Рынок, отрасль, люди - в интервью и репортажах Ua.Automation.com
Провоцирует ли отрасль автоматизации кибер-атаки? |
![]() Билл Лайдон, для Automation.com Кибер-атаки на системы автоматизации становятся все более активными – а промышленная отрасль расширяет фронт возможных атак, внедряя новые и новые Ethernet-сети, основанные на IP-технологиях.
Военные осознают, что угроза атаки существует всегда. Поэтому в тот момент, когда «плохие парни» не атакуют, основной задачей военных является спрятать или защитить как можно больше – с тем, чтобы сократить фронт возможной атаки. В ИТ-отрасли фронтом атаки системы является сумма различных точек (также, известных как «векторы атаки»), через которые неавторизованный пользователь – нападающий – может считать данные, ввести данные или, вообще, перехватить управление. То же самое справедливо и для систем автоматизации. Чем больше IP-устройств добавляется в систему – тем шире фронт потенциальных атак злоумышленников.
В отрасли, в целом, уже все признали, что риск кибер-атак на производственные среды вырос многократно, включая ненамеренные инциденты безопасности, промышленный шпионаж и даже атаки, организованные другими государствами. Эти риски ведут к незапланированным простоям, временной недоступности оборудования и перерывам в производственных процессах.
Общепризнано, что ИТ-отрасль ушла намного дальше, чем отрасль промышленной автоматизации, в области информационной безопасности. Отчасти это вызвано тем, что операционные системы и платформы, используемые в ИТ, намного чаще являются коммерческими, «коробочными» продуктами – например, Microsoft Linux, SQL – так что в этом случае инвестиции в безопасность делать намного проще и выгоднее. А вот промышленные контроллеры, основанные на разнообразных ОС и прикладном ПО, требуют совершенно разных механизмов защиты.
Когда Ethernet-протоколы, основанные на IP, внедряются поставщиками в контроллерах и датчиках, они используются в рамках нестандартных ОС, из-за чего также требуют нестандартных методов кибер-защиты.
Каждая дополнительная точка со стандартным Ethernet-соединением расширяет фронт потенциальной кибер-атаки. Основной стратегией уменьшения возможных вариантов атак является сокращение точек доступа, доступных для недоверенных пользователей.
Эшелонированная оборона
В основе эшелонированной обороны лежит идея защиты системы от любой атаки, используя несколько параллельных методов. Это «тактика слоев», разработанная Национальным агентством безопасности в качестве комплексного метода обеспечения информационной безопасности. Эшелонированная оборона, изначально, это военная стратегия, основанная на задержке, а не предотвращении продвижения атакующего. Уступая территорию, защищающийся выигрывает время. Внедрение различных способов защиты, процедур и политик позволяет повысить защищенность, поскольку различные слои защиты предотвращают шпионские и прямые атаки на критические системы.
С точки зрения защиты компьютерных сетей, эшелонированная оборона не только предотвращает прорывы защитного периметра, но и обеспечивает организации столь нужное время для обнаружения и реагирования на атаку, тем самым, уменьшая или предотвращая ее последствия.
Полагаясь на не-Ethernet сети промышленной автоматизации, мы предлагаем «слой» менее прозрачный для «плохих парней» – у них просто меньше программных инструментов для взлома таких сетей. Если единственный способ общения с контроллером автоматизации – через ПК, это значит, что у нас больше способов и инструментов для защиты системы.
Дилемма
Необходимость связывать контроллеры с бизнес-системами (для повышения эффективности и продуктивности), а также внедрение систем информационной безопасности (для защиты операционной деятельности), в принципе, противоречат друг другу. Идея прямых стандартных Ethernet-коммуникаций между системами автоматизации бизнес-процессов и устройствами АСУ ТП, включая контроллеры, датчики, приводы и исполнительные устройства, должна реализовываться с одновременным обеспечением защиты систем от кибер-атак. Встроенное обеспечение информационной безопасности для основанного на IP Ethernet, обслуживающего контроллеры автоматизации, SCADA, приводы, датчики и другие устройства, будет доступно лишь некоторое время спустя. И сейчас и потом необходимо все время помнить о том, что добавление стандартного Ethernet в наши системы АСУ ТП делает их намного более уязвимыми для атак.
|