DOI: 10.18454/IRJ.2016.53.016 Вериго А.А.1, Цапко Г.П.2, Каташев А.С.3
1 Аспирант, кафедра автоматики и компьютерных систем,
2доктор технических наук, профессор, 3аспирант, кафедра автоматики и компьютерных систем, Национальный исследовательский Томский политехнический университет ОЦЕНКА УЯЗВИМОСТЕЙ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ
Аннотация
Определены факторы и специфика использования автоматизированных систем управления технологическими процессами в Российской Федерации. Проведен анализ основных нормативных подходов к обеспечению информационной безопасности автоматизированных систем управления технологическими процессами. Выявлены сложности обеспечения информационной безопасности при использовании автоматизированных систем управления технологическими процессами. Проведена систематизация рисков уязвимости автоматизированных систем управления технологическими процессами. Приведены примеры практических разработок в области оценки уязвимости автоматизированных систем управления технологическими процессами на промышленных предприятиях в различных отраслях экономики.
Ключевые слова: автоматизированная система управления технологическими процессами, промышленный объект, риск, уязвимость, информационная безопасность.
Verigo A.A.1, Tsapko G.P.2, Katashev A.S.3
Postgraduate student, Department of Automation and Computer Systems,
2PhD in Engineering, Professor, 3postgraduate student, Department of Automation and Computer Systems, National Research Tomsk Polytechnic University VULNERABILITY ASSESSMENT OF AUTOMATED CONTROL SYSTEMS PROCESSES
Abstract
The factors and the specific use of automated process control systems in the Russian Federation. The analysis of the main regulatory approaches to information security of automated process control systems. Revealed the complexity of ensuring information security in the use of automated process control systems. The systematization of the risks of vulnerability of automated process control systems. Examples ofpractical developments in the field of assessing the vulnerability of automated process control systems in industrial enterprises in various sectors of the economy.
Keywords: automated process control system, industrial object, risk, vulnerability, information security.
В современных условиях широкое развитие при осуществлении производственной деятельности получили автоматизированные системы управления технологическими процессами (АСУ ТП). Ранее данное понятие применялось в основном для характеристики деятельности крупных промышленных предприятий, однако сегодня технический прогресс привел к тому, что АСУ ТП используются не только на производстве, но и в различных системах, не имеющих прямого отношения к производству (например, системы жизнеобеспечения зданий и сооружений, системы управления энергообеспечением и др.), активно утверждаясь в повседневной жизни современного человека.
Ядром АСУ ТП выступает программное обеспечение (ПО), которое использует информацию специализированных контроллеров, датчиков и исполнительных механизмов с применением диспетчеризации управления на основе коммутационных сетей. Особенность современных АСУ ТП заключается в том, что они выступают не закрытой и изолированной от внешнего воздействия системой, а широко используют общие технологии передачи информации (TCP/IP со специализированными прикладными протоколами верхнего уровня).
Благодаря развитию прикладных ИТ-решений и интернет-технологий АСУ ТП в последнее время вышли на принципиально новый уровень своего развития. Вместе с тем, новый этап автоматизации технологических процессов породил и появление определенных проблем, связанных с возникновением серьезных уязвимостей АСУ ТП. В результате сегодня АСУ ТП часто становятся объектом для различного рода злоумышленников и проведения кибератак.
Во многом это объясняется тем, что программные компоненты систем, управляющих производством, транспортом, водоснабжением и энергообеспечением, находятся в свободном доступе в сети Интернет. Кроме этого увеличение количества организаций, внедряющих АСУ ТП, при ограниченном числе производителей приводит к ситуации, когда одна и та же базовая платформа может применяться для управления технологическими процессами различных объектов в самых разных отраслях экономики.
Поэтому важной и актуальной выступает задача оценки уязвимости АСУ ТП и обеспечения ее защиты от внешних и внутренних угроз. Сложность решения данной задачи обусловлена рядом факторов и спецификой использования АСУ ТП в России:
- невозможностью локализации АСУ ТП от общей информационной инфраструктуры предприятия, что приводит к отсутствию возможности полной изоляции системы от внешних воздействий, напрямую несвязанных с организацией и управлением технологическими процессами;
- универсальностью используемых в различных АСУ ТП технологий и протоколов, а значит, широкими возможностями нарушителя по изучению возможностей и способов проникновения;
- широким использование на отечественных предприятиях иностранных разработок и ПО, а также применением отдельных элементов АСУ ТП, содержащихся в открытом доступе в сети Интернет, что не позволяет в полной мере контролировать вопросы технического обеспечения безопасности системы и увеличивает риски взлома со стороны внешних нарушителей.
При этом важно учитывать, что в случае возникновения аварийных ситуаций на технологических системах ввиду внутренних сбоев и внешних воздействий стоимость ущерба будет значительной, что требует анализа угроз безопасности информации в действующей сети управления технологическими процессами и постоянного совершенствования защиты АСУ ТП.
В отношении определения требований к обеспечению защиты информации в АСУ ТП критически важных и потенциально опасных объектов, а также промышленных объектов, которые представляют повышенную опасность для жизни или здоровья людей и для окружающей природной среды наиболее важным выступает приказ ФСТЭК России от 14 марта 2014 года № 31 [1]. Данный документ определяет трехуровневую классификацию АСУ ТП, что полностью совпадает с принятой на критически важных объектах трехуровневой классификацией уровней опасности, уровней антитеррористической защищенности и т.п.
Кроме этого вопросы защиты информации, отраженные во внутренних документах, разрабатываемых на конкретном промышленном предприятии, должны охватывать, в том числе, и области анализа угроз безопасности информации в АСУ ТП и соответствующих рисков их реализации.
Сложности обеспечения информационной безопасности в АСУ ТП можно представить следующим образом:
1) технические:
- структурные, определяемые набором элементов АСУ ТП;
- инфраструктурные, определяемые спецификой организации информационной сети;
2) организационные:
- возможности обеспечения допуска внутренних пользователей и контроля их действий;
- возможности обеспечения допуска внешних пользователей и контроля их действий;
- возможности контроля отдельных операций, которые могут быть отданы на аутсорсинг (особенно актуально для облачных вычислений);
3) юридические: соответствие национальному (международному) законодательству, действующим нормативным требованиям и стандартам;
4) специфические, определяемые конкретным технологическим процессом, деятельностью предприятия, отношением к определенной отрасли экономики и др.
Анализ различных экспертных мнений [2-5] позволил систематизировать основные риски уязвимости АСУ ТП, в том числе и при использовании облачных структур (таблица).
Таблица - Риски уязвимости АСУ ТП (включая использование структуры облачных вычислений)
Риск Последствия Противодействие
Использование открытых компонентов, в том числе и иностранных производителей Высокий риск внешнего вторжения, низкая защищенность системы Тщательный подход к выбору компонентов, выбор производителя, аутсорсинг при организации АСУ ТП
«Привязка» к определенной системе компонентов или производителю Невозможность или сложность использования других компонентов, зависимость от конкретного производителя компонентов Тщательный подход к выбору компонентов и производителя, создание собственных компонентов
Потеря контроля над данными / инфраструктурой Отсутствие возможности обеспечения должного уровня безопасности Проведение аудитов безопасности, мониторинг угроз и инцидентов
Инсайдеры внешние Кража и/или изменение информации, вирусная атака Многофакторная аутентификация, шифрование данных и др.
Инсайдеры внутренние Кража и/или изменение информации Ограничение доступа, шифрование данных, обезличивание / маскирование информации и др.
Деятельность облачного провайдера и других пользователей Несанкционированный доступ к информации, остановка технологических и бизнес-процессов и др. Тщательный подход к выбору провайдера
Распределенная атака на отказ в обслуживании (ББо8) Невозможность получить доступ к сервисам, остановка бизнес-процессов Выбор ББо8-устойчивого провайдера, работа с несколькими провайдерами
Необходимо отметить, что на сегодняшний день уже существуют отдельные практические разработки в области оценки уязвимостей АСУ ТП на различных отечественных предприятиях в разных отраслях экономики. Так, например, С.В. Кирсанов [6] предлагает метод оценки угроз информационной безопасности АСУ ТП газовой отрасли на основе использования системы оценки уязвимостей СУ88. Данное предложение нашло практическое применение в деятельности ООО «Газпром трансгаз Томск».
Несомненно, что в дальнейшем поиск возможностей оценки уязвимости АСУ ТП различных промышленных объектов, прежде всего, критически важных и потенциально опасных объектов, а также тех, которые представляют
повышенную опасность для жизни или здоровья людей и для окружающей природной среды, будет привлекать внимание как отечественных теоретиков, так и практиков.
Таким образом, нами определены факторы и специфика использования АСУ ТП в Российской Федерации, проведен анализ основных нормативных подходов к обеспечению информационной безопасности АСУ ТП. В процессе исследования выявлены сложности обеспечения информационной безопасности при использовании АСУ ТП, а также проведена систематизация рисков уязвимости АСУ ТП. Приведены примеры практических разработок в области оценки уязвимости АСУ ТП на промышленных предприятиях в различных отраслях экономики.
Список литературы/ References
1. Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» // Российская газета. - 2014. - 6 августа.
2. Анализ защищенности промышленных систем (АСУ ТП, SCADA) // Digital Security. URL: https://dsec.ru/services/audit/asutp (дата обращения 07.10.2016).
3. Грицай Г. [и др.] Безопасность промышленных систем в цифрах v2.1* / Г. Грицай, А. Тиморин, Ю. Гольцев, Р. Ильин, С. Гордейчик, А. Карпин // Positive Technologies. URL: https://goo.gl/Ux9DzP (дата обращения 07.10.2016).
4. Обеспечение информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП) // ООО «УЦСБ». URL: http:// https://goo.gl/rxVDyk (дата обращения 07.10.2016).
5. Шахновский Г. Безопасность Систем SCADA и АСУТП // Мост Безопасности. URL: http://www.security-bridge.com/biblioteka/stati_po_bezopasnosti/bezopasnost_sistem_scada_i_asutp (дата обращения 07.10.2016).
6. Кирсанов С.В. Метод оценки угроз информационной безопасности АСУ ТП газовой отрасли // Доклады ТУСУР. - 2013. - № 2(28). - С. 112-115.
Список литературы на английском языке / References in English
1. Prikaz FSTJeK Rossii ot 14.03.2014 № 31 «Ob utverzhdenii Trebovanij k obespecheniju zashhity informacii v avtomatizirovannyh sistemah upravlenija proizvodstvennymi i tehnologicheskimi processami na kriticheski vazhnyh ob#ektah, potencial'no opasnyh ob#ektah, a takzhe ob#ektah, predstavljajushhih povyshennuju opasnost' dlja zhizni i zdorov'ja ljudej i dlja okruzhajushhej prirodnoj sredy» [On approval of requirements to ensure the protection of information in automated production and process control systems to mission-critical sites, potentially dangerous objects and objects that represent an increased danger to life and health and to the environment] // Rossijskaja gazeta. - 2014. - 6 avgusta [in Russian]
2. Analiz zashhishhennosti promyshlennyh sistem (ASU TP, SCADA) [Analysis of the security of industrial systems (PCS, SCADA] // Digital Security. URL: https://dsec.ru/services/audit/asutp [in Russian]
3. Gricaj G., Timorin A., Gol'cev Ju., Il'in R., Gordejchik S., Karpin A. Bezopasnost' promyshlennyh sistem v cifrah v2.1* / G. Gricaj, A. Timorin, Ju. Gol'cev, R. Il'in, S. Gordejchik, A. Karpin [Safety of industrial systems at a Glance v2.1*] // Positive Technologies. URL: https://goo.gl/Ux9DzP [in Russian]
4. Obespechenie informacionnoj bezopasnosti avtomatizirovannyh sistem upravlenija tehnologicheskimi processami (ASU TP) [Ensuring information security of automated process control systems (PCS)] // OOO «UCSB». URL: http:// https://goo.gl/rxVDyk [in Russian]
5. Shahnovskij G. Bezopasnost' Sistem SCADA i ASUTP [Safety Systems SCADA and PCS] // Most Bezopasnosti. URL: http://www.security-bridge.com/biblioteka/stati_po_bezopasnosti/bezopasnost_sistem_scada_i_asutp [in Russian]
6. Kirsanov S.V. Metod ocenki ugroz informacionnoj bezopasnosti ASU TP gazovoj otrasli [The method of evaluation of information security threats ACS gas industry] // Doklady TUSUR [Reports TUSUR]. - 2013. - # 2(28). - S. 112-115 [in Russian]