Публикация пресс-релизов Поиск по компании
Решения, технологии, стандарты Рынок, отрасль, люди Основы
Отменить подписку Подписка
Производители Системные интеграторы Дистрибьюторы
Продукты месяца Поиск по категории Добавить продукт
Добавить мероприятие
Добавить вакансию Специалисты по АСУ ТП, КИП Специалисты по электротехнике, энергетике Главные инженеры, технологи, электрики Менеджеры по продажам, консультанты, другое
Технические требования Публикация статей Публикация пресс-релизов Media Kit 2014
 


 

Рынок, отрасль, люди - в интервью и репортажах Ua.Automation.com

Провоцирует ли отрасль автоматизации кибер-атаки?

Провоцирует ли отрасль автоматизации кибер-атаки?

Билл Лайдон, для Automation.com        

Кибер-атаки на системы автоматизации становятся все более активными – а промышленная отрасль расширяет фронт возможных атак, внедряя новые и новые Ethernet-сети, основанные на IP-технологиях.
 
Военные осознают, что угроза атаки существует всегда. Поэтому в тот момент, когда «плохие парни» не атакуют, основной задачей военных является спрятать или защитить как можно больше – с тем, чтобы сократить фронт возможной атаки. В ИТ-отрасли фронтом атаки системы является сумма различных точек (также, известных как «векторы атаки»), через которые неавторизованный пользователь – нападающий – может считать данные, ввести данные или, вообще, перехватить управление. То же самое справедливо и для систем автоматизации. Чем больше IP-устройств добавляется в систему – тем шире фронт потенциальных атак злоумышленников.
 
В отрасли, в целом, уже все признали, что риск кибер-атак на производственные среды вырос многократно, включая ненамеренные инциденты безопасности, промышленный шпионаж и даже атаки, организованные другими государствами. Эти риски ведут к незапланированным простоям, временной недоступности оборудования и перерывам в производственных процессах.
 
Общепризнано, что ИТ-отрасль ушла намного дальше, чем отрасль промышленной автоматизации, в области информационной безопасности. Отчасти это вызвано тем, что операционные системы и платформы, используемые в ИТ, намного чаще являются коммерческими, «коробочными» продуктами – например, Microsoft Linux, SQL – так что в этом случае инвестиции в безопасность делать намного проще и выгоднее. А вот промышленные контроллеры, основанные на разнообразных ОС и прикладном ПО, требуют совершенно разных механизмов защиты.
 
Когда Ethernet-протоколы, основанные на IP, внедряются поставщиками в контроллерах и датчиках, они используются в рамках нестандартных ОС, из-за чего также требуют нестандартных методов кибер-защиты.
 
Каждая дополнительная точка со стандартным Ethernet-соединением расширяет фронт потенциальной кибер-атаки. Основной стратегией уменьшения возможных вариантов атак является сокращение точек доступа, доступных для недоверенных пользователей.
 
­­­­­­­­­­­Эшелонированная оборона
 
В основе эшелонированной обороны лежит идея защиты системы от любой атаки, используя несколько параллельных методов. Это «тактика слоев», разработанная Национальным агентством безопасности в качестве комплексного метода обеспечения информационной безопасности. Эшелонированная оборона, изначально, это военная стратегия, основанная на задержке, а не предотвращении продвижения атакующего. Уступая территорию, защищающийся выигрывает время. Внедрение различных способов защиты, процедур и политик позволяет повысить защищенность, поскольку различные слои защиты предотвращают шпионские и прямые атаки на критические системы.
 
С точки зрения защиты компьютерных сетей, эшелонированная оборона не только предотвращает прорывы защитного периметра, но и обеспечивает организации столь нужное время для обнаружения и реагирования на атаку, тем самым, уменьшая или предотвращая ее последствия.
 
Полагаясь на не-Ethernet сети промышленной автоматизации, мы предлагаем «слой» менее прозрачный для «плохих парней» – у них просто меньше программных инструментов для взлома таких сетей. Если единственный способ общения с контроллером автоматизации – через ПК, это значит, что у нас больше способов и инструментов для защиты системы.
 
Дилемма
 
Необходимость связывать контроллеры с бизнес-системами (для повышения эффективности и продуктивности), а также внедрение систем информационной безопасности (для защиты операционной деятельности), в принципе, противоречат друг другу. Идея прямых стандартных Ethernet-коммуникаций между системами автоматизации бизнес-процессов и устройствами АСУ ТП, включая контроллеры, датчики, приводы и исполнительные устройства, должна реализовываться с одновременным обеспечением защиты систем от кибер-атак. Встроенное обеспечение информационной безопасности для основанного на IP Ethernet, обслуживающего контроллеры автоматизации, SCADA, приводы, датчики и другие устройства, будет доступно лишь некоторое время спустя. И сейчас и потом необходимо все время помнить о том, что добавление стандартного Ethernet в наши системы АСУ ТП делает их намного более уязвимыми для атак.