Авторы: Д.М. Беляевский, М.Ю. Беляевский, М.М. Воробьев, Д.В. Зубов, С.С. Строков (Университет машиностроения).

Опубликовано в журнале Химическая техника №8/2016

Лабораторные стенды широко применяются для исследования характеристик элементов конструкций, отработки технологий, сравнения оборудования различных производителей в нефтехимической [1], биотехнологической [2] и многих других отраслях. Принимаемые по результатам стендовых исследований и испытаний технологические и конструктивные решения имеют большое экономическое значение как для поставщиков оборудования, так и для заказчиков исследования, так как влияют на экономические показатели производства.

В связи с этим недобросовестные поставщики и конкуренты могут быть заинтересованы в искажении результатов проводимых исследований, что приводит к необходимости защиты систем АСНИ и SCADA технологических процессов, проходящих на стендах, от несанкционированного доступа. Среди факторов, вызвавших такую необходимость, можно выделить следующие:

  • внедрение в системы контроля технологических процессов стандартизованных технологий, широко применяемых вне производственных условий (использование в SCADAи АСНИ-системах стандартных операционных систем, стандартизованных протоколов, применяющихся в открытых сетях передачи данных), позволяет использовать существующие подходы и инструментарий, реализующий несанкционированный доступ к защищаемым системам.
  • интеграция SCADAи АСНИ-систем в корпоративные вычислительные сети предприятий, при этом часто такое подключение является недостаточно защищенным, используемые механизмы защиты не соответствуют базовым требованиям отечественных регуляторов в области информационной безопасности.
  • крайне низкая защищенность SCADA-систем, обусловленная тем, что системы контроля производства работают в режиме реального времени, требуют простоты в использовании и бесперебойной работы. Ограниченность вычислительных ресурсов и пропускной способности каналов связи, жесткие требования по времени реакции, экономические факторы – все это привело к тому, что в системах не применяются в достаточном объеме стандартные практики информационной безопасности, такие как идентификация-аутентификацияавторизация, потоковое шифрование, межсетевое экранирование, управление циклом обновлений безопасности и т.д.

Предполагается, что рассматриваемая система не применяется на критически важных или потенциально важных объектах, объекты автоматизации в аварийном состоянии не представляют потенциальной опасности для жизни и здоровья людей и окружающей среды и в системе обрабатывается информация, не составляющая государственную тайну (информация категорируется как коммерческая тайна).

Рассматриваемая лабораторная АСУ ТП подключена к автоматизированной информационной системе организации. Такой подход в настоящее время является стандартной практикой и позволяет подразделениям организации оперативно обмениваться информацией о результатах своей работы, а также позволяет вести учет производственных и трудовых затрат через используемую в организации ERP-систему.

Необходимость защиты информации, получаемой с использованием экспериментального стенда, обусловливается тем, что на основе полученных на установке данных могут быть приняты проектные решения для объектов большего масштаба. Данные о ходе технологического процесса, о применяемых в нем оборудовании и программном обеспечении, полученные злоумышленником, позволят ему заранее разработать подходы к реализации несанкционированного доступа к таким объектам. Утечка данных о результатах исследований позволит конкурентам повысить эффективность своих научно-исследовательских и опытно-конструкторских работ, а в случае искажения результатов – последствия для организации-жертвы могут быть катастрофическими.

Стандартными практиками с точки зрения безопасности являются:

  • разработка модели угроз, определяющей уязвимые точки защищаемой системы;
  • разработка модели нарушителя, в которой составляется профиль злоумышленника и определяются его возможности в отношении защищаемой системы;
  • разработка комплекса организационно-технических мер, компенсирующего угрозы, позволяющие нарушителю получить несанкционированный доступ к защищаемой системе.

При составлении модели угроз в первую очередь определяют объекты защиты, а также объекты и субъекты доступа в защищаемой автоматизированной системе и составляют модель нарушителя – рассматриваются потенциальные нарушители и их возможности.

Нарушители подразделяются на внутренние и внешние. Внутренние нарушители имеют доступ в здание, в котором размещено технологическое оборудование, доступ к подлежащим защите каналам связи, а также к управляющей части АСУ ТП.

Внешние нарушители не имеют физического доступа в здание и помещения, но могут воздействовать на защищаемые объекты удаленно или через посредников.

К внутренним нарушителям в общем случае можно отнести сотрудников организации, не имеющих непосредственного физического доступа к защищаемому лабораторному комплексу; обслуживающий лабораторный комплекс персонал.

К внешним нарушителям обычно относятся сотрудники конкурирующих организаций и организаций-конкурентов клиентов, в интересах которых выполняются работы; злоумышленники, действующие в собственных интересах; вирусное программное обеспечение; прочее вредоносное программное обеспечение, способное нарушить корректность функционирования лабораторной информационной системы.

Перечисленные группы нарушителей различаются по квалификации, ресурсам, возможностям, используемым каналам реализации и векторам атак на промышленные системы.

Кроме того, следует учитывать, что нарушители могут совершать несанкционированные действия преднамеренно или непреднамеренно.

Стандартный подход к проектированию предполагает, что администраторы безопасности, обеспечивающие мониторинг состояния средств защиты, а также реагирующие на инциденты информационной безопасности, нарушителями не являются. Это допущение обеспечивается организационно-кадровыми мерами.

Целями нарушителей при преднамеренном несанкционированном доступе могут являться:

  • нарушение технологического процесса, влекущее снижение качества целевого продукта (неверный результат исследования);
  • нарушение технологического процесса, влекущее простои, необходимые для расследования инцидента информационной безопасности, устранения причин взлома и восстановления работоспособности систем (задержка выполняемых научно-исследовательских и опытно-конструкторских работ);
  • нарушение технологического процесса, влекущее повреждение оборудования, что может привести к длительным простоям производства (длительная задержка выполняемых научно-исследовательских и опытно-конструкторских работ).

Среди векторов атак, которым подвержены системы автоматизации и управления технологическим процессом, можно выделить следующие:

  • нарушение производственного цикла путем внесения задержек или блокирования обмена данными в сетях управления (нарушение доступности ресурсов);
  • несанкционированное внесение изменений в программное обеспечение, что может привести к повреждению оборудования, преждевременному прерыванию технологических процессов, частичному или полному нарушению процесса управления технологическим процессом, процесса исследования оборудования (нарушение целостности);
  • отправка заведомо ложной информации оператору системы с целью сокрытия несанкционированных изменений или вынуждения оператора предпринять действия, которые не требуются и могут нарушить ход технологического процесса (нарушение достоверности);
  • несанкционированное внесение изменений в прошивки контроллеров и общесистемное программное обеспечение SCADA-системы (нарушение целостности) с целью нарушения их стабильной работы и, как следствие, нарушения процесса управления и технологического процесса.

При разработке модели угроз и модели нарушителя учитывают особенности конкретного лабораторного стенда, используемые в его составе программно-аппаратные средства, решения в части кабельных проводок, а также кадровую политику найма обслуживающего персонала.

Общий вид модели угроз представлен в таблице.

Подсистема защиты информации АСУ ТП формируется на основании результатов рассмотрения возможностей нарушителя, модели угроз, присущих системе.

Для компенсации возможностей реализации угроз в системе должен быть предусмотрен комплекс организационно-технических мер, а также внедрены необходимые средства защиты информации:

  • функции защиты информации, встроенные в общесистемное и серверное программное обеспечение;
  • средства антивирусной защиты;
  • средства ограничения доступа к физическим портам оборудования;
  • средства доверенной загрузки;
  • средства шифрования передаваемых данных и средства межсетевого экранирования;
  • средства анализа защищенности системы;
  • средства обнаружения вторжений;
  • средства мониторинга состояния системы;
  • средства резервного копирования информации;

Организационно-технические и организационно-кадровые меры

Существенная часть угроз получения несанкционированного доступа к оборудованию, каналам передачи данных и информации требует физического доступа к объектам защиты. Для исключения такого рода угроз обычно предусматриваются следующие основные меры:

1. Использование системы контроля и управления доступом для исключения бесконтрольного доступа посторонних лиц в помещения, где размещается оборудование АСУ ТП, каналы связи, ПЭВМ управления оборудованием, серверное оборудование;

2. Использование системы видеонаблюдения для контроля действий обслуживающего систему персонала;

3. Прокладка кабелей связи (где это целесообразно) в местах, затрудняющих несанкционированный доступ к ним;

4. Отключение на ПЭВМ управления, сервере обработки данных и контроллерах неиспользуемых сервисов;

5. Доступ посторонних лиц в помещения, где размещается оборудование АСУ ТП, каналы связи, ПЭВМ управления оборудованием, серверное оборудование, должен производиться только в присутствии сопровождающих;

6. Разработка руководств и регламентирующей документации для исключения ошибочных действий персонала;

7. Обучение персонала (при возможности с получением сертификатов о прохождении обучения и сдаче квалификационного экзамена) использованию оборудования в составе АСУ ТП – в первую очередь работе с контроллерами и SCADA-системой, – а также работе с применяемым в системе общесистемным и серверным программным обеспечением и средствами защиты информации;

8. Проведение кадровых проверок чистоплотности сотрудников – анализ рекомендаций, полученных сотрудниками на предыдущих местах работы, психологическое профилирование сотрудников и т.д.;

9. Изоляция сети АСУ ТП, а также связанных с ней сетей, от открытых сетей передачи данных или сегментов корпоративной сети, имеющих доступ в открытые сети передачи данных. Информация, содержащая отчеты о результатах работы, может выноситься за пределы изолированных сегментов на носителях однократной записи, таких как CD-R, DVD-R;

10. Тестирование поведения новых прошивок контроллеров, обновлений программного обеспечения и изменения конфигураций АСУ ТП на тестовом макете лаборатории;

11. Опечатывание неиспользуемых портов оборудования, а также крышек корпусов системных блоков и периодический контроль состояния печатей; 12. Ведение журнала учета персональных идентификаторов пользователей (получение идентификаторов только на время дежурства).

Объект защиты Угрозы Примечание
Технологическое  оборудование Нарушение условий проведения технологического процесса Требует физического доступа к оборудованию с целью его порчи
Вывод оборудования из строя
 

 

 

 

Результаты  исследований

Хищение информации об условиях проведения исследований Требует физического доступа к оборудованию с целью установки собственных датчиков в технологическое оборудование
Нарушение условий проведения технологического процесса Требует физического доступа к используемому оборудованию и расходным  материалам
Хищение результатов работы Требует доступа к объектам защиты
Порча результатов работы Требует доступа к объектам защиты
Датчики и исполнительные устройства Вывод объектов защиты из строя с целью нарушения или прерывания технологического процесса Требует физического доступа к объектам защиты с целью их порчи
 

Отправка исполнительным устройствам несанкционированных команд с целью нарушения или прерывания технологического процесса

Реализуется удаленно или посредством физического доступа. Требует подключения к каналам связи между контроллером и исполнительными устройствами
 

 

 

 

 

Контроллер

Вывод контроллера из строя с целью нарушения условий проведения технологического процесса Реализуется удаленно или посредством физического доступа. При удаленном подключении требует доступа к каналам связи между контроллером, датчиками и исполнительными устройствами или каналам связи со SCADA-системой
Захват управления контроллером с целью хищения информации об условиях проведения технологического процесса Реализуется удаленно. Требует доступа к каналам связи со SCADA-системой
Захват управления контроллером с целью подмены информации, отправляемой в SCADA-систему или передаваемой на исполнительные  устройства Реализуется удаленно или локально (физический доступ). При физическом доступе необходимо подключение

к портам локального управления контроллером. При удаленном доступе необходимо подключение к каналам связи со SCADA-системой

Создание условий для возникновения временных задержек при обработке контроллером информации (получении- передачи информации от подключаемых к нему компонентов системы автоматизации) или невозможности обработки поступающих на контроллер данных и передачи информации Реализуется удаленно. Требует доступа к каналам связи между контроллером, датчиками и исполнительными устройствами или каналам связи

со SCADA-системой

Подмена или хищение карты загрузочной памяти центрального процессора Требует физического доступа
 

 

 

 

 

 

Каналы связи между контроллерами и датчиками, и исполнительными механизмами

Несанкционированное  получение информации о передаваемых датчиками на контроллер данных, а также о командах, передаваемых на исполнительные  механизмы Реализуется удаленно
Навязывание контроллеру ложной информации о параметрах протекания технологического процесса. Отправка исполнительным механизмам ложных команд Реализуется удаленно
Частичное или полное нарушение связи между контроллером, датчиками и исполнительными  механизмами Может реализовываться как через физический, так и через удаленный доступ
Объект защиты Угрозы Примечание
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ПЭВМ управления технологическим процессом

Вывод ПЭВМ из строя путем его физического повреждения. Требует физического доступа к оборудованию с целью его порчи.
Вывод ПЭВМ из строя путем повреждения общесистемного программного обеспечения Может реализовываться как через физический доступ, путем удаления критичных компонентов программного обеспечения, так и путем внедрения на ПЭВМ вредоносного программного обеспечения посредством физического или удаленного доступа к ПЭВМ
Вывод из строя программного обеспечения, отвечающего за мониторинг и управление технологическим  процессом
Уничтожение информации о протекании технологического процесса Может реализовываться как через физический, так и через удаленный доступ. Может реализовываться уполномоченным  лицом
Внесение задержек (вплоть до полного «зависания») в функционирование установленного программного обеспечения, с целью нарушения условий мониторинга и управления технологическим процессом Может реализовываться путем установки на ПЭВМ стороннего программного обеспечения, занимающего часть вычислительных мощностей, или путем передачи на ПЭВМ большого объема информации, не относящейся к технологическому процессу, но требующей обработки
Отправка ложных команд управления с ПЭВМ на другие объекты защиты обслуживающим персоналом с целью нарушения условий протекания технологического процесса  

Реализуется через физический доступ к ПЭВМ и программное обеспечение управления технологическим процессом уполномоченным  лицом

Отправка ложных команд управления на другие объекты защиты вредоносным программным обеспечением с целью нарушения условий протекания технологического процесса Внедрение вредоносного программного обеспечения может реализовываться удаленно или локально
Захват управления ПЭВМ с целью навязывания оператору ложной информации о протекании технологического процесса Может осуществляться как локально, так и удаленно с применением средств социальной инженерии
Захват управления ПЭВМ с целью получения  несанкционированного  доступа к данным об условиях протекания технологического процесса или нарушения хода технологического процесса Может осуществляться как локально, так и удаленно с использованием программного обеспечения, не являющегося вредоносным (программы удаленного управления) и с применением средств социальной инженерии
Несанкционированное подключение к ПЭВМ мобильных устройств и организация канала утечки через мобильные устройства Требует физического доступа к ПЭВМ
Каналы связи между ПЭВМ управления технологическим процессом и контроллерами Навязывание ПЭВМ управления ложной информации о параметрах протекания технологического процесса. Отправка контроллеру ложных команд управления Реализуется удаленно
Частичное или полное нарушение связи между контроллером и ПЭВМ управления Может реализовываться как через физический, так и через удаленный доступ
Нарушение работы программного обеспечения, отвечающего за процесс дублирования данных с ПЭВМ управления на сервер обработки данных, в результате чего данные не будут переданы своевременно или не будут переданы вообще Может реализовываться как через физический, так и через удаленный доступ. Может реализовываться уполномоченным  лицом
Несанкционированное  получение информации, передаваемой между контроллером и ПЭВМ управления Реализуется удаленно
Объект защиты Угрозы Примечание
 

 

 

 

 

 

 

 

 

 

 

 

 

 

Сервер обработки данных о ходе технологического процесса

Уничтожение данных о протекании технологического процесса Может реализовываться как через физический, так и через удаленный доступ
Вывод сервера из строя путем его физического повреждения Требует физического доступа к оборудованию с целью его порчи
Вывод сервера из строя путем повреждения общесистемного программного обеспечения Может реализовываться как через физический доступ, путем удаления критичных компонентов программного обеспечения, так и путем внедрения на сервер вредоносного программного обеспечения посредством физического или удаленного доступа к серверу
Захват управления сервером с целью навязывания информации о протекании технологического процесса структурам, ответственным за анализ результатов работы, а также ERP-системе Может реализовываться как через физический, так и через удаленный доступ
Внесение задержек (вплоть до полного

«зависания») в функционирование установленного программного обеспечения, с целью нарушения своевременного предоставления информации о протекании технологического процесса структурам, ответственным за анализ результатов работы, а также ERP-системе

Может реализовываться путем установки на сервер стороннего программного обеспечения, занимающего часть вычислительных мощностей, или путем передачи на сервер большого объема информации, не относящейся к технологическому процессу, но требующей обработки
Каналы связи между сервером обработки данных о ходе технологического процесса и ПЭВМ управления технологическим процессом Нарушение связи между сервером обработки данных и ПЭВМ управления Может реализовываться как через физический, так и через удаленный доступ (перегрузка канала связи)
Навязывание серверу ложной информации о протекании технологического процесса Реализуется удаленно

Предложенные мероприятия и средства защиты информации позволяют снизить потери от действий злоумышленников и вредоносного программного обеспечения, разграничить область ответственности между различными участниками работ, однако они не являются достаточными. Для обеспечения оптимальных условий защищенности от несанкционированного доступа, а также возможности использования систем в интересах государственного заказчика необходимо подкреплять выработанные проектные решения требованиями стандартов, разработанных государственными регулирующими органами. Примером такого стандарта являются Требования [3]. Исследования требований и предложение возможных подходов к их выполнению могут быть темой для отдельных статей.

Список литературы

  1. Зубов Д.В., Строков С.С. Автоматизация стендового комплекса для изучения фототрофов и анализ возможностей повышения энергоэффективности процесса//Известия Московского государственного технического университета МАМИ. 2013. №1 (15). Т.4.
  2. Беляевский М.Ю., Колмогоров Г.Ю., Заика А.И., Беляевский Д.М., Бабарыкин Н.М. Определение гидравлического сопротивления и эффективности массообменных тарелок//Нефтепереработка и нефтехимия. 2014. №1.
  3. «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. №31.