http://www.ras.ru/digest/showdnews.aspx?id=5b8f71c7-85bc-488e-91e4-57288c8683df&print=1© 2024 Российская академия наук
В первой половине 2021 года ИД «Connect» совместно с «АйТи Бастион», «Cyber Lympha», «Infowatch Arma» и рядом других предприятий и организаций на партнерских условиях организовали и провели IX научную конференцию «Информационная безопасность АСУ ТП критически важных объектов». Известные ученые и промышленники, представители академической и вузовской науки обсудили ключевые вопросы развития в сфере информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП) критически важных объектов на среднесрочную перспективу.
Доклад Заместителя начальника управления ФСТЭК России Е.Б.Торбенко был посвящен практике применения законодательства для обеспечения безопасности объектов критической информационной инфраструктуры (ОКИИ) Российской Федерации. Елена Борисовна отметила ряд ключевых положений в нормативно-правовых документах (НПД), а также обратила внимание на необходимость совершенствования законодательной базы и устранения правовых пробелов и внутренних и внешних противоречий в текстах НПД. Например, в АСУ ТП установки по производству водорода выявлено несколько категорий нарушителей. Соответственно, основными угрозами в сфере безопасности является несанкционированный доступ к аутентификационной информации с угрозой деструктивного изменения и потерей управления АСУ ТП. Результатом может стать перехват управления АСУ ТП, утечка данных, нарушение функционирования технический средств и подмена информации. Спикер обратил внимание участников и гостей конференции на уязвимость ряда ОКИИ, например, при обновлении программного обеспечения (ПО), применении съемных носителей информации и подключении к различным информационным системам. Отмечалась необходимость наличия полного комплекта средств противоаварийной защиты АСУ ТП с широким спектром действия и «перекрывающимся» функционалом, чтобы минимизировать негативное влияние, например, от вирусных и хакерских атак. Поскольку итоговая надежность АСУ ТП определяется исходя из показателей всех элементов и частей АСУ ТП, предполагается равно высокая степень надежности технических средств, систем обеспечения безопасности ОКИИ и программно-аппаратных комплексов, при этом основополагающим является ГОСТ 27.003—2016 «Надежность в технике. Состав и общие правила задания требований по надежности». Основой для оценки последствий, как правило, является декларация промышленной безопасности, в которой для случаев, например, возможных техногенных аварий и катастроф указывается количество пострадавших людей (включая работников предприятия), зона и территория поражения, финансовый ущерб, репутационные риски и т.д. Важную роль играет «экосоциальный баланс», а именно, соответствие экологического и социального показателей значимости и их сопоставление: причинения ущерба жизни и здоровью людей и экологических последствий инцидента.
В докладе были проанализированы риски, связанные с обеспечением информационной безопасности станков с числовым программным управлением (ЧПУ). Согласно ГОСТ 20523-80, ЧПУ станком – это «управление обработкой заготовки на станке по управляющей программе, в которой данные заданы в цифровой форме. Станок с ЧПУ является ОКИИ на основании анализа эксплуатационно-технической документации с учетом обеспечиваемых критических процессов. Допустимо объединение ряда ОКИИ в единый новый объект (с повышением уровня сложности) при соблюдении паритетности (идентичности) взаимосвязанных ОКИИ, которые должны контролировать хотя бы один общий критический процесс. Соответственно, определение масштабов последствий атаки на ОКИИ будет рассчитываться на основании совокупной оценки нарушений функционирования единого (объединенного) объекта, а не его отдельных узлов.
Важная составляющая комплексной экспертизы возможных ущербов при реализации инновационных проектов – анализ финансово-экономических показателей. Следует учесть, что снижение выплат (отчислений) от налога на прибыль субъекта в федеральный и региональный бюджеты, сокращение отчислений (выплат) от налога на добычу полезных ископаемых для ОКИИ в бюджеты РФ, уменьшение выплат (отчислений) от дивидентов по акциям для ОКИИ в бюджеты РФ, а также снижение отчислений (выплат) сторонних организаций в бюджеты РФ, возникающие вследствие прекращения или нарушения функционирования рассматриваемого ОКИИ и сокращение сборов с бюджеты РФ, возникающие вследствие прекращения или нарушения функционирования ОКИИ, предназначенного для организации сборов в федеральный и региональные бюджеты РФ – вот неполный перечень рисков, обладающих конкретным влиянием на формирование комплексной оценки соответствующих инвестиционных и инновационных проектов в сфере информационной безопасности АСУ ТП.
В настоящее время подготовлен проект методического НПД «Рекомендации по оценке показателей критериев экономической значимости ОКИИ РФ», в котором анонсированы новые, уточненные формулы расчета финансово-экономических показателей. Поскольку проект предполагает возможность внесения изменений в перечень защищенных ОКИИ (ЗОКИИ), предлагается при направлении в ФСТЭК России обоснованных изменений указывать реквизиты предыдущих писем (для перечней) и реестровые номера ЗОКИИ. При этом необходимо учитывать, что срок категорирования для включенных ранее в перечень ОКИИ не меняется, и при передаче ЗОКИИ другому субъекту ОКИИ из реестра не исключается.
О системе комплексного контроля привилегированных пользователей АСУ ТП рассказал директор по развитию бизнеса ООО «АЙТИ БАСТИОН» С.В.Бочкарев. Поскольку кибератаки на ОКИИ в мире учащаются, и возрастают риски от несанкционированного доступа к компонентам ОКИИ, возникает необходимость совершенствования законодательной базы с устранением ряда правовых пробелов и внутренних и внешних противоречий в текстах НПД, например, для более четкой и подробной классификации внешних и внутренних пользователей, пользователей с различным уровнем привилегий (системных администраторов, инженеров–вендоров, подрядчиков и аудиторов). Другой тренд современного развития, например, финансово-промышленного и научно-образовательного секторов экономики России – продолжение в 2021 году дистанционной работы, формирующий запрос на создание высоконадежных информационных систем (ИС) управления производством и АСУ ТП. Соответственно, «затянувшийся режим удалёнки» (кстати, не только в России, но и в большинстве стран ЕС, Юго-Восточной Азии, северного и южного американских континентов!) привела и к новой инвестиционной стратегии многих компаний: расходы на дорогую аренду (простаивающих в пандемию!) офисов снижаются до технологически-необходимого и экономически-обоснованного минимума, а высвобождающиеся средства направляются на разработку ИС и АСУ ТП для долгосрочной дистанционной работы. По мнению большинства экспертов, необратимый «процесс пошёл»: в России и за рубежом уже успешно эксплуатируются сотни–тысячи программных продуктов, ориентированных на все более увеличивающуюся аудиторию «дистанционщиков». Более того, с рабочих мест сотрудников «дистанционный тренд» распространился на смежные, до недавнего времени успешные отрасли, например, в конференционно-выставочную сферу услуг. Количество онлайн-выставок и онлайн-конференций уже сопоставимо с их офлайн-«двойниками», а по некоторым отраслям увеличивающееся число онлайн-мероприятий свидетельствует об успешной реализации соответствующих инвестиционных проектов, чётко рассчитанной стратегии и долгосрочных масштабных капиталовложениях партнёров. Затраты на аренду офисов в России и за рубежом сокращаются в течение длительного периода, и по оценкам экспертов компании «CBRE», 85%(!) предприятий и организаций «могут сохранить удалённый формат работы для части сотрудников и после окончания пандемии»…
При обсуждении вопросов, связанных с эксплуатацией АСУ ТП ОКИИ в условиях «уделённой работы», необходимо решить ряд задач, связанных с дистанционной защищённой обработкой увеличивающегося объема данных, оперативным проведением расследований в случае атаки на ОКИИ с выявлением и устранением ошибок, и принятием комплекса упреждающих мер по минимизации вредных влияний на АСУ ТП ОКИИ. С точки зрения сотрудников службы информационной безопасности (ИБ), в режиме «удалённого доступа» количество удалённых подключений, как и число инцидентов в сфере ИБ со временем растёт, в то время как скорость реакции на каждый инцидент снижается. Далеко не каждое предприятие в условиях пандемийных ограничений, падения объёмов производства и продаж, увеличивает штат специалистов в сфере ИБ! В результате – рост числа правонарушений в ИБ-сфере и формирование запроса в среде разработчиков на создание специализированных Систем автоматизации мониторинга и контроля для повышения скорости реакции на потенциально возникающие инциденты. Предполагается повышением информативности собираемых данных (для их интеграции) и анализ событий с привязкой к пользователю (для структурного поведенческого анализа). Например, в компании «АЙТИ БАСТИОН» разработана ИС, содержащая данные более, чем о 3 тысячах пользователей с подключением порядка 10 тысяч устройств. В ИС хранится свыше 400 тысяч записей о проведенных сессиях (средняя длительность сессии – 40 минут) с передачей данных между центрами обработки данных (ЦОД), размещенными на расстоянии 2 тысяч км между ЦОД.
Эксплуатация ИС – круглосуточная (24х7), обеспечивается сотрудниками предприятий с привлечением в качестве экспертов представителей разработчиков. ИС соответствует требованиям регуляторов, например, Приказам ФСТЭК России от 11.02.2013 № 17, от 18.02.2013 № 21, от 14.03.2014 № 31, от 21.12.2017 № 235, от 25.12.2017 № 239, а также СТО БР (ИББС-1.0-2014) раздел 7.4.3, ФЗ-187 «О безопасности КИИ РФ» (включая разделы о предотвращении неправомерного доступа к информации, недопущению воздействия на технические средства обработки информации, восстановления функционирования значимого ОКИИ), и Приказ ФСБ России от 06.05.2019 № 196.
О выявлении и ликвидации последствий компьютерных инцидентов в АСУ ТП повествовалось в сообщении А.А.Шанина, директора ООО «СайберЛимфа». Алексей Андреевич напомнил о росте рынка АСУ ТП и резком увеличении количества кибератак и самом числе ОКИИ. Нехватка на рынке квалифицированных кадров на фоне растущей сложности систем обуславливает разработку систем быстрого и точного определения инцидентов в сфере ИБ, минимизирующих экономические потери для научных организаций и промышленных предприятий. Платформа «CyberLympha» основана на концепции кибериммунной системы с возможностью поэтапного развития адаптируемой системы защиты, и включает DATAPK – комплекс оперативного мониторинга состояния ИБ и контроля защищенности систем автоматизации, CL-THYMUS для выявления и ликвидации компьютерных инцидентов с применением интеллектуальных алгоритмов, и ITM – контроль безотказного функционирования вычислительных ресурсов и каналов связи. В качестве основных вариантов реализации рассматриваются сигнатурные средства обнаружения, идентификация аномалий на основе метаданных и классификации, и идентификация типа атаки на основании моделирования в сфере ИБ. При получении входных данных, их обработке, анализе и оценке используются параметры моделирования, основанные на скорости и точности обнаружения, гибкости и сложности реализации. Например, ADAPK предназначен для непрерывного мониторинга отклонений от эталонной системы, связи данных из различных источников, пассивного сбора данных и активного сбора без агентов, адаптации к защищаемой системе без изменения кода, расширения функционала в одном устройстве с масштабированием и построением иерархических моделей. На вход DATAPK поступает не только информация о сетевом трафике и конфигурациях защищаемой АСУ ТП, но и данные о событиях и анализе защищенности, на выходе – оперативная идентификация инцидентов с минимизацией рисков, осведомленность о состоянии ИБ АСУ ТП в соответствии с отраслевыми и региональными НПД в сфере ИБ. Система DATAPK внедрена на предприятиях в нефтегазовой, металлургической, энергетической промышленности и в сфере ЖКХ.
Другое программно-аппаратное решение «CyberLympha ITM» предназначено для IT-мониторинга АСУ ТП и регистрации компьютерных инцидентов (фактов нарушения и/или прекращения функционирования ОКИИ). С участием российских ученых – представителей академической (Российской академии наук – РАН) и вузовской науки для предотвращения умышленных компьютерных атак разработаны и реализованы комплексные решения, в т.ч., позволяющие предотвратить отказы и сбои в работе оборудования с помощью специализированной системой защиты. Контроль безотказного функционирования средств и систем с мониторингом предоставляемых вычислительных ресурсов и каналов связи (например, квантовых криптографических и стеганографических) обеспечивает доступность узлов и сервисов, учет показателей производительности, расчет нагрузки на каналы связи и учет ошибок функционирования компонентов ИС. Обеспечен непрерывный мониторинг метрик, сравнительный анализ данных с пороговыми значениями, мониторинг сбоев с генерацией тревоги в случае выявления инцидента, активный сбор с применением агентов и без них, безопасность функционирования АСУ ТП.
Развитием киберфизических принципов и методов при построении системы защиты АСУ ТП ОКИИ можно считать инновационную систему выявления аномалий «CyberLympha Thymus», анализирующую сетевой трафик защищаемой ИС без дополнительной информации о ней. В ходе обучения «CyberLympha Thymus» определяет структуру протоколов обмена данными и алгоритмы работы отдельных узлов защищаемой системы. После завершения обучения «CyberLympha Thymus» сопоставляет работу защищаемой системы с работой модели и выявляет несоответствия, которые могут быть признаками инцидента ИБ. В декабре 2020 года получен патент на изобретение № 2738460 «Способ выявления аномалий в работе сети автоматизированной системы» (авторы: А.С.Антипинский, Н.А.Домуховский, Д.Е.Комаров и А.Н.Синадский) с приоритетом от 26.02.2020. Т.о. «CyberLympha» и система ИБ ОКИИ формируют единый контур управления с участием встроенных механизмов защиты АСУ ТП и подсистем безопасности ОКИИ: средства антивирусной защиты и обнаружения вторжений с межсетевыми экранами взаимодействуют с системами ИБ от несанкционированного доступа и средствами управления событиями, анализа защищенности и защиты каналов передачи данных, что обеспечивает не только планирование и контроль, но и оперативное реагирование на инциденты с совершенствованием АСУ ТП ОКИИ.
Защите АСУ ТП от кибератак и обеспечению непрерывности промышленных процессов с выполнением требований Федерального Закона № 187-ФЗ было посвящено выступление И.В.Душа, технического директора «Infowatch ARMA». Отмечались крупные задачи ИБ АСУ ТП, включая обеспечение защиты АСУ ТП от компьютерных атак, выполнение требований регулятора и автоматизации работы структурных подразделений предприятий, отвечающих за ИБ. В 2020 году в числе наиболее важных технических задач в сфере ИБ АСУ ТП эксперты отметили построение системы защиты от атак и реализации превентивных мер (СЗА РПМ), управление активами и инвентаризация информационных ресурсов, управление инцидентами и их расследование и управление уязвимостями. При построении СЗА РПМ необходима сетевая сегментация с управлением доступом и предотвращением атак, защитой рабочих станций и серверов с обнаружением и предотвращением вторжений с мониторингом событий в сфере ИБ. Для решения задач данного класса совместно с российскими учеными – представителями академической (РАН) и вузовской науки разработан промышленный сетевой экран нового поколения, предназначенный для защиты ОКИИ индустриальных объектов от сетевых атак: «InfoWatch ARMA Industrial Firewall» служит для глубокой инспекции промышленных протоколов, встроенной системы обнаружения вторжений, межсетевого экранирования для промышленных объектов и безопасного удаленного подключения. Предусмотрена не только микросегментация на уровне эшелонированной защиты «полевой уровень – уровень сетевых контроллеров и исполнительных устройств – уровень диспетчерского управления – уровень компьютерной сети – уровень корпоративной сети», но и виртуальный патчинг. Замкнутая среда в АСУ ТП ОКИИ повышает устойчивость за счет ограничения внешних информационных потоков и подключения к системе, фильтрации в программной среде и четкому разграничению информационных потоков внутри системы. Также предусмотрена защита рабочих станций и серверов АСУ ТП ОКИИ для контроля целостности файлов рабочих станций и серверов АСУ ТП, блокировки канала распространения угроз через USB и другие носители и блокировку недоверенного программного обеспечения на основе формирования «белых списков». Мониторинг событий в сфере ИБ обеспечивается за счет контроля версий проектов ПЛК и SCADA, выявления фактов эксплуатации уязвимостей, перепрошивки ПЛК с изменением программы управления ПЛК, и информированием об опасных значениях технологического процесса с контролем параметров. Применима глубокая инспекция промышленных протоколов с обнаружением вторжений и мониторингом без фильтрации и глубокой фильтрацией по полям протоколов, что значительно повышает видимость промышленной сети.
Совместно с рядом российских ученых – представителей академической (РАН) и вузовской науки также разработана встроенная Система обнаружения вторжений (СОВ), обнаруживающая и блокирующая вредоносное ПО, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровнях: база решающих правил СОВ для АСУ ТП обновляется ежедневно, что позволяет выявлять попытки эксплуатации классических уязвимостей и специфических уязвимостей АСУ ТП (дополнительно возможно пополнение баз собственными пользовательскими правилами). СОВ работает как в режиме обнаружения, так и предотвращения вторжений: благодаря детальному разбору трафика до уровня команд и их значений возможна настройка автоматической блокировки вредоносных пакетов в трафике или информационных потоков от источников угроз.
Для управления активами и инвентаризации информационных ресурсов применяется инвентаризация активов с ведением баз реальных устройств и информационных потоков между ними, учетом uptime/downtime оборудования и серверов с аналитикой подключений к оборудованию АСУ ТП. При управлении инцидентами и их расследовании важно определение инцидентов из общего потока событий в сфере ИБ, сокращения ложных срабатываний и ликвидации последствий с реакцией на инцидент. Для решения перечисленных задач при участии российских ученых – представителей академической (РАН) и вузовской науки разработан Единый центр управления системой защиты с централизованным обновлением и управлением конфигурациями, в т.ч., управлением инцидентами в сфере ИБ и их расследованием, сбором событий в сфере ИБ с предоставлением инцидентов в SOC- и SIEM-системы, автоматической реакции на инциденты и визуализацией сети.
Также на IX научной конференции «Информационная безопасность АСУ ТП критически важных объектов» был представлен ряд других докладов. В дни работы форума была развернута экспозиция ведущих производителей в сфере ИБ, на которой анонсировались инновационные разработки промышленных предприятий, созданные с участием отечественных ученых – представителей академической (РАН) и вузовской науки.
Выводы и рекомендации:
Одним из перспективных направлений капиталовложения в информационную безопасность Автоматизированных систем управления (АСУ) технологическими процессами (ТП) критически важных объектов (КВО) являются комплексы защиты данных, основанные на киберфизических принципах с элементами кибериммунизации, квантовой криптографии и стеганографии. Предложенные в рамках публикации инвестиционные проекты применимы, в частности, в сфере квантономики для стран ШОС, БРИКС, ЕврАзЭС и для противодействия распространению COVID-19. Целесообразно проведение Международной научно-практической конференции по информационной безопасности АСУ ТП КВО в 2022-2023 годах под патронажем Отделения нанотехнологий и информационных технологий (ОНИТ) РАН (академик-секретарь ОНИТ РАН – академик РАН Геннадий Яковлевич Красников): в 2023 году (за год до 300-летия РАН) отмечается 40 лет со дня основания Отделения информатики, вычислительной техники и автоматизации (ОИВТА) Академии наук СССР – ныне ОНИТ РАН.
Одним из ключевых вопросов, обсуждавшихся на конференции по ИБ АСУ ТП ОКИИ, является острая нехватка специалистов в сфере ИБ: к 2022 году, согласно оценкам экспертов, ожидается дополнительно 1,8 миллиона(!!) вакансий – незаполненных должностей специалистов в сфере ИБ! В условиях ужесточающегося «кадрового голода» в сфере ИБ возрастает роль АСУ ТП, в которых применяются внешние SOC, система настраивается интеграторами (а не эксплуатантом), улучшен механизм автоматической реакции на различные классы инцидентов и упрощена система обучения уже нанятых сотрудников практическим навыкам работы с Системой. Разработанная комплексная система для обеспечения кибербезопасности АСУ ТП ОКИИ включает, в частности, эшелонированную защиту с единым центром управления системной ИБ, снижение совокупной стоимости владением и ресурсов на сопровождение системы, и выполнения практически всех технических требований приказа ФСТЭК России № 239.
Математическое моделирование процессов в сфере ИБ АСУ ТП КВО, позволило при построении оптимальной системы моделей выяснить ряд закономерностей, связанных не только с построением комплексов на киберфизических принципах с элементами кибериммунизации, квантовой криптографии и стеганографии, но и ориентированных на реализацию инвестпроектов в сфере медицинских технологий и здравоохранения. В частности, были выявлены параметры смены штаммов коронавируса с китайского в 2020 году на индийский в 2021 году, и ожидаемые параметры смены на бразильский и южноафриканский штаммы!! Цикл научных исследований позволил определить ряд стран, наиболее подверженных распространению коронавируса: например, было установлено, что, несмотря на рост числа заболевших в США, ЕС и других мировых регионах, для китайского, индийского, бразильского и южноафриканского штаммов коронавируса наиболее уязвимыми (!!) являются страны, входящие в ШОС, БРИКС и ЕврАзЭС!!!