность это не только установка средств защиты, а непрерывный процесс. Средства защиты нужно правильно установить, правильно сконфигурировать и правильно ими пользоваться. А инциденты безопасности неизбежно произойдут, к ним надо быть готовыми.
В России требования к защите АСУ ТП определены 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в действие 1 января 2018 года. Как связны КИИ и АСУТП? Напрямую: к объектам КИИ РФ относятся, в том числе, автоматизированные системы управления. В ряде отраслей, таких как здравоохранение, связь, атомная энергетика, оборонная и горнодобывающая промышленности, ТЭК и сферы финансового риска АСУ ТП должны быть обеспечены мерами защиты в обязательном порядке. Регулятором в области КИИ является ФСТЭК России.
После завершения презентации Андрей Иванов ответил на вопросы слушателей вебинара. Они касались самых разных моментов. В частности, беседуя с аудиторией, эксперт рассказал, что упомянутая им трехуровневая структура АСУ ТП типична практически для всех крупных российских предприятий. Крупный бизнес, традиционно, очень внимательно относится к кибербезопасности, средний бизнес за последний год как минимум всерьез задумался над ее реализацией. Конечно, внедрение всех мер защиты требует больших расходов, и иногда начальство компании бывает трудно убедить выделить средства на ИБ. К сожалению, в ряде случаев бюджеты на ИБ экономятся до тех пор, пока не случается реальный инцидент. Таким образом, самая типичная ошибка – отсутствие намерения выделить бюджет на средства киберзащиты и провести работы по из запуску, остальные проистекают из этой.
Пандемия отразилась на кибербезопасности самым прямым образом: компаниям пришлось вынужденно переводить сотрудников на удаленную работу, предоставлять им удаленный доступ. Что касается ситуации, когда необходимость в решениях для обеспечения кибербезопасности превысила бы комфортный уровень, эксперт уверен: если это и произойдет, то не в нашу эпоху, и выход из этой ситуации, скорее всего, будет в появлении принципиально новых решений - подобно тому, как как контроллеры заменили релейную логику.
На вопрос аналитика ICT-Online.ru Андрея Блинова о том, какие новые риски могут появиться с распространением в системах АСУ ТП мобильных устройств IoT и мобильных сетей передачи данных, а также о перспективах операторов сотовой связи на рынке АСУ ТП (услуги на базе LoRa, NBIOT, 4/5G), Андрей Иванов ответил: такие перспективы находятся за пределами его компетенции, он сталкивается с операторами сотовой связи в основном как с организаторами каналов передачи данных на площадках. Появление мобильных устройств в сетях АСУ ТП, по его словам – это отдельная большая и интересная тема, и у нее есть две стороны. С одной - такие устройства все больше развиваются, планшеты и смартфоны уже используются для выполнения процедур обслуживания и контроля оборудования. С другой – использование АСУ ТП на мобильных устройствах это дополнительный риск, и если разрешать его, то должна быть обеспечена полноценная защита как самих устройств, так и каналов передачи данных.
Аудиторию также интересовали моменты, связанные с конкретными кейсами и региональной статистикой. Организаторы мероприятия пообещали подготовить эту информацию и предоставить согласно запросам.