CC BY
73
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ СИСТЕМ
А.Л. Липатов
Научный руководитель - д.т.н., профессор, Ю.А. Гатчин Э.В. Белов, М.В. Масленников Научный руководитель - д.т.н., профессор, А.Г.Коробейников
В статье производится анализ существующих проблем обеспечения информационной безопасности существующих автоматизированных систем управления и рассматриваются основные специфические виды угроз на данные системы.
Введение
Автоматизированные системы управления (АСУ и АСУТП) в настоящее время используются в большинстве отраслей промышленности, в нефти и газодобыче, на электростанциях и железных дорогах, на пивоварнях и лыжных курортах. В мире эксплуатируются миллионы промышленных систем (ПС), стоимость которых измеряется тысячами и миллионами долларов США. Степень зависимости критической инфраструктуры государства от таких систем неуклонно возрастает, и вопросы обеспечения их информационной безопасности приобретают первостепенное значение.
В отличие от других видов автоматизированных информационных систем, ПС, особенно те, которые используются для управления критической инфраструктурой, имеют ряд особенностей, обусловленных их особым назначением, условиями эксплуатации, спецификой обрабатываемой в них информации и требованиями, предъявляемыми к функционированию. Главной же особенностью ПС является то, что с их помощью в автоматическом, либо полуавтоматическом, режиме в реальном времени осуществляется управление физическими процессами и системами, от которых непосредственным образом зависит наша безопасность и жизнедеятельность: электричество, связь, транспорт, финансы, системы жизнеобеспечения, атомное и химическое производство и т.п.
Обеспечение информационной безопасности ПС требует особого подхода, учитывающего эти особенности. Для того чтобы выработать такой подход, необходимо, прежде всего, оценить серьезность проблемы в целом, затем, опираясь на накопленную статистику инцидентов, подвергнуть тщательному анализу специфические для ПС угрозы и уязвимости и на основании этого анализа определить особые требования к режиму обеспечения информационной безопасности критической инфраструктуры.
Угрозы безопасности промышленных систем
ПС эволюционировали от экзотических программных и аппаратных средств в 70-х до вполне современных систем, в которых используются стандартные IBM-совместимые ПК, операционные системы семейства Microsoft Windows, сетевые протоколы TCP/IP, Web-браузеры, доступ в Интернет. Множество угроз в отношении этих систем значительно расширилось благодаря такой стандартизации, а также благодаря распространенной практике подключения промышленных систем к ЛВС организации и использованию в них технологий беспроводного доступа.
Умышленные угрозы в отношении ПС, в зависимости от того, кто выступает в качестве источника угрозы, можно разделить на следующие основные группы.
1. Вредоносное ПО. ПС, как и любые другие ИТ системы, потенциально подвержены угрозам со стороны компьютерных вирусов, сетевых червей, троянских программ и программ шпионов.
2. Инсайдеры. Внутренние пользователи, хорошо знающие систему изнутри, как показывает практика, представляют собой одну из основных угроз. Инсайдер может
умышленно повредить оборудование или программное обеспечение. Администраторы и инженеры, обслуживающие систему, могут также неумышленно нанести вред ее функционированию, допустив ошибку в настройках системы или нарушение правил обеспечения безопасности.
3. Хакеры. Аутсайдеры могут быть заинтересованы в исследовании возможности получения доступа и контроля над системой, мониторинге трафика и реализации атак на отказ в обслуживании.
4. Террористы. Это наиболее серьезная угроза, создающая основные различия между системами, относящимися к критической инфраструктуре и обычными ИТ системами. Террористы заинтересованы в том, чтобы вывести систему из строя, нарушить процессы мониторинга и управления, либо получить контроль над системой и нанести как можно больший вред критической инфраструктуре.
Однако в критичных отраслях, преимущественно использующих ПС, отсутствуют два основных мотивирующих фактора для киберпреступности. Это экономические стимулы, к которым относятся кредитные карты и электронные счета, лежащие в основе многих компьютерных преступлений, и коммерческие тайны, являющиеся основной целью промышленного шпионажа.
Кибератаки на промышленные системы
Существует большое количество зарегистрированных инцидентов безопасности, затрагивающих системы управления критической инфраструктурой. В ряде научно-исследовательских институтов, ФРБ и других организациях ведется соответствующая статистика. Согласно этой статистике, в США на ПС осуществляется не менее 100 ки-бератак в год и существует тенденция к непрерывному увеличению их числа. Зафиксированы все категории кибератак за исключением кибертерроризма.
Анализ текущей ситуации показывает, что хотя теоретически и существует возможность электронных вторжений в критичные системы управления, создающих серьезные, в том числе и физические, угрозы безопасности, получение контроля над такими системами извне является крайне маловероятным событием. В настоящее время реальность такова, что легче уничтожить цель путем физического воздействия, нежели поразить ее путем взлома компьютерной системы.
Кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей, массовыми разрушениями и другими катастрофами. В наихудшем сценарии хорошо спланированная массированная кибератака может временно вывести из строя системы телекоммуникаций в густо населенных районах [1].
Ядерный завод в штате Огайо функционировал в автономном режиме в течении года после того, как сетевой червь SQL Slammer привел к отключению системы отображения периметра безопасности на пять часов и заводского компьютера, используемого для мониторинга производственного процесса, на шесть часов. Для обеих систем были предусмотрены дублирующие аналоговые системы, которые не пострадали. Заводская производственная сеть была непосредственно подключена к корпоративной сети, в которую «червь» проник по удаленному каналу из партнерской сети.
Показательным примером кибератаки со стороны инсайдера может послужить дело Вайтека Бодена, приговоренного к двум годам лишения свободы за причинение умышленного ущерба канализационной системе Совета австралийского графства Ма-ручи. Боден работал контролером в компании, которая устанавливала данную систему, включавшую 150 насосных станций. Станции обменивались данными между собой и с центральным компьютером при помощи локальных процессоров. Когда проект был завершен, Боден уволился из компании и попытался устроиться на работу к бывшему за-
казчику, но получил отказ. После этого начались проблемы на насосных станциях. Постепенно стало ясно, что причина заключается не в системных сбоях. Система сигнализации отключалась, связь неожиданно обрывалась, насосы не включались в нужное время, - в результате происходил выброс нечистот. Боден проделывал все это из собственного автомобиля при помощи ноутбука, радиопередатчика и локального процессора, позаимствованного у бывшего работодателя.
Примером хакерской атаки на критическую инфраструктуру США может служить удаленный взлом в 2001 году компьютерной сети Независимого системного оператора Калифорнии, управляющего электросетью штата. Хотя тогда хакерам не удалось получить доступ к действующей системе управления электросетью, они имели доступ к корпоративной сети в течение 17 дней. Намерения хакеров и их происхождение так и остались невыясненными [2].
Уязвимости промышленных систем
На начальном этапе развития в ПС использовалось малоизвестное специализированное аппаратное и программное обеспечение, а их сетевое взаимодействие с внешним миром было сильно ограничено. Круг возможных угроз был слишком узок, поэтому внимания вопросам информационной безопасности со стороны разработчиков и владельцев таких систем практически не уделялось. Со временем разработчики переходят на стандартные платформы, а владельцы ПС, с целью повышения эффективности управления, подключают их к смежным системам. Существующая тенденция к повышению открытости и стандартизации ПС повышает их уязвимость к кибератакам, однако среди экспертов не существует единого мнения относительно того, насколько сложной для аутсайдера задачей является получение доступа к ПС.
В системах критической инфраструктуры существуют те же самые уязвимости, что и в большинстве обычных ИТ систем. Кроме этого, особенности промышленных систем, обусловливают существование в них уникальных уязвимостей.
1. Человеческий фактор. Эксплуатацией промышленных и корпоративных систем обычно занимаются разные подразделения. Персонал ПС, как правило, достаточно далек от вопросов обеспечения информационной безопасности, в его составе нет соответствующих специалистов, а рекомендации ИТ персонала на него не распространяются. Основной задачей остается решение технологических проблем, возникающих в ходе эксплуатации системы, обеспечение ее надежности и доступности, повышение эффективности и минимизация накладных расходов.
2. Уязвимости операционных систем. Уязвимости операционных систем в равной степени свойственны и ПС, и корпоративным системам, однако установка обновлений для программной части в ПС на регулярной основе зачастую не выполняется. Главной заботой администратора такой системы является ее бесперебойная работа. Установка предварительно не протестированных программных коррекций может повлечь серьезные проблемы в функционировании, а на полноценное тестирование обычно нет ни времени, ни средств.
3. Слабая аутентификация. Использование общих паролей является обычной практикой для ПС. Благодаря этому у персонала пропадает ощущение подотчетности за свои действия. Системы двухфакторной аутентификации используются довольно редко, а ключевая информация зачастую передается по сети в открытом виде.
4. Удаленный доступ. Для управления ПС довольно часто используется удаленный доступ по коммутируемым каналам или по VPN каналам через сеть Интернет. Это может привести к серьезным проблемам с безопасностью.
5. Внешние сетевые подключения. Отсутствие соответствующей нормативной базы и соображения удобства использования порой приводят к тому, что между ПС и кор-
поративными системами создаются сетевые подключения. Можно услышать даже рекомендации по поводу использования «комбинированных» сетей, позволяющих упростить администрирование и улучшить безопасность.
6. Средства защиты и мониторинга. В отличие от корпоративных систем, использование систем определения вторжения, брандмауэров и антивирусов в ПС не является распространенной практикой, а для анализа журналов аудита безопасности обычно не остается времени.
7. Беспроводные сети. В ПС часто используются различные виды беспроводной связи, включая протоколы 802.11, без использования достаточных возможностей по защите.
8. Удаленные процессоры. Определенные классы удаленных процессоров, используемых в ПС для контроля технологических процессов, содержат известные уязвимости. Производительность этих процессоров не всегда позволяет реализовать функции безопасности. Кроме того, после установки их стараются не трогать годами, на протяжении которых они остаются уязвимыми.
9. Программное обеспечение. Программное обеспечение ПС обычно не содержит достаточного количества функций безопасности. Кроме того, оно не лишено архитектурных слабостей.
10. Раскрытие информации. Нередко владельцы ПС сознательно публикуют информацию об их архитектуре. Консультанты и разработчики частенько делятся опытом и раскрывают информацию о бывших клиентах.
11. Физическая безопасность. Удаленные процессоры и оборудование ПС могут находиться за пределами контролируемой зоны. В таких условиях они не могут физически контролироваться персоналом, и единственным механизмом физической защиты становится использование железных замков и дверей, а такие меры уж точно не являются серьезным препятствием для террористов.
Таким образом, существует значительное количество уязвимостей, являющихся специфичными для ПС. Эти уязвимости обуславливают особые требования по безопасности и особые режимы эксплуатации таких систем.
Мероприятия по защите промышленных систем
Формирование взглядов и приоритетов в области обеспечения информационной безопасности ПС критической инфраструктуры хорошо прослеживается на примере США - страны, в наибольшей степени подверженной угрозам кибертерроризма. В 1997 году на свет появился отчет Президентской комиссии по защите критической инфраструктуры, который послужил точкой отсчета для начала широкомасштабных действий, предпринимаемых правительством США с целью повышения защищенности физической, сетевой и информационной инфраструктуры государства. В 1998 году указ Президента США №63 (РББ63) определил понятие критической инфраструктуры как «физические и информационные системы, необходимые для обеспечения минимально допустимого уровня функционирования экономики и правительства». К критической инфраструктуре были отнесены: телекоммуникации, энергетика, банковская и финансовая система, транспорт, водные системы и аварийные службы. РББ63 также определил основные элементы государственной стратегии в области защиты критической инфраструктуры, к числу которых относятся:
• важность сотрудничества между общественным и частным сектором;
• головные федеральные агентства для каждого сектора критической инфраструктуры;
• координационные группы для координации усилий федеральных агентств и промышленных групп;
• система оповещения и обмена информацией в рамках Национального центра защиты инфраструктуры (NIPC);
• системы обмена информацией для каждого сектора промышленности, известные как Центры сбора и анализа информации (ISAC);
• требование создания «Плана обеспечения безопасности национальной инфраструктуры», устанавливающего контрольные точки для анализа уязвимостей и подготовки планов их ликвидации в каждом секторе промышленности.
В 2001 году после известных событий 11 сентября был выпущен «Акт о защите критической инфраструктуры», а в 2002 году - «Акт о безопасности Отечества», в соответствии с которым в США был образован Департамент национальной безопасности (DHS) и учреждена должность Директора по анализу информации и защите инфраструктуры. В 2003 году Президентом США была утверждена «Национальная стратегия обеспечения безопасности киберпространстра» (5). Этот объемный документ адресован широкой американской общественности и направлен на расширение взаимодействия и консолидацию усилий различных слоев общества, государственных, общественных и частных организаций в деле противодействия кибертерроризму. Основная часть Стратегии расставляет приоритеты по созданию системы ответных мер, программы противодействия угрозам и уязвимостям, программы обучения и повышения осведомленности, национальной и международной кооперации. Повышение защищенности ПС было объявлено национальным приоритетом.
С этого времени в мероприятиях по обеспечению безопасности ПС задействованы разработчики и владельцы этих систем, консультанты и научно-исследовательские организации, независимые ассоциации и государственные учреждения. Для отработки технических решений по защите ПС были созданы тестовые лаборатории (например, National SCADA Test Bed). В результате было выпущено и продолжается разработка значительного количества стандартов и руководств по различным аспектам обеспечения безопасности ПС.
Компанией Digital Bond Inc. был разработан «Профиль защиты центра управления для ПС управления», в котором формализуется перечень из 22 видов угроз в отношении центра управления ПС, на основании данного перечня формулируются 28 задач защиты, исходя из которых определяется 55 компонентов функциональных требований безопасности и 17 компонентов требований к гарантированности оценки в соответствии с Общими Критериями (4). Этой компанией был также разработан набор сигнатур сетевых атак для протоколов Modbus TCP и DNP3, используемых в ПС. Эти сигнатуры изначально были разработаны для системы Snort в рамках исследовательского проекта, финансируемого Департаментом национальной безопасности США. Поддержка сигнатур была добавлена в соответствующие продукты Symantec и ISS, являющихся лидерами в этом сегменте рынка информационной безопасности. Компания Cisco модифицировала эти сигнатуры для работы на своей платформе (они были включены в S198 Signature Update для Cisco IDS версии 4.1 и IPS версии 5.0). Продолжается исследовательская работа по созданию механизмов защиты и для других распространенных сетевых протоколов, используемых в ПС.
В ходе планирования и реализации организационно-технических мер по защите ПС необходимо, прежде всего, опираться на международные стандарты ИБ, наиболее востребованным из которых в настоящее время является ISO/IEC 17799:2005. Описанные в этом стандарте механизмы контроля в полной мере применимы и к ПС. Учитывая повышенные требования по защите критической инфраструктуры, в дополнение к существующим международным стандартам, определяющим только базовые механизмы безопасности, необходимо применять также специализированные стандарты и руководства, появившиеся на свет благодаря широкомасштабным мероприятиям по защите критической инфраструктуры, проводимым в США, такие как «Urgent Action Standard
1200 - Cyber Security», Cryptographie Protection of SCADA Communications, Part 1: Background, Policies, and Test Plan» и многие др. [2].
Заключение
Защита ПС критической инфраструктуры от кибератак постепенно становится одним из высших приоритетов в обеспечении государственной безопасности. Когда повышенный уровень террористической угрозы сочетается со стремительно возрастающим уровнем зависимости общества от ПС, этот вопрос стоит особенно остро и требует от правительства принятия скоординированных всеобъемлющих мер. И хотя кибертеррористических актов на сегодня фактически зафиксировано не было, угроза представляется вполне реальной.
Большинству ПС присущи уязвимости, характерные и для других ИТ систем, а также уязвимости, являющиеся для них специфическими. Для обеспечения адекватной защиты таких систем их разработчики должны будут предпринять значительные усилия по повышению уровня защищенности своих продуктов, встраиванию в них функций безопасности в соответствии с требованиями специализированных профилей защиты с последующей их сертификацией. Владельцы и организации, эксплуатирующие ПС, должны будут изменить свое отношение к вопросам информационной безопасности и существующую систему приоритетов в этой области.
Важнейшая роль в решении вопросов безопасности ПС критической инфраструктуры будет принадлежать правительству, органам государственной безопасности и антитеррористическим структурам. Для проведения соответствующих научно-исследовательских работ, разработки стандартов, методологий и средств защиты ПС потребуются значительные объемы государственного финансирования, масштабные государственные программы и правовое регулирование.
Литература
1. Астахов А. Реалии и мифы кибертерроризма. // Открытые системы. 2003. № 5.
2. Andrew Hildick-Smith. Security for Critical Infrastructure SCADA Systems, GSEC Practical Assignment, Version 1.4c, Option 1, 2005.
3. Gellman, Barton, Cyber-Attacks by Al Qaeda Feared, Washington Post, 27 Jun 2002.
4. Digital Bond Inc., Control Center Protection Profile for Industrial Control Systems Version 0.50, Draft, 17 Feb 2004.
5. The National Strategy To Secure Cyberspace, Feb 2003.
