Учредитель журнала

Обеспечение защиты информации в промышленной сети автоматизированной системы управления технологическим процессом гидро­электростанции

УДК 620.9

EDN: CNMOHM

Козьминых Сергей
Профессор Департамента информационной безопасности Финансового университета при Правительстве РФ, профессор кафедры прикладной информатики и информационной безопасности РЭУ им. Г. В. Плеханова,
д. т. н., доцент.
E-mail: SIKozminykh@fa.ru, Kozminyh.SI@rea.ru

Татаренков Владислав
Аспирант Департамента информационной безопасности Финансового университета при Правительстве РФ.
E-mail: vt96@mail.ru

Введение

В настоящее время широко внедряется автоматизация технологических процессов и централизованное управление всем производством, как существующих, так и проектируемых промышленных предприятий. Решением данных задач является внедрение автоматизированной системы управления технологическим процессом (АСУ ТП), которая состоит из вычислительного, сетевого, силового и другого технического оборудования. Применение АСУ ТП на объектах критически важной инфраструктуры, к которым относятся объекты топливно-­энергетического комплекса (ТЭК), использование в ее составе разнотипного оборудования от разных производителей, приводит росту количества инцидентов проникновения в защищенную информационную инфраструктуру. Это позволяет сделать вывод о том, что проблема обеспечения информационной безопасности АСУ ТП на объектах ТЭК является очень важной и актуальной [1]. Кроме того, необходимость создания системы обеспечения безопасности для АСУ ТП на промышленных объектах отражена в требованиях ФЗ № 256 «О безопасности объектов топливно-­энергетического комплекса» и ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» [2]. Для построения защищенной промышленной сети АСУ ТП объекта критически важной инфраструктуры обязательно соблюдение требований, указанных в приказе ФСТЭК № 31, приказе ФСТЭК № 235 и приказе ФСТЭК № 239 [3].
В соответствии с ФЗ № 256, приказом Министерства энергетики РФ от 10 февраля 2012 г. № 48 утверждены методические рекомендации по включению объектов топливно-­энергетического комплекса в перечень объектов, подлежащих категорированию. В соответствии с этой методикой, в перечень объектов топливно-­энергетического комплекса, подлежащих категорированию, в первую очередь включены гидроэлектростанции.

Архитектура АСУ ТП ГЭС

Информационная система (ИС), которой является рассматриваемая АСУ ТП ГЭС, предоставляет необходимый функционал по централизованному управлению электростанцией, а также отслеживанию состояния и показаний ее агрегатов. В информационной системе хранится, обрабатывается и генерируется информация категории «для служебного пользования»: инструкции, отчетные документы, чертежи и т. д. В системе определены следующие виды работников, обеспечивающих ее штатное функционирование: операторы АСУ ТП, сервис-­инженеры АСУ ТП, администратор безопасности и администратор системы. Операторы осуществляют контроль и управление технологическим процессом по получению электроэнергии на гидротурбинах. Сервис-­инженеры ведут мониторинг за состоянием системы по датчикам и выполняют техническое обслуживание установок. Администратор следит за функционированием сетевого и серверного оборудования для поддержания штатной работы информационной системы. Администратор безопасности производит мониторинг событий, исходящих от оборудования, для оперативного выявления событий ИБ.
Стандартная архитектура АСУ ТП делится на три логических уровня:
– Верхний уровень (диспетчерский уровень).
– Средний уровень (уровень контроллеров).
– Нижний уровень (полевой уровень).
На верхнем уровне располагаются основные вычислительные системы и компьютерное оборудование, а именно автоматизированные рабочие места (АРМ), сервера сбора данных, SCADA (Supervisory Control And Data Acquisition) сервера и т. д. Данный уровень включает в себя диспетчерскую зону, зону администратора системы и зону специалистов по информационной безопасности. Используемая на данном уровне SCADA система является программным обеспечением, применяемым для обеспечения централизованного контроля распределенной системы механизмов, агрегатов и устройств. Данная система реализует сбор, архивацию, обработку и визуализацию данных, полученных от контроллеров, расположенных на среднем уровне [4].
На среднем уровне располагаются программируемые логические контроллеры (ПЛК). Их рабочая задача состоит в том, чтобы циклично реализовывать алгоритм, состоящий из следующих шагов: прием данных с датчиков, расположенных на нижнем уровне, обработка этих данных и передача устройствам на верхний уровень, получение управляющих команд от устройств верхнего уровня, обработка этих данных и передача устройствам, расположенным на нижнем уровне. Основная необходимость включения данного уровня в архитектуру АСУ ТП обусловлена тем, что устройства, расположенные на верхнем уровне, имеют свои требования по протоколам приема и передачи данных, а датчики и агрегаты, расположенные на нижнем уровне, имеют свои собственные интерфейсы подключения и протоколы обмена данными, отличные от устройств верхнего уровня. Поэтому, в систему вводятся ПЛК, обеспечивающие связь между верхним и нижним уровнем с учетом всех требований, предъявляемых к передаче информации между уровнями [5].
На нижнем уровне располагаются управляемые и контролируемые устройства и механизмы, среди которых можно выделить: гидротурбины, регулируемые затворы, насосы, датчики измерения давления и т. д.
Рассматриваемая информационная система имеет связь с сетью предприятия, через которое осуществляет доступ в сеть Интернет по выделенному каналу связи для получения обновлений на сервере обновлений. Данная практика создания локального сервера обновлений с выделенным каналом связи целесообразна при использовании СЗИ разных видов, обеспечивающих безопасность промышленной сети. При таком условии данный способ имеет преимущество над осуществлением ручного обновления [6].
Все вычислительные и сетевые компоненты системы располагаются внутри контролируемой зоны объекта.

Анализ документов и требований ФСТЭК

Для организации защиты АСУ ТП необходимо в первую очередь руководствоваться приказом ФСТЭК № 31 от 14 марта 2014 г. «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» [7]. В данном документе определяют процедуру классификации АСУ ТП для отнесения ее к одному из трех классов защищенности (первый класс (К1) – самый высокий, второй класс (К2) и третий класс (К3) – более низкий). Класс защищенности назначается в зависимости от уровня критичности информации, которая обрабатывается внутри классифицируемой системы. В свою очередь, уровень критичности информации, в случае нарушения ее свой­ств безопасности, определяется по степени возможного причиненного ущерба, в результате которого произошло нарушение штатного процесса работы системы.

Таблица 1. Актуальные виды нарушителей

Класс защищенности АСУ ТП ГЭС должен соответствовать самому высокому, первому классу защищенности, так как степень ущерба от нарушения штатного режима работы ГЭС является очень высокой из-за риска возникновения чрезвычайной ситуации федерального или межрегионального характера [8]. Для обеспечения безопасности АСУ ТП первого класса защищенности рассматриваемым документом предъявляются следующие требования:

  1. Выбранные и реализованные в рамках системы защиты АСУ ТП меры защиты информации, как минимум, должны обеспечивать нейтрализацию или блокирование угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом.
  2. Технические меры защиты информации реализуются посредством применения сертифицированных по требованиям безопасности информации СЗИ. В качестве СЗИ для систем первого класса защищенности используются СЗИ не ниже четвертого класса, а также средства вычислительной техники (СВТ) не ниже пятого класса.
  3. Сертифицированные СЗИ, применяемые в АСУ ТП первого класса защищенности, должны пройти проверку своего программного обеспечения не ниже, чем по четвертому уровню контроля отсутствия не декларированных возможностей.

Описание видов нарушителей с высоким потенциалом и их возможностей по реализации угроз информационной безопасности, приведено в документе «Методика определения угроз безопасности информации в информационных системах» [9]. Нарушителями с высоким потенциалом являются специальные службы иностранных государств. Такие нарушители обладают всеми возможностями нарушителей с базовым и с базовым повышенным потенциалами. Также такие нарушители могут вступать в сговор с нарушителями с более низким уровнем потенциала. Приведем таблицу с видами нарушителей, актуальных для рассматриваемой ИС.
Для определения актуальных угроз безопасности информации системы данный методический документ используется совместно с банком данных угроз безопасности информации ФСТЭК (БДУ ФСТЭК) [10]. Определение актуальности угрозы информационной безопасности происходит в соответствии с таблицей 2.

Таблица 2. Определение актуальности угрозы ИБ

В соответствии с БДУ ФСТЭК и ранее описанной информацией можно построить модель угроз ИБ. Полная таблица доступна по ссылке в списке литературы [11], далее приведен ее фрагмент.

Таблица 3. Фрагмент таблицы модели угроз ИБ

Обеспечение кибербезопасности АСУ ТП гидроэлектростанций

Исследования последних лет в сфере обеспечения кибербезопасности АСУ ТП указывают на то, что количество инцидентов с нарушением информационной безопасности растет, а вектор атак для осуществления проникновения в систему становится все разнообразнее [12].
АСУ ТП гидроэлектростанций строится с применением сетевого оборудования, образуя промышленную сеть из набора коммутаторов, маршрутизаторов и конечных станций, выступающих в качестве рабочих станций, серверов, механизмов и т. д. АСУ ТП имеет изолированную структуру, за исключением выделенного канала связи с сетью Интернет для получения обновлений на локальный сервер обновлений.
Исходя из исследований «Лаборатории Касперского» основные виды атак на АСУ ТП могут быть следующими:
– проникновение в сеть АСУ ТП через сеть объекта при помощи рассылки фишинговых писем сотрудникам отделов, обрабатывающих входящую электронную почту;
– проникновение в сеть АСУ ТП через некорректно настроенное сетевое оборудование, расположенное на входе в периметр промышленной сети;
– заражение рабочих станций с помощью съемных носителей, содержащих вирусы [13].
После анализа первоочередных направлений для защиты сети при внедрении программно-­технических СЗИ можно сделать вывод о том, что в первую очередь следует обеспечить установку межсетевых экранов соответствующего типа на каждом узле и границе сети, а также обеспечить разграничение прав доступа к компонентам АСУ ТП. Кроме того, необходимо использовать средства антивирусной защиты (САВЗ) и средства контроля носителей (СКН) [14]. Наиболее критичными уровнями АСУ ТП с точки зрения организации защиты являются верхний и средний уровни [15]. Верхний уровень критичен потому, что на нем располагаются рабочие станции, образующие единую точку управления и мониторинга АСУ ТП, а также данный уровень взаимодействует с внешним миром. Средний уровень критичен, так как обрабатывает критически важную информацию, целостное состояние которой необходимо для корректной и штатной работы всего объекта.
Для обеспечения защищенности критичных уровней лидеры рынка по разработке СЗИ создают специализированные наложенные СЗИ для АСУ ТП [16]. В качестве примера можно привести решение Kaspersky Industrial CyberSecurity. Оно состоит из следующих компонентов: Kaspersky Security Center, KICS for Nodes, KICS for Networks. Kaspersky Security Center представляет функционал единой консоли управления, которая позволяет проводить администрирование системы безопасности. KICS for Nodes реализует защиту серверов SCADA, рабочих станций операторов и контроль за ПЛК. Данный компонент имеет сертификат ФСТЭК и соответствует требованиям к САВЗ по профилю защиты ИТ.САВЗ.В3.ПЗ. Компонент KICS for Networks реализует защиту на уровне сети, он разработан специально для осуществления мониторинга и инспектирования трафика, передающегося по промышленным протоколам коммуникации (Modbus, IEC stack и т. д.). Данный компонент имеет сертификат ФСТЭК и соответствует требованиям к СОВ по профилю защиты ИТ.СОВ.С4.ПЗ.
Похожее решение есть и от компании Positive Technologies [17]. Данное решение представляет собой программно-­аппаратный комплекс PT ISIM. Он соответствует требованиям приказа № 31 ФСТЭК, а также требованиям ФЗ‑187 по защите объектов КИИ. Архитектура данного решения состоит из датчиков сенсоров View Sensor, которые устанавливаются в сегментах промышленной сети и главного сервера Overview Center для централизованной обработки инцидентов. View Sensor получает копию трафика, который анализируется в реальном времени. Для обеспечения гарантированного разделения сегмента сети АСУ ТП и установленного сенсора возможно использование однонаправленного шлюза. Данная система эффективно выполняет следующие задачи по обеспечению безопасности АСУ ТП: контроль над составом и конфигурацией узлов сети, управление инцидентами и событиями безопасности, мониторинг трафика промышленной сети.
На сегодняшний день технологии нейронных сетей и искусственного интеллекта все чаще встречаются в качестве прикладного применения для решения бизнес и промышленных задач. Примером такого применения для решения задачи по защите АСУ ТП является система Kaspersky Machine Learning for Anomaly Detection [18]. Она является новым шагом в разработке систем защиты информации для промышленных объектов. Основной уклон сделан на то, что искусственный интеллект, заложенный в данном продукте, способен заранее выявлять потенциально опасные отклонения в работе объекта. Данная система имеет ряд преимуществ, среди которых: отсутствие влияния человеческого фактора, способность анализировать малейшие отклонения в огромном объеме телеметрических показателей, возможность выявлять атаки злоумышленников, которые пытаются максимально скрытно воздействовать на оборудование защищаемого объекта [19]. Также стоит отметить, что нейронные сети в данном продукте, со временем его использования, будут только лучше и точнее выявлять потенциально опасные для объекта события за счет обучения на увеличивающемся объеме новых данных.
Еще одним представителем специализированной защиты промышленных сетей являются межсетевые экраны типа Д. На примере Info Watch ARMA видно, что они устанавливаются между верхним и средним уровнем АСУ ТП, либо дополнительно могут устанавливаться еще на входе в периметр всей промышленной сети [20]. Данный тип устройств способен фильтровать и обрабатывать трафик, содержащий промышленные команды и значения, посылаемые от SCADA системы, для управления промышленным оборудованием. Работа возможна со следующими протоколами: Modbus TCP, S7 Communication, IEC 60870–5–104 и т. д. Также Info Watch ARMA сочетает в себе и систему обнаружения вторжений. Она выявляет вредоносную и подозрительную активность, направленную на атаку промышленного оборудования, благодаря специальным правилам баз данных, которые составлены с учетом промышленной специфики.
Как видно, для обеспечения кибербезопасности АСУ ТП на рынке СЗИ появляются новые решения, основанные на специфике работы промышленного объекта с внедренной АСУ ТП. Среди них выделяются системы наложенной защиты, которые представляют собой набор программных или программно-­технических датчиков. Они снимают с различных узлов трафик и передают его на централизованный сервер для обработки. Обработка данного трафика происходит на основе специальных правил, составленных с учетом организации промышленных протоколов и команд. Данные системы не оказывают влияния или проведения управления над системой, а только осуществляют ее мониторинг. Также существуют решения по межсетевому экранированию трафика, содержащего промышленные команды, с учетом специальных правил фильтрации. Новым этапом развития СЗИ для промышленных систем является их разработка с применением интеллектуальных систем и нейронных сетей, способных различать минимальные отклонения показателей в большом количестве данных, предсказывая и предугадывая аварийные ситуации намного раньше, чем это сделал бы человек.

Выбор СЗИ для обеспечения защищенности АСУ ТП гидроэлектростанций

Исходя из архитектурных особенностей рассматриваемой АСУ ТП ГЭС, а также учитывая требования документов ФСТЭК и подытоживая результаты исследований и методик в области информационной безопасности АСУ ТП, в системе необходимо наличие следующих сертифицированных СЗИ [21].
Данные СЗИ могут быть использованы совместно в единой системе обеспечения информационной безопасности, так как они не оказывают негативного воздействия на штатную работу системы и не конфликтуют между собой. Также учитывается совместимость используемой ЗОС и SCADA-системы отечественной разработки [22]. В качестве ЗОС для рабочих станций была выбрана Astra Linux, так как она является одним из лидеров по количеству реализованных функций обеспечения информационной безопасности, а также имеет сертификаты ФСТЭК и ФСБ и обладает широкой совместимостью с другими СЗИ [23].
При решении задачи по реализации полноценного мониторинга информационной системы для установленных СЗИ необходимо настроить линии связей с отделом безопасности, где располагается администратор безопасности, для осуществления передачи событий ИБ, трафика и остальных информационных сообщений. Благодаря выбранным СЗИ обеспечивается передача информации, как с сетевого уровня, так и с уровня хостов. Также сбор информации необходим со следующих компонентов и устройств ИС АСУ ТП: сетевое оборудование, АРМ и сервера на уровне ОС, ПЛК, прикладное ПО [24].

Таблица 4. Набор СЗИ для обеспечения защиты АСУ ТП 1‑го класса защищенности

Первая задача внедрения СЗИ в рассматриваемую АСУ ТП это предотвращение попадания вредоносного ПО или команд на концевые и узловые точки в системе, которыми выступают АРМ работников, сетевое оборудование, сервер обновлений. Для этого выбраны следующие СЗИ. Средства антивирусной защиты, которые применяются на АРМ и серверах. Вредоносное ПО для промышленных объектов при попадании в систему ведет себя так же, как и обычный вирус на этапе распаковки, внедрения, получения высоких привилегий и т. д. При этом сигнатуры вирусов, используемых для промышленных объектов, так же добавляются в общие базы данных сигнатур. Следовательно, применение САВЗ целесообразно и необходимо. Рекомендуется использование средств доверенной загрузки, которые блокируют нештатный запуск ОС на АРМ, предотвращает попытки запуска зараженных систем инсайдерами. Необходимо применять межсетевые экраны на уровне входа в сеть или между логическими зонами сети, которые позволяют фильтровать трафик исходящий из недоверенных источников.
Вторая задача состоит в том, чтобы обеспечить оперативное обнаружение вторжения в систему и нарушение ее штатного функционирования. Установка систем обнаружения вторжения (СОВ) на уровне сети и на узлах вполне подходит для решения данной задачи, так как на всех уровнях системы (сеть, ОС, приложения и т. д.) осуществляется мониторинг активности и, в случае обнаружения нарушения, сообщение об этом оперативно отсылается на АРМ специалиста по информационной безопасности. Также применение промышленного сетевого экрана позволяет отклонить команды, посланные вредоносным ПО, в случае заражения верхнего уровня АСУ ТП. Защита систем управления базами данных (ЗСУБД) используется для обеспечения безопасности хранимой на них информации.
Третья задача состоит в обеспечении целостной безопасной среды для функционирования системы. Это необходимо не только для защиты от злоумышленников, но также от непреднамеренных ошибок персонала и от системных сбоев, которые могут привести к тому, что будет нарушена штатная работа объекта.
Четвертая задача состоит в предотвращении утечки конфиденциальной информации. Так как в рассматриваемой системе доступ во внешнюю сеть есть только у сервера обновлений, то осуществление дополнительных трат на систему защиты от несанкционированной передачи информации (СЗНПИ) не является первоочередной задачей. В свою очередь, для обеспечения контроля утечки данных с АРМ используются система контроля носителей (СКН).
После развертывания основных выбранных СЗИ в дальнейшем возможно добавление в систему СЗИ интеллектуальных систем, чтобы обеспечить ранние обнаружение инцидентов информационной безопасности. А также добавление выступающей в качестве дополнительной помощи специалистам по ИБ SIEM системы, которая позволит проводить обработку поступающих с оборудования и СЗИ данных в информативный и удобный для обработки вид.
При построении защищенной АСУ ТП и в дальнейшем при ее эксплуатации [25], рекомендуется:
– Построение системы по подходу Defence in depth.
– Разграничение сегментов сети.
– Создание каналов связи оборудования с отделом ИБ для получения информации о событиях и инцидентах, не оказывающих негативного влияния на функционирование объекта.
– Проведение регулярной проверки с целью выявления необходимости обновления ПО.
– Проведение регулярной проверки на корректность конфигурации сетевого оборудования.
– Проведение регулярного обучения персонала и занятий по повышению квалификации в области защиты информации.

Заключение

В данной статье приведен анализ построения защищенной АСУ ТП ГЭС для обеспечения ее информационной безопасности в соответствии с классом защищенности, установленным требованиями ФСТЭК. Рассмотрены документы, регламентирующие обеспечение ИБ АСУ ТП на объектах КИИ. Указаны основные информационные ресурсы, к которым необходимо обращаться при проектировании защищенной АСУ ТП. Проанализированы исследования в области обеспения кибербезопасности АСУ ТП. В заключении сделан выбор и даны рекомендации по применению необходимых программно-­технических средств защиты информации, которые обязательны для внедрения на объектах АСУ ТП 1‑го класса защищенности. Особенно важно, что рекомендованные СЗИ совместимы с АСУ ТП и не нарушают штатную логику их работы.

Турбина ГЭС
Источник: mavink.com

Определено, что для обеспечения мониторинга за работой информационной системы необходимо подключение компонентов АСУ ТП и СЗИ к отделу обеспечения информационной безопасности.
В заключение, можно сделать вывод о том, что предлагаемая структура ИС с установленными СЗИ имеет высокий уровень защиты, так как все действия пользователей постоянно контролируются. Кроме того, сделан вывод, что работа программного обеспечения должна отлеживаться на целевых машинах (хостах). Следует отметить, что необходимо уделять внимание не только высокой технической защищенности системы, но и также другим направлениям обеспечения ИБ на объекте. В частности, необходимы организационные меры обеспечения информационной безопасности, в том числе регулярное обучение персонала для повышения его квалификации и знаний в этой области [26].