Решения, технологии, стандарты - статьи Ua.Automation.com
3 основные проблемы кибербезопасности АСУ ТП |
![]() Барак Перельман для Automation.com
Распространение киберугроз по всему миру заставляет промышленность взглянуть «долгим и тяжелым» взглядом на то, как она защищает свои АСУ ТП. Промышленные сети ставят уникальные задачи перед специалистами в области безопасности, поскольку они мало похожи на традиционные ИТ-сети.
Построенные зачастую за десятилетия до того, как возникли киберугрозы, эти сети не были созданы с учетом проблем кибербезопасности. В течение долгих лет они были изолированы, отсоединены от интернета и внешнего мира «воздушным зазором». Поэтому им просто не требовались меры безопасности, к которым мы так привыкли в ИТ-сетях. Однако эта ситуация сейчас быстро меняется из-за растущего распространения коммуникационных технологий (интернет вещей, «Промышленность 4.0») и возникновения внешних и внутренних киберугроз.
Защита сетей АСУ ТП – это вопрос прозрачности и безопасности, что требует решения трех основных проблем:
Давайте рассмотрим все эти вызовы.
Вы вообще в курсе, какое оборудование вам надо защищать?
Для того, чтобы защитить свои промышленные сети, сначала надо понять, какие технологии они используют и как работают. К сожалению, в большинстве промышленных сетей не существует автоматизированного процесса поддержания актуального реестра промышленных активов. В некоторых организациях существуют процедуры ручного поддержания реестров, но они не только ведут к «выгоранию» сотрудников, но и к массовому появлению ошибок и неточностей.
Без полного понимания того, какие критически важные активы существуют в сети, операторы не смогут надлежащим образом их защищать. Особенно актуально это для промышленных контроллеров (ПЛК, РСУ и т.д.). Как правило, они представляют из себя компьютеры на основе проприетарных технологий, поставляемые специализированными вендорами и отвечающие за полное управление технологическими циклами. Обеспечение их безопасности требует точного знания программного обеспечения этих устройств, используемых кода и логики, а также текущих настроек. Любые изменения в вышеперечисленных элементах могут нарушить операционную деятельность.
Автоматизированная система управления производственными активами обеспечивает информацию обо всех активах. Поскольку большинство сетей АСУ ТП были внедрены десятилетия назад, вполне естественно, что о некоторых активах за это время просто забывают. И такая система позволит легко найти забытые или чужеродные активы, обеспечивая все необходимое для мониторинга изменений.
Вы можете отслеживать доступ и изменения в критически важных активах?
Второй важнейшей проблемой в обеспечении безопасности промышленных сетей является обеспечение прозрачности действий, которая может повлиять на безопасность и надежность критически важных активов. Это сложно, так как в сетях АСУ ТП используются несколько различных коммуникационных протоколов. Стандартные протоколы, такие как Modbus и DNP3, используются в приложениях HMI/SCADA для обмена данными физических измерений и параметрами процессов (температура, давление и т.д.) с вводом/выводом.
В то же время, для выполнения действий на уровне управления (конфигурирование контроллеров, обновление их логики, изменение кода, обновление прошивки) используется другой набор протоколов. Это проприетарные, отличающиеся от вендора к вендору, реализации стандарта IEC-61131 для ПЛК. Поскольку каждый вендор использует свой собственный протокол, многие из которых не документированы, очень сложно отслеживать действия на уровне управления и изменения в логике. Это одна из основных причин, по которой решения для мониторинга ИТ-сетей не подходят для промышленной автоматизации.
Помимо доступа к сети, важно отслеживать любые изменения непосредственно в физических устройствах. Это очень обычно для сетей АСУ ТП, поскольку интеграторы и сторонние консультанты часто работают на производстве, и вносят изменения непосредственно на устройствах. Поскольку лога событий нет – нет возможности отследить происходящие изменения.
Это серьезное «белое пятно». Неавторизованные изменения на уровне управления, происходящие то ли из-за человеческих ошибок, то ли из-за недовольных инсайдеров или кибератак, могут вызывать операционные нарушения и проводить к физическому ущербу. Поскольку нет стандартной процедуры мониторинга этих действий на уровне управления, изменения часто остаются незамеченными до возникновения ущерба. Мониторинг и поддержание полноценного лога событий позволяет операторам прослеживать источник нарушений и устранять проблемы до их возникновения.
Можно ли предотвратить неавторизованные доступ и изменения?
Третья основная проблема с безопасностью сетей АСУ ТП – невозможность обеспечить управление изменениями и соблюдение политик безопасности. У инсайдеров есть неограниченный доступ к сетям АСУ ТП и критически важным промышленным активам. Без систем предотвращения или информирования о неавторизованном доступе, любой может получить доступ к активу и изменить его настройку –взломавший сеть злоумышленник, зловредное ПО, сотрудник, намеренно или ненамеренно вносящий изменения.
Для решения все этих проблем сетей АСУ ТП необходимы новые, специально созданные инструменты, которые обеспечат прозрачность и контроль для отслеживания, обнаружения и реагирования на угрозы по мере их возникновения.
|