Технологические особенности проблем обеспечения информационной безопасности автоматизированных систем управления, являющихся объектами критической
информационной инфраструктуры Technological features of the problems of ensuring the information security of automated control systems that are objects of critical information infrastructure
УДК 004.056.5
Двойнишников Николай Эдуардович,
студент, Пермский национальный исследовательский политехнический университет, Электротехнический факультет; Специалист по информационной безопасности, ЗАО «Бионт»; e-mail: rerjrerf00@gmail.com
Dvoinishnikov N.E.
Аннотация: В статье рассмотрены наиболее актуальные проблемы безопасности автоматизированных систем управления технологическими процессами с точки зрения безопасности объектов критической информационной инфраструктуры РФ. Автор раскрывает содержание и предлагает пути решение распространенных проблем информационной безопасности данных объектов. Несмотря на то, что таких проблем много, владельцы данных автоматизированных систем управления со временем стали более правильно оценивать их критичность.
Summary: The article discusses the most pressing problems of security of automated process control systems from the point of view of security of objects of the critical information infrastructure of the Russian Federation. The author reveals the content and suggests ways to solve the common problems of information security of data objects. Even though there are many such problems, the owners of these automated control systems over time have begun to more correctly assess their criticality.
Ключевые слова: КИИ, АСУ ТП, информационная безопасность, мониторинг, инцидент.
Keywords: CII, ACS TP, information security, monitoring, password.
Безопасность автоматизированных систем управления технологическими процессами (АСУ ТП), являющихся объектами критической информационной инфраструктуры (КИИ), становится наиболее широким и актуальным направлением информационной безопасности
в связи с недостатком специалистов в данной области и введением новых законодательных актов. Нарушения обеспечиваемых АСУ ТП КИИ процессов могут повлечь социальные, экономические, экологические, политические убытки и нарушение безопасности государства. Обеспечение безопасности данных объектов - приоритетная задача для любой владеющей ими отдельной организации и страны в целом.
Физическая безопасность АСУ ТП обеспечивается на высоком уровне и не требует больших временных и материальных затрат. С другой стороны, проблемы информационной безопасности АСУ ТП вызывают ряд вопросов. Для АСУ ТП КИИ данные проблемы имеют несколько большее содержание в виду особенностей функционирования объектов КИИ (необходимость непрерывности, широкий спектр и высокий уровень требований к обеспечению безопасности, усиленный контроль состояния информационной безопасности).
Многие субъекты КИИ ошибочно занижают категорию значимости своих объектов КИИ, в частности, АСУ ТП КИИ. Это обусловлено некоторыми заблуждениями специалистов информационной безопасности:
- АСУ ТП КИИ требует защиты информации исключительно на логическом и физическом уровнях (система контроля и управления доступом, использование средств межсетевого экранирования);
- АСУ ТП КИИ безопасна, потому что она уникальна, и взломщик не способен понять принципов ее работы;
- АСУ ТП КИИ не интересны для атак.
Подразделением по управлению технологиями США National Institute of Standards and Technology была опубликована статистика, в соответствии с которой самыми опасными (но малочисленными) признаны нацеленные внешние атаки. Чаще всего реализуются непреднамеренные угрозы и угрозы, связанные с человеческим фактором и социальной инженерией.
Осведомленность сотрудников в области информационной безопасности
Наиболее распространенной проблемой информационной безопасности АСУ ТП КИИ является некомпетентность обслуживающего персонала в вопросах, касающихся информационной безопасности. Понимание и применение основополагающих принципов информационной безопасности может предотвратить реализацию абсолютного большинства непреднамеренных угроз безопасности информации АСУ ТП КИИ. В то же время знание того, что служба безопасности организации контролирует действия пользователей АСУ ТП КИИ (администраторы, операторы, обслуживающий персонал и
др.), снижает вероятность реализации преднамеренных угроз безопасности информации АСУ ТП КИИ.
Менеджмент инцидентов информационной безопасности
Управление инцидентами информационной безопасности, как показывает практика, не обеспечивается должным образом и, более того, редко регламентируется.
Организации необходимо задокументировать перечень событий информационной безопасности и на каких компонентах АСУ ТП КИИ они должны отслеживаться, а также план и программу мероприятий по аудиту информационной безопасности данных объектов и ответственных за его исполнение.
Зачастую, результаты оценки рисков определяют меру ограничения числа попыток ввода пароля при аутентификации в системе АСУ ТП КИИ как опасную ввиду необходимости обеспечения непрерывности технологического процесса. В таком случае компенсационной мерой должен быть мониторинг событий неправильного ввода пароля. Данная мера обеспечит возможность своевременно выявить заражение компонентов АСУ ТП КИИ вредоносным программным обеспечением, которое часто часто сопровождается попыткой подбора паролей.
Отсутствие менеджмента инцидентов информационной безопасности и регламента реагирования на события информационной безопасности затрудняет оперативное обнаружение критических событий, что приводит к инцидентам информационной безопасности.
Аудит сетевой инфраструктуры
Аудит сетевой инфраструктуры в реальном времени (мониторинг), как правило, позволяет определить неисправности и сбои сетевого оборудования в сети организации, но не дает возможности определить, произошло ли событие или инцидент информационной безопасности. При отсутствии средств обнаружения вторжений (СОВ) и средств предотвращения атак (СОА) нет возможности определить атаку на сетевые ресурсы и своевременно противодействовать ей. Использовать СОВ и СОА необходимо, если технологическая сеть подключена к корпоративной, а корпоративная - к Интернету.
Пассивные СОВ и СОА являются наиболее актуальными для АСУ ТП КИИ, так как имеют возможность осуществлять анализ сетевого трафика без вмешательства в процессы передачи данных.
Регулярное обновление безопасности программной среды
Практика показывает, что обновления безопасности на компоненты АСУ ТП КИИ устанавливаются крайне редко. Обусловлено это несколькими факторами:
- необходимость в непрерывности техпроцесса, который обеспечивается АСУ ТП КИИ;
- недопустимость автоматического обновления (законодательно требуется проводить предварительное тестирование обновлений в силу критичности).
Отказ владельца АСУ ТП КИИ от установки актуальных обновлений позволяет злоумышленникам нанести вред системе посредством использования уязвимости «0day». Таким образом, все предоставляемые производителем обновления безопасности для системных компонентов и программного обеспечивания, используемых в АСУ ТП КИИ, должны быть установлены.
Контроль управления доступом и парольной политики
Как правило, администраторы и операторы АСУ ТП КИИ для авторизации в системе используют «стандартные» пароли или пароли, перебор которых не занимает много времени. При этом криптостойкость хранилища паролей очень низка.
Достаточно получить физический доступ к хранилищу паролей АСУ ТП КИИ, чтобы получить доступ к системе в целом. Мотивация владельцев АСУ ТП КИИ в данном случае обычно состоит в том, что они выполняют требование непрерывности технологического процесса: процедуры идентификации и аутентификации пользователей АСУ ТП КИИ, которые могут забыть пароль, могут помешать непрерывности. Компенсационной мерой в такой ситуации выступает организация пропускного и внутриобъектового режима (многоуровневая аутентификация, биометрическая система контроля и управления доступом).
Однако внутренних нарушитель, социальная инженерия, а также обычные вирусные заражения не могут быть предотвращены техническими средствами защиты информации.
Так, были представлены наиболее актуальные угрозы безопасности информации АСУ ТП КИИ, проведен их анализ и предложены пути их решения. Следует понимать, что выделенные проблемы информационной безопасности не исчерпывают весь перечень.
Вместе с тем нужно отметить, что владельцы АСУ ТП КИИ, государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, в процессе взаимодействия с регуляторами (ФСТЭК России, ФСБ России) начали более правильно оценивать их критичность АСУ ТП КИИ и в большей степени понимать необходимость их информационной защищенности.
Список использованной литературы 1. Будников C.A., Паршин H.B. Информационная безопасность автоматизированных систем: Учебное пособие, издание второе, дополненное - Издательство им. Е.А. Болховитинова, Воронеж, 2011.
2. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N 803) // [Эл. ресурс] URL: http://www.consultant.ru/document/cons_doc_LAW_150730/ (дата обращения: 28.11.2018).
3. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ // [Эл. ресурс] URL: http://www.consultant.ru/document/cons_doc_LAW_220885/ (дата обращения: 01.12.2018).
4. Приказ ФСТЭК от 21 декабря 2017 г. N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» // [Эл. ресурс] URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1589-prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-236 (дата обращения: 01.12.2018).
5. Пищик Б.Н. Безопасность АСУ ТП // Вычислительные технологии. 2013. №18. // [Эл. ресурс] URL: https://cyberleninka.ru/article/v/bezopasnost-asu-tp (дата обращения: 03.12.2018).
6. Маргалитадзе О.Н., Горбунов В.С. Особенности развития мировой экономики и внешнеэкономической деятельности в условиях глобализации и регионализации: монография / Издательство: НАучный консультант, 2019. - 170 с.
7. Фомин А.А. Совершенствование организационно-экономических механизмов регулирования земельных отношений в аграрной отрасли российской федерации: монография / Издательство: Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Государственный университет по землеустройству, 2018. - 556 с.
8. Тенденции и проблемы развития земельного законодательства. Материалы к Парламентским слушаниям Совета Федерации Федерального Собрания Российской Федерации и к Столыпинским чтениям в Государственном университете по землеустройству 19 апреля 2018 года. Под общ. ред. С.Н. Волкова, А.А Фомина / Издательство: Государственный университет по землеустройству, 2018. - 272 с.
9. Бакуренко А.М. Системы анализа и оценки информационной безопасности АСУ // Доклады БГУИР. 2008. №8(38). // [Эл. ресурс] URL: https://cyberleninka.ru/article/v/sistema-analiza-i-otsenki-informatsionnoy-bezopasnosti-asu (дата обращения: 07.12.2018).
References
1. Budnikov S.A., Parshin N.B. Information security of automated systems: Textbook, second edition, updated — Publishing of E.A. Bolkhovitinova's name, Voronezh, 2011.
2. «The main directions of state policy in the field of security of automated control systems for production and technological processes of critical infrastructure of the Russian Federation» (approved by the President of the Russian Federation 03.02.2012 N 803) // [El. resource] URL: http://www.consultant.ru/document/cons_doc_LAW_150730/ (date of appeal: 11/28/2008).
3. Federal Law "On Security of Critical Information Infrastructure of the Russian Federation" of 07.27.2017 N 187-ФЗ // [El. resource] URL: http://www.consultant.ru/document/cons_doc_LAW_220885/ (access date: 12/01/2018).
4. Order of FSTEC of December 21, 2017 N 235 "On approval of requirements for the creation of security systems for significant objects of the critical information infrastructure of the Russian Federation and ensuring their functioning" // [El. resource] URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1589-prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-236 (appeal date: 12/01/2018).
5. Pischin B.N. Safety Production Management Systems // Computational Technologies. 2013. №18. // [email resource] URL: https://cyberleninka.ru/article/v/bezopasnost-asu-tp (access date: 12/03/2018).
6. Margalitadze O. N., Gorbunov V. S. Features of development of world economy and foreign economic activity in the conditions of globalization and regionalization: monograph / Publishing house: Scientific consultant, 2019. - 170 p.
7. Fomin A. A. Improvement of organizational and economic mechanisms of regulation of land relations in the agricultural sector of the Russian Federation: monograph / Publisher: Federal state budgetary educational institution of higher professional education State University of land management, 2018. - 556 p.
8. Trends and problems of land legislation development. Materials for the Parliamentary hearings of the Federation Council of the Federal Assembly of the Russian Federation and for the Stolypin readings at the State University on land management on April 19, 2018. Under the General editorship of S. N. Volkov And Fomina A. / Publisher: State University of land management, 2018. - 272 p.
9. Bakurenko A.M. Systems of analysis and assessment of information security of ACS // Reports of BSUIR. 2008. No. 8 (38). // [Mail resource] URL: https://cyberleninka.ru/article/v/sistema-analiza-i-otsenki-informatsionnoy-bezopasnosti-asu (access date: 07.12.2018).