В условиях тотальной автоматизации процессов на объектах критической информационной инфраструктуры (КИИ) расширяется фронт возможной атаки. Киберпреступники, само собой, прекрасно понимают это и пользуются новыми уязвимыми местами в ходе своих операций. Мы хотим убедить вас в том, что о защите объектов КИИ лучше думать уже на этапе их строительства, а также рассказать об организации превентивных мер.
Введение
Составной частью производства, способного частично работать без участия человека, является АСУ ТП — автоматизированная система управления технологическими процессами. Для обеспечения бесперебойной работы АСУ ТП и защиты от кибератак нужна система защиты информации (СЗИ). Ответом на вызовы сегодняшнего дня стало законодательное определение необходимых мер по обеспечению ИБ в промышленности. С 1 января 2018 года вступил в силу Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Предусмотрены следующие основные этапы построения киберзащиты:
- Категорирование объектов КИИ, в рамках которого определяются их уровни значимости.
- Создание системы защиты информации значимых объектов КИИ.
- Организация взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
В соответствии с законом №187-ФЗ под КИИ понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления. Они внедряются не отдельно, а в рамках промышленных объектов, для которых предназначены.
Жизненный цикл промышленных объектов давно и довольно подробно описан в действующем законодательстве. Отдельной строкой в нём фигурируют вопросы обеспечения промышленной, пожарной, экологической безопасности. Информационная безопасность, в свою очередь, практически полностью обойдена вниманием. Это видно на примере постановления Правительства Российской Федерации от 16 февраля 2008 г. №87 «О составе разделов проектной документации и требованиях к их содержанию», определяющего порядок проектирования промышленных объектов капитального строительства. В этом постановлении отсутствует требование о разработке технических решений по обеспечению информационной безопасности объектов КИИ на этапе их проектирования. Есть только небольшая директива в подразделе «Сети связи» об описании технических решений по защите информации (при необходимости).
«Подводные камни»
В результате к созданию СЗИ приступают либо на уже действующем производстве, либо при сдаче промышленного объекта в эксплуатацию — и натыкаются на следующие подводные камни:
- Необходимость технологических остановов производства для реализации мер по обеспечению информационной безопасности.
Процесс внедрения СЗИ в той или иной степени будет влиять на работоспособность АСУ ТП. Поскольку незапланированная остановка промышленного объекта может привести к катастрофическим последствиям, то внедрение системы защиты информации и её интеграция с АСУ ТП, как правило, должны производиться во время технологических перерывов в работе производства. Как следствие, длительность внедрения возрастает.
Кроме того, всегда существует риск некорректной работы АСУ ТП после запуска. Поэтому для таких случаев разрабатывается «план отката» по возвращению всех выполненных настроек АСУ ТП к первоначальному состоянию — до установки СЗИ — и (или) их отключению. Затем выявляются причины сбоев, проводится корректировка настроек и ожидается следующий технологический останов для новой попытки. Очевидно, что внедрение СЗИ на действующем производстве — более трудоёмкое и длительное занятие, чем её создание на строящемся объекте.
- Совместимость СЗИ и АСУ ТП.
Как уже говорилось выше, сбой в работе АСУ ТП может привести к гораздо более серьёзным последствиям, чем нарушение функционирования офисной информационной системы. Поэтому важно при защите АСУ ТП использовать средства защиты информации (СрЗИ), которые прошли тестирование на совместимость с конкретной автоматизированной системой и имеют соответствующий сертификат. Такого подхода придерживаются и производители АСУ ТП. Они не готовы гарантировать стабильную работу системы, если будут устанавливаться решения, не проверенные на совместимость с ней. Если же такие СрЗИ всё-таки будут установлены, то разработчики могут снять АСУ ТП с технической поддержки.
К сожалению, подобные сертификаты есть у очень небольшого количества защитных решений. Чтобы подтвердить совместимость, необходимо провести тестирование на конкретном объекте, что практически невозможно сделать на уже действующем производстве. В этом случае владелец промышленного объекта оказывается перед выбором: либо устанавливать СрЗИ, не согласованные с производителем АСУ ТП, и терять техническую поддержку, либо оставлять систему незащищённой. Как показывает практика, обычно выбирают второе.
- Высокая стоимость обеспечения информационной безопасности на действующем промышленном объекте.
При организации киберзащиты промышленного объекта очень важна правильно спроектированная и внедрённая сетевая инфраструктура, которая даёт возможность сегментировать сети, настраивать правила доступа между отдельными сегментами, обеспечивать резервирование критически важных узлов.
Когда СЗИ внедряется на действующем объекте, часто оказывается, что сетевая инфраструктура не подразумевает ни резервирования узлов, ни возможности настройки правил доступа между сегментами и (или) VLAN. Порой банально отсутствуют свободные порты для подключения межсетевых экранов, криптографических шлюзов. В этой ситуации необходимо заново выполнить проектирование ЛВС, закупку оборудования и последующее внедрение. И опять необходимо отметить, что создание СЗИ на действующем производстве потребует длительного внедрения (изменение сетевой инфраструктуры невозможно без остановов производства), а также ещё и дополнительного финансирования.
- Размещение персонала для обслуживания СЗИ
Для обеспечения функционирования СЗИ необходимы соответствующие специалисты. Однако разместить дополнительный персонал на территории действующего промышленного объекта крайне сложно, если это не было предусмотрено заранее. Далеко не на каждом производстве можно создать новые рабочие места, а в ряде случаев — и места проживания, если объект расположен удалённо.
Эти «подводные камни» — лишь некоторые трудности, с которыми приходится сталкиваться специалистам по ИБ при внедрении СЗИ на действующем производстве.
Выход есть: защита объекта КИИ на этапе его строительства
Вначале стоит отметить, что наиболее эффективным подходом к изменению ситуации было бы внесение ФСТЭК России законодательной инициативы по дополнению постановления Правительства Российской Федерации от 16 февраля 2008 г. №87 «О составе разделов проектной документации и требованиях к их содержанию». В данном постановлении важно было бы отметить, что если предприятие-заказчик является субъектом критической информационной инфраструктуры, то на стадии проектирования любого объекта капитального строительства ему необходимо:
- провести выявление и категорирование объектов КИИ, определив их значимость,
- провести моделирование угроз безопасности,
- разработать технические решения для создания систем защиты информации значимых объектов КИИ.
Указанные технические решения должны быть описаны в рамках особого раздела проектной документации — «Информационная безопасность». Разработка технических решений должна осуществляться в соответствии с требованиями приказов ФСТЭК России №235 и №239.
Поскольку данная инициатива пока не была реализована, хорошей практикой у крупных российских компаний стал следующий подход: на уровне политики компании принимается решение об обязательном включении раздела «Информационная безопасность» в состав проектной документации на реконструкцию и строительство промышленных объектов. Требование о наличии раздела «Информационная безопасность» прописывают в задании на проектирование объекта, а требования по обеспечению ИБ оформляются в технических требованиях. При этом указанный подход применяется не только для объектов КИИ, но и в целом для всех систем АСУ ТП, что позволяет создать комплексную систему защиты информации в масштабах всего предприятия.
Вне зависимости от того, как организация пришла к необходимости разработки разделов «Информационная безопасность» на этапе проектирования промышленных объектов, рекомендуется следовать лучшим практикам, наработанным в данной области.
В первую очередь на этапе проектирования необходимо организовать взаимодействие разработчиков раздела «Информационная безопасность» с их коллегами, отвечающими за секции «АСУ ТП», «MES-система» и «Локальная вычислительная сеть», а также с производителями АСУ ТП. Важно сделать это не на завершающей стадии, а на этапе создания разделов, потому что все они тесно связаны между собой. Такое взаимодействие позволит, например, в рамках раздела «Локальная вычислительная сеть» сразу правильно спроектировать сетевую инфраструктуру, учитывающую вопросы сегментации, развёртывания VLAN, резервирования критических узлов, наличия SPAN-портов для подключения систем обнаружения вторжений и средств мониторинга ИБ.
Сотрудничество с разработчиками АСУ ТП на начальном этапе позволит обсудить ограничения СЗИ, а также определить, какие решения разработчикам систем АСУ ТП не стоит включать в свои разделы. Например, разработчику каждого отдельного компонента АСУ ТП не нужно вводить собственное средство антивирусной защиты или коммутационное оборудование, как это происходит зачастую на практике.
При такой организации работ появляется возможность провести тестирование совместимости систем АСУ ТП и средств защиты информации, чтобы нивелировать проблемы в будущем. Как минимум рекомендуется организовать взаимный обмен проектными решениями между разработчиками разделов «АСУ ТП» и «Информационная безопасность». Это позволит получить подтверждение совместимости конкретных СрЗИ со спроектированными АСУ ТП, что в результате обеспечит надёжную работу промышленного объекта. Также можно будет реализовать единую политику защиты для территориально распределённых промышленных объектов, на которых функционируют АСУ ТП.
Помимо этого на этапе проектирования возможно обосновать и согласовать наличие специалистов для работы со средствами защиты. Будут заранее определены и заложены в проект необходимая численность персонала и режим его работы, спланированы рабочие места и т.д.
Выводы
Крайне сложно создавать систему защиты информации на действующем промышленном объекте, так как это связано с проблемами технологических остановов производства и интеграции СЗИ с АСУ ТП, непредсказуемой длительности внедрения и большой стоимости таких работ. При этом если работы по созданию СЗИ начаты на этапе проектирования защищаемого объекта, то все эти вопросы можно решить в результате взаимодействия между разработчиками соответствующих систем. Тогда промышленный объект сдаётся в эксплуатацию сразу в защищённом исполнении.
Авторы:
Руслан Зубаиров, заместитель руководителя отдела информационной безопасности группы компаний InnoSTage
Вадим Ардашев, заместитель руководителя отдела информационной безопасности группы компаний InnoSTage