Безопасность сетей и АСУ ТП сейчас является одним из важнейших направлений защиты информации, многие вендоры стараются выйти на этот рынок, разработать собственные средства борьбы с киберугрозами или интегрироваться с уже имеющимися. В обзоре мы рассмотрим современную ситуацию на отечественном и зарубежном рынках встроенной киберзащиты промышленного сектора.
- Введение
- Встроенные средства кибербезопасности АСУ ТП
- Мировой рынок встроенных средств кибербезопасности АСУ ТП
- Российский рынок встроенных средств кибербезопасности АСУ ТП
- Обзор отечественных средств кибербезопасности, встроенных в АСУ ТП
- 5.1. «АПРОТЕХ»
- 5.2. «Информационные системы и стратегии»
- 5.3. «Модульные Системы Торнадо»
- 5.4. «Физприбор»
- Обзор зарубежных средств кибербезопасности, встроенных в АСУ ТП
- 6.1. ABB
- 6.2. Emerson Electric
- 6.3. General Electric Digital
- 6.4. Honeywell
- 6.5. Schneider Electric
- 6.6. Siemens
- 6.7. Yokogawa
- Выводы
Введение
В одном из эфиров AM Live был поднят вопрос о встроенных средствах кибербезопасности АСУ ТП; эксперты поделились своим видением положения дел с информационной безопасностью на объектах критической инфраструктуры, рассказали о мерах и средствах защиты информации и выстроили предположения относительно будущего этой области. В статье мы постараемся более развёрнуто рассказать о таких средствах защиты АСУ ТП, проблематике рынка и основных векторах его развития.
Хотя первые образцы антивирусных решений, средств контроля целостности и выделенных «демилитаризованных» контуров появились в АСУ ТП более десятилетия назад, важно отличать цельную защиту от разрозненных попыток производителей самостоятельно внедрить элементарные системы защиты информации. В отчёте Массачусетского технологического института от 2019 года указано, что 96 % исследованных локальных промышленных систем управления были уязвимы к различного рода кибератакам, а индекс IBM X-Force Threat Intelligence показывает, что количество атак на промышленные и производственные объекты увеличилось более чем на 2000 % с 2018 года.
АСУ ТП, или автоматизированная система управления технологическим процессом, в частном случае обеспечивает комплексную автоматизацию производства, выработки электроэнергии, добычи полезных ископаемых, переработки материалов, подачи и очистки воды или воздуха, управления ядерной энергетикой. В качестве основных частей АСУ ТП возможно выделить САУ — системы автоматического управления, а также SCADA (диспетчерское управление и сбор данных), ESD (системы противоаварийной защиты) и DCS (распределённые системы управления). Физически они представлены рабочими местами инженеров АСУ ТП (рабочая станция в виде персонального компьютера), пультами управления, средствами и системами обработки поступающей информации, датчиками, контроллерами, исполнительными устройствами, телеметрией. Текущая стадия развития АСУ ТП позволяет исключить человеческий фактор из многих процессов, нивелировав роль инженера-оператора и возложив на него функцию контроля без непосредственного вмешательства в технологический процесс, позволяя сделать последний максимально автономным.
Рисунок 1. Пример визуализации SCADA для турбин от Schneider Electric
С усложнением АСУ ТП появилась необходимость защиты их инфраструктуры и смежных систем. В частности, если раньше было возможно выделить АСУ ТП в особый сегмент сети, использовав так называемый «воздушный зазор» (air gap), то сейчас построить подобную схему очень трудно, особенно если это касается распределённых сетей, таких как сети городских электростанций, общественного транспорта, АЭС, ГЭС, то есть сетей, разные части которых физически распределены, но без взаимосвязи не могут комплексно сопровождать единый технологический процесс, наполняя его информацией, регистрируя события, метрики, аварии, аномалии и иные взаимосвязанные сигналы, компенсируя нагрузку и обеспечивая бесперебойность процесса и устойчивость к катастрофам. В частном случае «воздушный зазор» также далёк от идеального способа защиты сетей АСУ ТП, основными векторами атак на которые являются:
- Съёмные носители. Для любой АСУ ТП рано или поздно возникнет необходимость обновления, съёма данных, загрузки информации, установки нового ПО.
- Внутренние нарушители, отсутствие или недостаток контроля физического доступа.
- Угрозы в цепочке поставок, программные закладки в поставляемом ПО для АСУ ТП.
- Несанкционированные или неконтролируемые подключения сети АСУ ТП к иным сетям, когда фактически никакого «воздушного зазора» в организации не существует: персонал подключает 3G-модемы к рабочим местам, сторонние подрядчики получают сетевой доступ в рамках сопровождения и обслуживания устройств и систем АСУ ТП, сами устройства или рабочее место оператора имеют беспроводные сетевые модули и могут подключаться к неконтролируемым точкам доступа, в т. ч. по Bluetooth.
Из наиболее известных случаев атак на АСУ ТП, когда был пройден «воздушный зазор», можно вспомнить внедрение Stuxnet: вирус, передающийся через USB-носители и иные каналы связи, не детектировался антивирусным ПО, имел легитимную цифровую подпись и мог долгое время оставаться незамеченным в сети АСУ ТП ядерного проекта Ирана, нарушая технологический процесс работы центрифуг обогащения уранового топлива. Также как пример «успешного» влияния кибератак на промышленные сети возможно отметить кибернападение на термальную солнечную электростанцию Ivanpah Solar Electric Generating System в 2016 году, которое привело к возникновению пожара из-за нарушения порядка позиционирования зеркал. При этом даже банальный шифровальщик может полностью остановить технологический процесс предприятия, поразив пользовательский и серверный сегменты. Возможно и вполне вероятно, что некоторые случаи заражения не афишируются, так как большая часть объектов управления АСУ ТП подпадает под определение критической информационной инфраструктуры (КИИ).
Отметим, что в 2016 году была принята новая Доктрина информационной безопасности Российской Федерации. Одна из ключевых её тем — безопасность КИИ. Также стоит выделить приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», где явно и чётко выделены основные требования к защите сетей АСУ ТП на протяжении всего жизненного цикла системы, в том числе:
- идентификация и аутентификация (ИАФ),
- управление доступом (УПД),
- ограничение программной среды (ОПС),
- защита машинных носителей информации (ЗНИ),
- аудит безопасности (АУД),
- антивирусная защита (АВЗ),
- предотвращение вторжений и компьютерных атак (СОВ),
- обеспечение целостности (ОЦЛ),
- обеспечение доступности (ОДТ),
- защита технических средств и систем (ЗТС),
- защита информационной (автоматизированной) системы и её компонентов (ЗИС),
- планирование мероприятий по обеспечению безопасности (ПЛН),
- управление конфигурацией (УКФ),
- управление обновлениями программного обеспечения (ОПО),
- реагирование на инциденты в информационной безопасности (ИНЦ),
- обеспечение действий в нештатных ситуациях (ДНС),
- информирование и обучение персонала (ИПО).
Также есть нормативное требование, которое вызывает у предприятий — владельцев АСУ ТП некоторые затруднения. Оно детализировано в постановлении Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 г. Субъект КИИ должен сам проводить категорирование своих систем, но зачастую даже у крупных предприятий недостаточно внутренних компетенций для оценки рисков и угроз. В этом случае без внешней помощи не обойтись.
Добавим, что в 2015 г. ФСТЭК России выпустила национальный стандарт средств безопасной разработки ПО, а далее — обязательные требования для всех разработчиков СЗИ. Одно из этих требований сводится к тому, что поставщик решения для АСУ ТП должен иметь у себя регламентированные процессы безопасной разработки. Международные вендоры, такие как Schneider Electric или Siemens, внедрением подобных механизмов уже занялись — в соответствии с международным стандартом МЭК 62443-4-1 «Сети промышленной коммуникации. Безопасность сетей и систем». Помимо этого отметим стандарт МЭК 61850 «Сети и системы связи на подстанциях» и нормативный документ ISA/IEC-62443, который описывает процедуры внедрения электронно-защищённых промышленных систем автоматизации и управления.
Как можно заметить, обеспечить безопасность и выполнение всех требований законодательства одними организационными мерами или «воздушным зазором» просто невозможно. Владельцы АСУ ТП начали приходить к выводу, что без систем защиты уже не обойтись.
Это подводит нас к теме обзора, а именно — к средствам защиты информации, которые предоставляются производителями и вендорами. Выделим основные тенденции, которые увеличивают влияние общеизвестных угроз ИБ на сети АСУ ТП:
- Развитие предприятий. Старые системы управления, которые разрабатывались десятки лет назад и имеют неисправленные уязвимости, интегрируются в современные системы и сети (Windows, Linux, БД, Ethernet), которые и сами могут содержать бреши. Итоговый эффект неизвестен и может привести к негативным последствиям.
- Усложнение технологических процессов. Полная или частичная автоматизация даже самых простых процессов может привести к сбою большей части производственного процесса из-за программной ошибки, изъянов в логике при нештатных ситуациях, человеческого фактора, действий злоумышленника.
- Доступность информации об АСУ ТП. Всё большее количество специалистов работают в обслуживании, управлении, продажах, сопровождении, внедрении систем АСУ ТП; соответственно, и информации о таких системах стало в сотни раз больше, чем на заре их разработки, когда ими занимались отдельные специалисты, часто с доступом к государственной тайне.
- Удалённый доступ. Уже ставший повседневным источник угроз как для рядового состава сотрудников предприятия, работающих из дома, так и для инженеров обслуживания систем управления, имеющих доступ к технологическому процессу.
Какова проблематика внедрения безопасности в АСУ ТП? Во-первых, это — малочисленность специалистов, занимающихся информационной безопасностью именно в АСУ ТП и разбирающихся в специфике рынка и технологиях. Во-вторых, это — нехватка на предприятии с АСУ ТП персонала, который занимался бы организацией защиты не только критически важного производственного контура, но и пользовательских сетей, серверной инфраструктуры. В-третьих, это — высокие затраты на закупку решений по безопасности АСУ ТП, которые сдерживают рост рынка. Кроме того, многие предприятия являются государственными и не всегда имеют бюджет на наём квалифицированных специалистов, не занимающихся основным технологическим процессом предприятия напрямую. Это касается и частных компаний, которые заинтересованы в максимизации прибыли, в том числе путём использования устаревших технологий, систем и бизнес-процессов.
В совокупности эти факторы приводят к проблемам с обслуживанием и модернизацией решений по безопасности АСУ ТП. Устаревшие системы и датчики могут физически не подходить для включения СЗИ: малое количество производственных мощностей, устаревшее неподдерживаемое программное обеспечение. Но с приходом новых угроз и разработкой нормативных требований рынок открывает дополнительные возможности для вендоров и производителей. Инвестиции в разработку надёжных решений по безопасности АСУ ТП для защиты критической инфраструктуры, в том числе правительственные, подталкивают предприятия к тому, чтобы пересматривать, перестраивать и обновлять свои системы. Также понемногу исчезает разрыв в зрелости процессов ИБ между государственными предприятиями и частным сектором: многие вендоры сертифицируют свои решения под государственный сектор, занимаются аудитом инфраструктур АСУ ТП, проводят анализ рисков для этого сектора и для новых рынков сбыта своей продукции и услуг.
Что нужно сделать для запуска процесса защиты сетей и компонентов АСУ ТП? Можно отметить шаги, основанные как на организационных мерах, так и на средствах встроенной и накладной защиты:
- Определить и зафиксировать информационные активы и потоки.
- Применить концепцию «нулевого доверия» (Zero Trust), по умолчанию не давая полномочий никому — ни удалённым работникам, ни пользовательскому сегменту, ни внутреннему оператору АСУ ТП, ни установленному ПО, ни каналам связи внутри сети предприятия или между распределённой группой предприятий и систем.
- Контролировать сетевые аномалии и список приложений. Необходимо применять принцип наименьших привилегий, максимально широко использовать промышленные протоколы для точной идентификации сетевых взаимодействий — в частности, для явного определения и разрешения связей между несколькими распределёнными сетями АСУ ТП, разграниченными межсетевым экраном на периметре. В этом случае количество ложных срабатываний IPS / IDS будет минимальным. Также стоит учесть, что IPS / IDS могут работать в автоматическом режиме, а МСЭ придётся настроить вручную, возможно — с привлечением внешних специалистов.
- Внедрить SIEM-систему, «заточенную» под требования АСУ ТП, в частности — способную собирать, коррелировать и обрабатывать события из SCADA-систем, с датчиков технологических процессов.
- Привлекать экспертов по новым для АСУ ТП направлениям, в частности — сетевых аналитиков, специалистов по расследованию инцидентов именно на АСУ ТП. В приказе ФСТЭК России № 239 есть требование анализа исходных кодов программного обеспечения АСУ ТП, что также должны делать эксперты, будь то статический / динамический анализ или защита цепочек поставок.
- Тестирование сетей АСУ ТП на проникновение, проверка важных сотрудников предприятия на устойчивость к социальной инженерии, контроль соблюдения регламентов.
- Внедрение доверенной ОС, защищённого протокола передачи данных (в т. ч. проприетарного), идентификации и аутентификации как рабочего персонала, так и процессов.
Встроенные средства кибербезопасности АСУ ТП
Ранее мы уже писали о специализированных накладных СЗИ, теперь же рассмотрим разницу между ними и встроенными СЗИ.
Накладные СЗИ — это все те системы, которые может предоставить вендор специализирующийся на информационной безопасности: антивирусные решения, IPS / IDS, межсетевые экраны, системы контроля целостности и комплексы управления доступом. Сюда же относятся и SIEM-системы для мониторинга событий именно в промышленных сетях. Вендоры АСУ ТП в этом вопросе менее развиты, но крупные производители, такие как Honeywell и Siemens, уже организуют внутри своих компаний центры компетенций по информационной безопасности, создают свои платформы мониторинга, встраивают СЗИ в собственные средства и системы АСУ ТП, тем самым даже составляя конкуренцию профильным компаниям из сектора безопасности информационных систем. Также вендоры АСУ ТП стараются использовать распределённые системы управления, что уже на начальном этапе проектирования значительно снижает риски для информационной безопасности предприятия и повышает отказоустойчивость в целом: при выходе из строя одного компонента системы его функции будут переданы дублёру.
В этой области есть три возможных пути развития, и все они вполне жизнеспособны:
- Собственные компетенции производителей АСУ ТП. Производители лучше всех знают свой товар и способны максимально бесшовно встроить СЗИ в свои процессы. Однако этот путь доступен не всем производителям, потому что нужны большие вложения в штат специалистов и разработку.
- Сотрудничество с профильными вендорами СЗИ. Примеров такой синергии — множество: скажем, компания «Иокогава Электрик СНГ» совместно с «Лабораторией Касперского» тестирует и внедряет комплексные АСУ ТП на предприятиях. В проектах компании Yokogawa применяются и решения российской компании «ИнфоТеКС» (ViPNet). Также не секрет, что компания Cisco на основе собственных компетенций в области ИБ помогает строить и сегментировать системы и сети, используя межсетевые экраны и сетевое оборудование собственного производства. Среди достоинств здесь — передача огромного опыта и компетенций производителей защитных решений вендорам АСУ ТП; из недостатков — то, что не все продукты вендоров СЗИ могут быть интегрированы в сети АСУ ТП «из коробки». Будут требоваться доработка, тщательное тестирование совместимости, анализ актуальных угроз. Немаловажным фактором является и соблюдение законодательства — сертификация СЗИ, используемых в сетях АСУ ТП.
- Предоставление услуг по информационной безопасности самими производителями АСУ ТП под собственным брендом, но на основе технологий ИБ-вендоров. Такой способ часто используется в ситуациях, когда требуется продать услугу пакетом, то есть вендор АСУ ТП включает в цену сразу несколько лицензий: и на СЗИ, и на техническую поддержку этих СЗИ, и на комплект протестированных сигнатур для конкретной поставляемой АСУ ТП, и на проверенные патчи и обновления. С одной стороны, заказчик здесь получает «всё и сразу»: АСУ ТП плюс пакет интегрированной информационной безопасности. С другой стороны, не все векторы угроз могут быть закрыты единым пакетом: всё же вендор АСУ ТП — это не поставщик услуг по ИБ, так что многие накладные СЗИ будут в пакете отсутствовать.
В свою очередь, встроенные средства защиты в общем понимании — это те, которые уже имеются в комплекте поставки систем и компонентов АСУ ТП. Здесь выделим следующие основные направления:
- Управление доступом. Самый очевидный способ защиты — логическое разграничение доступа к компонентам системы на основе локальной или доменной аутентификации, ролевой модели.
- Сегментация. Выделение АСУ ТП в отдельную область сети, максимальное использование принципа «что не разрешено, то запрещено», применение проприетарных протоколов передачи данных между компонентами АСУ ТП. Для проникновения и подключения к такой среде может даже понадобиться специализированная сетевая карта.
- Логирование. Ведение журналов событий поможет провести анализ текущего состояния дел в сети АСУ ТП, выявить аномалии, превентивно обнаружить атаку. Помимо достижения целей ИБ, логирование также поможет разобраться в нештатных ситуациях в самой АСУ ТП.
- Контроль и сохранение конфигурации. Это — доступный метод защиты, давно применяемый в сетях АСУ ТП. Он может охватывать контроль запуска программ и ОС, контроль целостности файлов и каталогов, ведение белых списков разрешённого для использования ПО, запрет установки сторонних программ.
- Шифрование протоколов связи между компонентами АСУ ТП.
Отметим, что встроенная безопасность по большей части предоставляется «условно бесплатно», то есть уже включена в цену поставки АСУ ТП. Не стоит забывать и о том, что организационные меры при их должной разработке, соблюдении и контроле также являются «бесплатными» и помогут закрыть большое количество нормативных требований, а также поспособствуют усилению общего уровня ИБ на предприятии (ведение журналов учёта, обучение персонала, физический и видеоконтроль помещений, учёт рабочего оборудования, контроль и уничтожение съёмных носителей информации).
Полезно также проводить анализ своих промышленных систем с помощью оценки зрелости кибербезопасности АСУ ТП. Можно выделить следующие уровни:
- Не реализованы базовые функции кибербезопасности (сегментация, смена паролей по умолчанию на участке АСУ ТП, учёт аутентификаций, организационные меры).
- Реализованы базовые функции безопасности. Применены базовые встроенные средства защиты. Применяются накладные СЗИ: межсетевые экраны, IDS / IPS, антивирусное ПО. Работают организационные меры.
- Появляются специально разработанные для применения в АСУ ТП защитные средства, к примеру — контроль датчиков, контроль SCADA, мониторинг событий и инцидентов.
- Симбиоз встроенных и накладных средств защиты информации, есть специально выделенные сотрудники по информационной безопасности, возможно, присутствует внешний поставщик услуг по ИБ в части мониторинга, аудита соответствия требованиям законодательства, пентеста инфраструктуры АСУ ТП, проводятся киберучения.
Для мониторинга необходимо подключение к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак) для передачи в НКЦКИ инцидентов в информационной безопасности на объектах КИИ по требованиям ФЗ-187. По мере подключения предприятий к ГосСОПКА — либо самостоятельно, либо через аутсорсинговый центр мониторинга — статистика угроз для КИИ и АСУ ТП в частности будет актуализироваться и обновляться, будут учитываться целевые атаки на отдельно взятый сектор. Это позволит как вендорам АСУ ТП, так и профильным разработчикам решений по ИБ более фокусно подходить к обеспечению безопасности, созданию готовых встроенных СЗИ или доработке имеющихся коммерческих решений для бизнеса.
Мировой рынок встроенных средств кибербезопасности АСУ ТП
Лидеры рынка, такие как Siemens, Schneider Electric, Honeywell, Emerson, Yokogawa или General Electric, имеют свои центры компетенций по информационной безопасности и оказывают услуги по построению комплексной защиты сетей. Продукты, которые они используют для обеспечения кибербезопасности промышленных систем, в большинстве случаев поставляет специализированный партнёр из отрасли ИБ.
- Шлюзы безопасности, в том числе диоды данных, и межсетевые экраны есть у Siemens, Schneider Electric, General Electric, Honeywell, ABB, Rockwell.
- Централизованные платформы по кибербезопасности, которые позволяют единообразно контролировать встроенные решения для киберзащиты и управлять ими, есть, например, у Honeywell (Forge) и General Electric (Predix).
- Антивирусная защита предоставляется Siemens совместно с Symantec и «Лабораторией Касперского», Yokogawa вместе с Trend Micro и «Лабораторией Касперского», Schneider Electric в партнёрстве с McAfee и «Лабораторией Касперского».
Если взглянуть на глобальный рынок кибербезопасности АСУ ТП, то, согласно отчёту от компании MarketsandMarkets, лидерами рынка являются традиционные поставщики защитных решений («Лаборатория Касперского», Positive Technologies, Cisco, Symantec, McAfee, Check Point, Fortinet, FireEye, CyberArk) и вендоры АСУ ТП (Honeywell, Schneider Electric, ABB, Rockwell Automation, BHGE). Их дополняют некоторые специализированные разработчики, например Nozomi, Dragos, Waterfall Security Solutions и другие.
В частности, «Лаборатория Касперского» предлагает решение Kaspersky Industrial CyberSecurity — набор сервисов и продуктов, направленных на защиту различных уровней промышленной информационной инфраструктуры, а именно серверов SCADA, операторских панелей, рабочих станций пользователей и программируемых логических контроллеров. Подробно о KICS и его компонентах мы рассказывали в цикле статей, опубликованных на Anti-Malware.ru: «Обеспечение безопасности АСУ ТП с помощью Kaspersky Industrial CyberSecurity», «Обзор Kaspersky Industrial CyberSecurity for Networks», «Обзор Kaspersky Industrial CyberSecurity for Nodes».
Рисунок 2. Комплекс решений Cisco для защиты сетей АСУ ТП
Далее в обзоре мы рассмотрим некоторые решения названных производителей, даже если отчасти эти продукты могут являться накладными, а не встроенными.
Российский рынок встроенных средств кибербезопасности АСУ ТП
Как было упомянуто выше, «Лаборатория Касперского» и Positive Technologies уже имеются в списке лидеров отрасли по безопасным решениям для АСУ ТП. Помимо них на рынке присутствуют и другие игроки: «ИнфоТеКС», InfoWatch (в частности, на основе продуктов компании «ИнфоТеКС» заказчики организовывают сегментацию своих внутренних сетей и сетей АСУ ТП). «ИнфоТеКС» предлагает линейку продуктов Industrial Security, которая включает в себя как накладные средства защиты информации, представленные индустриальным шлюзом ViPNet Coordinator IG, так и встраиваемые криптографические средства защиты — ViPNet SIES.
Сюда же можно отнести тех игроков российского рынка, которые предоставляют услуги провайдера ГосСОПКА с мониторингом сегмента критической информационной инфраструктуры и передачей данных в НКЦКИ: «Инфосистемы Джет», BI.ZONE, Positive Technologies и иных поставщиков услуг информационной безопасности в рамках коммерческого SOC. Так, в пакете продуктов компании Positive Technologies для защиты АСУ ТП присутствует PT Industrial Security Incident Manager — программно-аппаратный комплекс глубокого анализа технологического трафика. Он обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает выявлять кибератаки на ранней стадии и может работать совместно с MaxPatrol SIEM.
Как на российском рынке, так и на международном средства защиты информации и услуги вендоров по борьбе с киберугрозами часто поставляются через производителей АСУ ТП. Последние зарабатывают дополнительные деньги на перепродаже и сервисах, а поставщик средств кибербезопасности получает канал сбыта (зачастую — единственный возможный). Так, компании Siemens, Schneider Electric, Yokogawa, Honeywell, Emerson поставляют решение Kaspersky Industrial CyberSecurity для защиты АРМ, серверов и самих сетей АСУ ТП (подробнее об этом будет рассказано дальше), компания «Модульные Системы Торнадо» — решение InfoWatch ARMA для защиты промышленных сетей, которое мы тоже рассмотрим ниже.
Заметной тенденцией на российском рынке становится совместное создание компонентов АСУ ТП, когда производители привлекают разработчиков средств кибербезопасности уже на этапе проектирования устройств. Примером здесь может служить использование защищённой операционной системы Kaspersky OS в ПЛК от компании «Информационные системы и стратегии», а также сетевом шлюзе от компании Advantech. Иные вендоры также включаются в процесс интеграции своих СЗИ с промышленными системами.
Рисунок 3. ПЛК производства компании «Информационные системы и стратегии» на базе Kaspersky OS
Далее мы опишем основные продукты и услуги российских вендоров по защите сетей АСУ ТП. Эти системы и решения также не являются на 100 % встроенными, но по своей сути максимально включены в технологические процессы предприятий.
Обзор отечественных средств кибербезопасности, встроенных в АСУ ТП
«АПРОТЕХ»
«АПРОТЕХ» (НПО «Адаптивные Промышленные Технологии») — дочерняя компания «Лаборатории Касперского». Предлагаемый ею кибериммунный IIoT-шлюз Kaspersky IoT Secure Gateway 100 подключает оборудование к облачной аналитической платформе, что позволяет повышать эффективность бизнеса, снижая издержки и повышая доходы. Шлюз на базе Kaspersky OS даёт возможность выборочно извлекать и накапливать данные о работе оборудования, необходимые в конкретный момент. Обладая кибериммунитетом, шлюз устойчив к подавляющему большинству видов кибератак и защищает данные, которые передаёт от устройств к облачной платформе.
В 2020 году компании «АПРОТЕХ» и «ИТЭЛМА» разработали программно-аппаратный комплекс IKS1000GP, который предназначен для сбора и обработки «сырых» промышленных данных (шлюз промышленного интернета вещей — IIoT Gateway).
Это решение создано на базе Kaspersky OS и оборудования компании Siemens. Комплекс получает информацию от промышленного оборудования, включая станки, конвейеры, двигатели и турбины, затем в режиме реального времени агрегирует потоки данных и подготавливает их к использованию платформами промышленного интернета вещей (IIoT). В итоге сводятся к минимуму действия человека в производственном контуре, а экспертная оценка данных (интерпретация сложных событий, выявление скрытых закономерностей и аномалий и так далее) может проводиться в онлайн-режиме небольшой группой специалистов или с помощью технологий машинного обучения.
Рисунок 4. Концептуальная модель использования шлюза Kaspersky IoT Secure Gateway
Подробнее с продуктом можно ознакомиться на сайте компании.
«Информационные системы и стратегии»
Компания «Информационные системы и стратегии» занимается разработкой и производством оборудования и оказанием услуг в области учёта энергопотребления, контроля технической инфраструктуры. Компания разработала и выпускает программируемый логический контроллер (ПЛК) линейки «СЭМ Про», который совместно с предустановленной Kaspersky OS был внедрён на проекте «Умный город» при поддержке Правительства Оренбургской области.
Контроллер осуществляет сбор данных от инженерных систем и передачу этой информации в облачную инфраструктуру, решает локальные задачи управления. Предустановленная операционная система Kaspersky OS позволяет обеспечить доверенность данных и обезопасить их от подмены, осуществить безопасную загрузку обновлений прошивки, защитить сертификаты и политики контроллера.
Рисунок 5. Архитектура решения «Умный город»
Подробнее с продуктом можно ознакомиться на сайте компании.
«Модульные Системы Торнадо»
ПТК «Торнадо-N» (прототип Национальной платформы промышленной автоматизации, НППА) — система класса DCS (Distributed Control System) для предприятий сферы энергетики, генерации энергии, энергоснабжения. Концептуальная основа системы — «виртуальные контроллеры». Согласно заявлению разработчиков, с помощью «Торнадо-N» возможно в короткие сроки создать полнофункциональные системы контроля и управления технологическими процессами любой сложности. Одним из комплексных проектов по созданию АСУ стала совместная разработка InfoWatch ARMA и «Модульных систем Торнадо» — АСУ ТП «Торнадо».
Компания InfoWatch предложила для АСУ ТП «Торнадо» стек программных продуктов, которые позволяют защитить систему на всех уровнях. Так, на уровне рабочих станций (АРМ инженера, АРМ оператора) и серверов действует прикладное программное обеспечение InfoWatch ARMA Industrial Endpoint. Оно обеспечивает защиту оборудования от основных угроз и следит за целостностью файлов, контролирует применение внешних носителей (USB-накопители, кассеты, дискеты и диски), а также позволяет сформировать белый список ПО для запуска. Сетевые соединения защищаются межсетевым экраном InfoWatch ARMA Industrial Firewall, который позволяет обнаруживать и блокировать атаки на АСУ ТП и попытки эксплуатации уязвимостей, а также защищаться от несанкционированных действий в промышленной сети. Продукт включён в единый реестр российского ПО, проходит сертификацию во ФСТЭК России (ИТ.СОВ.С4.П3 и ИТ.МЭ.Д4.П3 по четвёртому уровню доверия). Также в состав комплекса входит InfoWatch ARMA Management Console, единый центр управления, сбора и корреляции событий, зафиксированных с помощью двух предыдущих инструментов.
Рисунок 6. Концептуальная схема защиты в проекте АСУ ТП «Торнадо»
Подробнее с продуктом можно ознакомиться на сайте компании.
«Физприбор»
«Физприбор» (ООО «Московский Завод Физприбор») является разработчиком и изготовителем аппаратно-программных средств АСУ ТП, производит контроллеры низовой автоматики, работающие на традиционной жёсткой логике в современном исполнении, а также ПЛК высокого уровня надёжности и комплексы распределённых систем управления. Компания сотрудничает с российскими ИБ-разработчиками; в частности, в 2018 году было заключено соглашение с компанией «ИнфоТеКС» в области кибербезопасности АСУ ТП, охватывающее шифрование, контроль целостности и защиту гиперконвергентных решений в рамках изоляции и мультиарендности.
Также «Физприбор» заключил партнёрское соглашение с ГК «КОРУС Консалтинг», в рамках которого планируется вывод на российский рынок сверхнадёжной платформы для построения систем АСУ ТП. Платформа состоит изо двух компонентов. Первый — облачная программно определяемая распределённая система управления «Вершок» (WhereShock). Она предназначена для объединения данных из подсистем АСУ ТП и ИТ-инфраструктуры, а также событий по информационной безопасности в общей среде. Второй компонент, ядро платформы — «Корешок» (CoreShock), — сетевая микросервисная среда со средствами распределённого управления данными и процессами. Это решение доступно для ОС Linux, QNX, macOS, Windows, Android, iOS, Tizen и других. Платформа обеспечивает возможность корреляционного анализа данных в режиме реального времени, позволяет осуществлять централизованную диспетчеризацию и управление всеми сопрягаемыми подсистемами в едином интерфейсе.
Рисунок 7. Консоль WhereShock
Подробнее с продуктом можно ознакомиться на сайте компании.
Обзор зарубежных средств кибербезопасности, встроенных в АСУ ТП
ABB
ABB является шведско-швейцарской транснациональной компанией, специализирующейся на электротехнике и энергетическом машиностроении. Имеет собственные компетенции в области информационной безопасности, в том числе сотрудничает с профильными поставщиками услуг в этой области:
- Сотрудничество с Forescout расширяет возможности операторов по обнаружению известных и неизвестных угроз для систем управления. Решения eyeInspect и eyeSight от Forescout предлагают клиентам средства для идентификации всех подключённых устройств в сетях систем управления и для извлечения информации в целях централизованного мониторинга и защиты активов. Решения также идентифицируют и обнаруживают уязвимые операционные технологические устройства.
- Чтобы лучше связать данные АСУ ТП с более широкой экосистемой ИТ-безопасности, ABB разработала новое предложение, которое позволяет отправлять события по безопасности от ABB на SIEM-платформу IBM QRadar.
Помимо интеграций со сторонними вендорами компания предоставляет услуги оценки угроз для сетей и компонентов АСУ ТП предприятия, техническое обслуживание, круглосуточный доступ к глобальной команде экспертов по промышленной кибербезопасности, консалтинг в области ИБ, формирование планов аварийного восстановления и белых списков запуска приложений, устранение уязвимостей в системах, обучение персонала, защиту от вредоносных программ на единой платформе ABB Ability Cyber Security Services.
Рисунок 8. Перечень услуг эшелонированной защиты ABB Ability Cyber Security Services
Подробнее с продуктом можно ознакомиться на сайте компании.
Emerson Electric
Крупная транснациональная компания, основанная в 1890 году в США, тоже имеет свой центр компетенций по обеспечению информационной безопасности сетей и систем АСУ ТП. Emerson предлагает следующие средства защиты и услуги:
- Emerson Smart Firewall для применения на границе технологической сети, модуль IPS, специализированные коммутаторы. Отдельно предоставляется решение Firewall IPD, которое устанавливается для контроля трафика в технологической сети, в том числе по MAC-адресам.
- Резервное копирование и восстановление на базе решений Acronis.
- Ведение белых списков приложений и защита конечных точек на базе продуктов McAfee.
- Управление уязвимостями на базе продуктов Microsoft, McAfee, Symantec.
- Оценка и аудит информационной безопасности на предприятии, проектирование и внедрение архитектуры сети и систем защиты информации.
- Реагирование на инциденты, проведение расследований, подготовка плана устранения инцидентов и восстановления.
Стоит отметить сотрудничество с «Лабораторией Касперского» на отечественном рынке. Протестировано и одобрено совместное использование решений KICS for Nodes и KICS for Networks в распределённой системе управления Emerson DeltaV.
Рисунок 9. Межсетевые экраны для сетей АСУ ТП Emerson со встроенными средствами безопасности
Подробнее с продуктом можно ознакомиться на сайте компании.
General Electric Digital
General Electric Digital — одна из ведущих компаний по разработке промышленного программного обеспечения с более чем 21 тыс. клиентов по всему миру. Платформа Predix Edge располагается между сетями АСУ ТП и сетью предприятия, выполняя функции безопасной передачи массива данных для анализа и принятия решений как в сфере информационной безопасности, так и в области ведения бизнес-процессов предприятия. Используя Predix Edge, заказчик получает следующие возможности по обеспечению информационной безопасности критически важного сегмента:
- Сбор данных со множества устройств и IoT.
- Аналитика на основе машинного обучения.
- Встроенная безопасная ОС.
- Подключение к Predix Cloud для комплексного анализа данных и облачной консоли управления.
- Удовлетворение потребностей в мониторинге и реагировании в режиме близком к реальному времени.
Predix обеспечивает безопасную и надёжную передачу данных OT от оборудования, датчиков, HMI / SCADA и архивов, а также ИТ-систем и EAM / CMMS. Доступен сквозной контроль данных и доступа пользователей, соблюдаются нормативные требования — от усиленной обработки информации до зашифрованной её передачи и безопасных облачных операций. Основная цель платформы — безопасная передача данных для других приложений GE Digital: Asset Performance Management (оптимизация производительности активов для повышения надёжности и доступности, минимизации затрат и снижения операционных рисков) и Operations Performance Management (управление производительностью операций для выработки электроэнергии).
Рисунок 10. Концептуальная схема анализа данных в Predix Cloud
Подробнее с продуктом можно ознакомиться на сайте компании.
Honeywell
Американская компания, основанная в 1906 году, является одним из лидеров по разработке систем управления и автоматизации. Honeywell создала собственный центр компетенций по информационной безопасности в области промышленных сред для поддержки собственных партнёров и защиты сторонних компаний в части АСУ ТП. В настоящее время самостоятельно или при поддержке сторонних вендоров компания предоставляет услуги управления безопасностью сетей и компонентов АСУ ТП, защиты конечных точек и межсетевого экранирования.
Комплексное решение Honeywell Forge поставляется по SaaS-модели и позволяет заказчикам оптимизировать производство, снижать риски и повышать уровень информационной безопасности. Honeywell Forge Cybersecurity Suite предлагает пассивные и активные методы защиты, созданные для промышленных операций. Кроме того, программное обеспечение ведёт непрерывный мониторинг рисков для кибербезопасности и оценивает их, что помогает сократить время реагирования на киберугрозы и операционные проблемы в среде АСУ ТП. На базе этого решения построен собственный центр операций по кибербезопасности, оказывающий услуги мониторинга и реагирования на инциденты для клиентов компании по всему миру. На российском рынке в первую очередь идёт тесное взаимодействие с «Лабораторией Касперского», все внедрения проводятся ведущими российскими интеграторами. Также имеется решение Secure Media Exchange (SMX), которое проверяет весь контент на USB-накопителях при помощи механизма обнаружения угроз GARD — запатентованной облачной системы Honeywell, специально разработанной для сред АСУ ТП.
Рисунок 11. Портфель продуктов по кибербезопасности от Honeywell на российском рынке
Подробнее с продуктом можно ознакомиться на сайте компании.
Schneider Electric
Французская компания, основанная в 1836 году, является производителем оборудования для энергетических подкомплексов промышленных предприятий, объектов гражданского и жилищного строительства, ЦОДов. Она нацелена и на российский рынок: в 2017 г. Schneider Electric и «Лаборатория Касперского» подписали соглашение о сотрудничестве, целью которого стали совместные исследования, разработка и постоянное тестирование решений в области кибербезопасности объектов критической инфраструктуры, а в 2019 году соглашение о технологическом партнёрстве в области создания совместных решений для защиты АСУ ТП заключили компании Schneider Electric и Positive Technologies. Их первый совместный программно-аппаратный комплекс будет построен на базе продукта PT Industrial Security Incident Manager View Sensor и индустриального промышленного компьютера Magelis iPC, о чём у нас была отдельная заметка.
Помимо интеграций и партнёрства с российским сегментом рынка ИБ компания имеет и собственные компетенции:
- Защита цепочек поставок предоставляемого ПО для предотвращения программных и аппаратных закладок.
- Консультации по ИБ: политики, процедуры, инвентаризация активов, анализ недочётов, соответствие модели рисков угрозам АСУ ТП.
- Разработка безопасных сетей и систем: эшелонированная защита, безопасная архитектура, управление активами, повышение безопасности систем, интеграция решений.
- Мониторинг событий и инцидентов: межсетевое экранирование, управление угрозами, безопасность устройств, поддержка SIEM для АСУ ТП.
- Работа с персоналом: осведомлённость в области ИБ, обучение профильных инженеров по безопасности АСУ ТП, администраторов безопасности, экспертов повышенного уровня.
- Предоставление услуг обслуживания имеющихся сетей и систем: обновления системы, исправления и доработки в разрезе безопасности, реагирование на инциденты.
В виде отдельного направления Schneider Electric предлагает платформу Cybersecurity Application Platform, включающую в себя множество модулей по кибербезопасности предприятия, а также организацию и защиту системы удалённого доступа — Secure Remote Access (SRA).
Рисунок 12. Семейство устройств от Schneider Electric, имеющих встроенные функции кибербезопасности
Подробнее с продуктом можно ознакомиться на сайте компании.
Siemens
Компания Siemens со штаб-квартирой в Германии является одним из крупнейших производителей электроники, электротехники, оборудования для транспорта, медицины и разнообразных технических направлений производства. Она развивает и предлагает свои компетенции в области информационной безопасности на предприятиях с АСУ ТП как своими силами, так и при участии ИБ-вендоров. В 2019 году Siemens объединила усилия по киберзащите с компанией Fortinet в рамках внедрения межсетевых экранов нового поколения FortiGate и создания безопасной среды управления АСУ ТП в Fortinet Security Fabric.
В разрезе предоставления услуг компания Siemens имеет широкий ряд наработок в области ИБ: защита от вредоносных программ совместно с McAfee и Kaspersky, создание белых списков приложений, администрирование СЗИ через общую консоль управления, защита и проверка целостности программ и запуска ОС, услуги оценки рисков и уязвимостей, комплексный анализ зрелости процессов обеспечения информационной безопасности, консультирование, поддержка при внедрении решений АСУ ТП и средств информационной безопасности. Как было указано ранее, компания предлагает комплекс услуг в своём продукте MindSphere — решении промышленного интернета вещей в рамках модели «IoT как услуга», которое защищает конфиденциальные данные, приложения, операционные системы и инфраструктуру с помощью многоуровневой концепции безопасности. Борьба с киберугрозами на протяжении всего жизненного цикла промышленного IoT подкрепляется ведущими в отрасли сертификатами, стандартами безопасной связи и передовыми практиками.
Рисунок 13. Комплексная схема защиты от компании Siemens для предприятий с АСУ ТП
Подробнее с продуктом можно ознакомиться на сайте компании.
Yokogawa
Корпорация Yokogawa (Yokogawa Electric Corporation) была основана в 1915 году в Японии и с тех пор успешно занимается разработками и инновациями в области промышленной автоматизации и управления технологическими процессами, лабораторного и измерительного оборудования, авионики, а также в ряде иных сегментов. Компания является одним из крупнейших разработчиков и производителей аппаратного и программного обеспечения в области промышленной автоматизации, контрольно-измерительного оборудования, которое завоевало доверие многих заказчиков во всём мире, в том числе в России и странах СНГ.
В эфире AM Live Илья Мухин, руководитель отдела сетевых решений и средств информационной безопасности «Иокогава Электрик СНГ», рассказал, что компания тесно сотрудничает как с иностранными, так и с российскими вендорами в области информационной безопасности, внедряя их решения в свои проекты и пакетно предоставляя услуги и ПО для защиты сетей и систем АСУ ТП. В частности, с компанией Cisco реализованы проекты по межсетевому экранированию, инспекции трафика, разграничению критически важных сред. Совместно с «Лабораторией Касперского» поставляется комплексная услуга защиты на основе KICS — информационная безопасность рабочих станций и серверов АСУ ТП (KICS for Nodes), мониторинг сети (KICS for Networks). «Иокогава Электрик СНГ» предлагает своим заказчикам и партнёрам эксклюзивную услугу по организации индивидуального тестирования на совместимость системного программного обеспечения Yokogawa Electric с антивирусом KICS for Nodes на поддерживаемых версиях операционных систем, а также по инсталляции и настройке модулей этого продукта.
Рисунок 14. Перечень системного программного обеспечения Yokogawa Electric
Подробнее с продуктом можно ознакомиться на сайте компании.
Выводы
Интерес к защите сетей и компонентов АСУ ТП ежегодно растёт, для этого есть весомые основания: цифровизация процессов и систем управления производственными ресурсами, а также беспокойство об аварийной безопасности и отказоустойчивости производства. Требуется уже сейчас принимать комплексные решения по формированию облика информационной безопасности этого важного направления во избежание реальных трагедий, а также в целях экономии средств, снижения нагрузки на экологию, перехода к более эффективным механизмам выработки ресурсов за счёт автоматизации и аудита многих технологических процессов. Важны и поддержка государства в части регулирования этого направления и предоставления субсидий на разработку программных продуктов, и заинтересованность самих ИБ-вендоров.