Информационная безопасность промышленных предприятий является составной частью национальной безопасности. Информационная атака на автоматизированную систему управления может оказаться причиной аварии, причиняет ущерб имуществу, жизни и здоровью граждан.

Угрозы информационной безопасности предприятий

Внимание к вопросу информационной безопасности предприятий повысилось после того, как множество АСУ оказалось поражено вирусом Rootkit.Win32.Stuxnet. Он распространяется через флеш-накопители, и любой наладчик или мастер, снимая информацию с датчиков работоспособности системы, без злого умысла может заразить всю АСУ. Вирус использует уязвимости в операционных системах Windows, его деятельность способна приостановить работу предприятия.
АСУ, как информационная система, отличается от офисных систем, это многокомпонентный программно-аппаратный комплекс, который состоит из:

• автоматизированных рабочих мест;
• серверов приложений и баз данных;
• контроллеров.

Взаимодействие компонентов обеспечивается применением сетевых устройств, созданных для использования в промышленности, специализированных и стандартных протоколов обмена данными, включая стеки TCP/IP для послойной передачи информации небольшими порциями, когда TCP направляется поверх IP, а он, в свою очередь, поверх Ethernet. Управление разрозненными и рассредоточенными в пространстве, иногда движущимися объектами осуществляется через беспроводные локальные сети, доступ реализуется через Интернет и веб-интерфейсы. Но объединение АСУ с информационными системами организаций создало новые каналы для проникновения угроз. Если внешнему злоумышленнику ранее было крайне трудно подсоединиться к каналам управления АСУ, теперь, после распространения беспроводных технологий и создания интерфейсов, объединяющих АСУ с системами управления предприятий, заблокировать производство или вызвать аварию стало намного проще.
Теперь риски информационной безопасности делятся на две группы:

• риски внешнего или внутреннего вторжения в информационные системы управления с целью хищения информации или блокировки деятельности;
• риски внешнего вторжения или предумышленных действий пользователей, направленные на дестабилизацию работы АСУ.
• Особенности АСУ делают невозможным применение всего комплекса мер и средств технического и программного характера, используемых для защиты информационных систем офиса. Необходимы дополнительные меры безопасности.

Автоматизированные системы управления и их специфика

Автоматизированные системы управления наиболее подвержены рискам утраты целостности информации. Подмена или уничтожение пакета данных, направляемых по сети, способны остановить производство или вызвать аварию. Включение в архитектуру АСУ программных средств защиты должно быть минимально, с учетом ограниченности ее ресурсов они могут повлиять с негативной стороны на основные процессы, реализуемые системой.
Основными источниками риска для АСУ становятся:

• действия обслуживающего персонала, нарушающего установленные правила безопасности, например, использующего флеш-носители без предварительной проверки их антивирусами;
• ошибки сотрудников компаний, осуществляющих техническое сопровождение программных продуктов, установленных в АСУ, а также персонала системных интеграторов;
• сниффинг, или перехват пакетов информации внешними злоумышленниками. Используемые в промышленности контроллеры и SCADA-системы не обладают достаточной устойчивостью к некорректным входным пакетам;
• устаревание АСУ. Ее жизненный цикл составляет 15-30 лет, и на многих промышленных объектах еще действуют SCADA-системы, настроенные для работы с Windows NT или Windows 98, что создает повышенный уровень рисков для информационной безопасности промышленных предприятий. Сейчас серверы SCADA и OPC (OLE for Process Control), ПЛК и другие компоненты систем автоматизированного управления должны быть изолированы от Интернета.

Риск устаревания АСУ можно снизить, используя системы виртуализации, но их применение влечет другие риски – подключение гипотетических злоумышленников к системам по беспроводным сетям. Для этого требуется направленная антенна, даже находящаяся на большом расстоянии. Периметр АСУ требуется защищать на логическом и физическом уровнях, а для этого используются пропускные системы, контроль доступа, межсетевые экраны. Отдельным решением будет создание демилитаризованных зон обмена информацией между АСУ и информационными системами офисов, что исключает непосредственный контакт сетей и возможность прямого доступа в АСУ из офиса.

Базовая ситуация с ИБ на предприятиях

Приступая к разработке системы информационной безопасности предприятий, необходимо провести аудит не только архитектуры сети, но и общей ситуации с управлением персоналом и информационными, техническими, кадровыми, финансовыми ресурсами. На основании аудита внедряется комплекс организационных мер и технических мероприятий.

Стандартная проверка часто выявляет что:

• на предприятиях отсутствуют системы управления инцидентами информационной безопасности и система принятия решений по результатам их анализа;
• полностью отсутствуют программные средства выявления внешних вторжений;
• отсутствуют программные решения по выявлению внешних аномалий;
• не обеспечивается системный аудит состояния информационной безопасности;
• не проводится анализ защищенности комплексов АСУ.

С точки зрения кадровой обеспеченности выявляется отсутствие персонала, отвечающего за информационную безопасность АСУ, и квалифицированных специалистов в области информационной безопасности вообще.

С точки зрения документационного и организационного обеспечения часто выявляется следующее:

• отсутствуют четкие процедуры и регламенты обеспечения информационной безопасности в АСУ;
• компании отказываются от соблюдения базовых требований экономической и информационной безопасности на предприятии с точки зрения внедрения необходимых организационных мер, например, установления разных степеней доступа для сотрудников разного уровня;
• не выполняются задачи по обновлению программного обеспечения как операционных систем, так и прикладных ПО, даже если обновления критически важны для безопасности системы;
• большинство компонентов АСУ лишены многофакторной модели аутентификации.

Но работа по улучшению системы безопасности не стоит на месте. В связи с тем, что многие редприятия относятся к объектам критической информационной инфраструктуры, на них начинают распространяться новые регуляторные требования. ФЗ-183, говорящий о безопасности объектов КИИ, относит к ним объекты повышенной значимости:

• социальной. Аварии на них могут причинить ущерб жизни, здоровью и имуществу большого количества людей;
• политической. Выход из строя объекта способен причинить ущерб интересам РФ в области внутренней и внешней политики;
• экономической;
• экологической;
• оборонной.

Большинство крупных производственных объектов вносятся в реестр КИИ, что автоматически распространяет на них требования ФСТЭК по их защите, а также требования ФСБ РФ по подключению к системе ГосСОПКА. Предъявляемые требования направлены на решение следующих задач:

• предотвращение неправомерного доступа к информации, обрабатываемой на объекте, исключение ее утечки, уничтожения, блокирования, подмены;
• исключение такого воздействия на средства обработки информации, в результате которого могла бы быть нарушена непрерывность производственного цикла;
• оперативное восстановление объекта КИИ после неправомерного воздействия на информационную инфраструктуру, за счет резервного хранения информации и средств реагирования на инциденты;
• непрерывное взаимодействие с системой ГосСОПКА.

Не стоят на месте и программно-технические решения. Современные системы SCADA и HMI (Human-Machine Interface) существенно превосходят предшественников по соблюдению требований безопасности. Это приводит к повышению:

• отказоустойчивости;
• скорости восстановления в случае сбоя;
• качества ролевой модели управления доступом на основе технологии разделения обязанностей.

Кроме того, реализуются стойкие к атакам механизмы аутентификации и авторизации, изоляция пользователей от интерфейсов операционной системы, управляющей работой АСУ.
Слабым местом, нестойким к внешним воздействиям, продолжают оставаться каналы связи, если они не реализуются в формате Ethernet. Несмотря на это, большинство моделей реализации системы информационной безопасности предприятий строятся на базе программного обеспечения компании Siemens, ставшего лидером в этой области. Экспертами выявлены недостатки в механизмах аутентификации системы Siemens WinCC и цифровой системы автоматизации Emerson DeltaV, позволяющие не только обходить процедуры проверки, но и выполнять в SCADA произвольный код. Именно они привели к системному заражению АСУ вирусом Rootkit.Win32.Stuxnet.

Если производители программного обеспечения в новых версиях устранили основные проблемы, то цикл обновления АСУ, составляющий иногда 20-25 лет, не дает возможности сменить ПО. Обновление и замена компонентов АСУ возможны только в ходе плановой остановки производства на ремонт и обновление, что происходит крайне редко. Соответственно, уязвимости сохраняются.

В этой ситуации наиболее частыми причинами перебоев в работе АСУ становятся:

• сбои программно-технических средств, происходящие в результате непреднамеренных действий пользователей АСУ;
• сбои в результате ошибок в программном обеспечении;
• преднамеренное или непреднамеренное заражение вредоносными программами;
• аппаратно-программные сбои;
• отключение оборудования АСУ в результате прекращения подачи электроэнергии или других техногенных причин;
• отказы сетевого оборудования и нарушения в работе каналов связи.

Современные разработчики АСУ в России могут в большинстве случаев устранить эти проблемы, они имеют возможность пользоваться масштабными библиотеками-репозиториями с программами с открытым кодом. Доступны современные языки программирования, зарубежное и отечественное техническое оборудование. В новых АСУ большинство проблем систем предыдущего периода будут решены.

Характеристики эффективности АСУ

Российский стандарт оценки эффективности АСУ ГОСТ 24.701-86 «Единая система стандартов автоматизированных систем управления. Надежность автоматизированных систем управления» описывает следующие характеристики эффективности работы системы с точки зрения ее информационной безопасности:

• минимальное время восстановления после отказа;
• процент вероятности работы без отказов на протяжении определенного времени;
• вероятность полного восстановления.

Если говорить об иностранных стандартах менеджмента риска, то в России они отразились в ГОСТ Р 51901.5-2005 (МЭК 60300-3-1:2003) «Менеджмент риска. Руководство по применению методов анализа надежности». Стандарты помогают рассчитать параметры безопасности системы на программно-аппаратном уровне, без учета человеческого фактора.

В 1970-1990 годах в СССР реализовывался масштабный проект ОГАС, направленный на создание единой системы управления предприятиями, на реализацию и финансирование которого было выделено больше, чем на освоение космоса и атомную энергетику вместе взятые. После смены системы управления бизнесом с полностью государственной на смешанную реализация проекта была прекращена, но созданные в его рамках документы сейчас анализируются для использования в новых общих региональных и отраслевых системах управления промышленными предприятиями. Многие решения, созданные в 1980-х годах, до сих пор не устарели, особенно с учетом того, что возраст большинства АСУ приближается к 15-20 годам и они до сих пор поддерживают жизнеспособность производства. Предполагается, что следующим этапом развития системы ГосСОПКА будет перевод и процессов управления производственными циклами на единую модель.

Другие типы систем, обеспечивающих информационную безопасность промышленных предприятий

Завод или производственный гигант, такой как АвтоВАЗ, в своей работе не ограничивается только АСУ. Работают другие системы управления производственными и бизнес-процессами:

• ERP-системы. Они обеспечивают баланс интересов финансового менеджмента, экономя ресурсы предприятия, производственного сектора, поддерживая постоянный уровень загрузки производственных мощностей, подразделения маркетинга, снижая объем невыполненных заказов. Сейчас на рынке присутствуют ERP-системы, представленные зарубежными разработчиками SAP R/3, Baan, Scala, Axapta, Salesforce, и национальные программные продукты, разработанные фирмами «Галактика», «Парус», «1С», «Илада», «Цефей». Преимуществами внедрения таких решений в возможности связать в единую систему информационные сети множества юридических лиц, входящих в холдинговые структуры. ERP не работает с такими информационными объектами и потоками, как конструкторские разработки, маршрутные и операционные технологии, управление качеством, управление складами, управление взаимоотношениями с клиентами и поставщиками, управление бизнес-процессами, электронный документооборот, отчетность. Для реализации каждой из этих задач требуются самостоятельные программные продукты;
• CRM-системы, иногда их архитектура неотделима от SFA (Sales Force Automation). В качестве программных продуктов и систем, опосредующих взаимодействие с клиентами, они оказались наиболее удобными решениями для российского бизнеса, реализующего собственную промышленную продукцию. Первой системой на рынке стал Sales Expert, сейчас представлено достаточно российских продуктов примерно одного уровня развития, с открытым кодом и реализуемых по лицензии;
• PM (Project Management). Для предприятий они оказываются наиболее востребованными системами, позволяющими управлять проектами строительства, производства и запуска нового оборудования и технологий. Такие системы обычно работают для группы сотрудников, имеющих равную степень допуска, и с точки зрения информационной безопасности предприятий оказываются уязвимыми для уничтожения, блокировки или подмены информации;
• BPMS (Business Process Management Systems). Эти системы управления предприятием выстраивают производственные циклы в виде бизнес-процессов, создавая единые оптимизированные цепочки действий, позволяющие экономить ресурсы. Программное обеспечение анализирует процессы и отсекает лишние или дублирующие шаги;
• BPM (Business Performance Management), другие названия ПО – Enterprise Performance Management (EPM), Strategic Enterprise Management (SEM) и Corporate Performance Management (CPM). Система реализует задачи управления эффективностью предприятия. В инструменте реализуются метрики, процессы и методологии, позволяющие оценить все критерии эффективности – от себестоимости продукции до качества использования рабочего времени. Инструмент позволяет разрабатывать и оценивать системы ключевых показателей эффективности, он полезен для тонкой настройки работы предприятия.

Все эти системы работают вместе с АСУ, используя ее данные, получаемые в режиме реального времени. Их информационная безопасность обеспечивается общими принципами защиты ИС предприятий, но при приобретении решений на рынке, не разрабатываемых или настраиваемых специально для нужд конкретной компании, вопросы безопасности могут быть реализованы на недостаточно высоком уровне. Утечки конфиденциальной информации продолжают оставаться проблемой, как и отказ в обслуживании, и системные вирусные заражения.
Пока в России не реализовано ни одной системы полного управления циклом работы предприятия от одного производителя, что вызывает избыточность затраченных ресурсов в одних сферах и их недостаток в других. Но логика развития отрасли должна привести к внедрению таких проектов.

04.02.2020