Авторы: Д.М. Беляевский, М.Ю. Беляевский, М.М. Воробьев, Д.В. Зубов, С.С. Строков (Университет машиностроения).
Опубликовано в журнале Химическая техника №8/2016
Лабораторные стенды широко применяются для исследования характеристик элементов конструкций, отработки технологий, сравнения оборудования различных производителей в нефтехимической [1], биотехнологической [2] и многих других отраслях. Принимаемые по результатам стендовых исследований и испытаний технологические и конструктивные решения имеют большое экономическое значение как для поставщиков оборудования, так и для заказчиков исследования, так как влияют на экономические показатели производства.
В связи с этим недобросовестные поставщики и конкуренты могут быть заинтересованы в искажении результатов проводимых исследований, что приводит к необходимости защиты систем АСНИ и SCADA технологических процессов, проходящих на стендах, от несанкционированного доступа. Среди факторов, вызвавших такую необходимость, можно выделить следующие:
- внедрение в системы контроля технологических процессов стандартизованных технологий, широко применяемых вне производственных условий (использование в SCADAи АСНИ-системах стандартных операционных систем, стандартизованных протоколов, применяющихся в открытых сетях передачи данных), позволяет использовать существующие подходы и инструментарий, реализующий несанкционированный доступ к защищаемым системам.
- интеграция SCADAи АСНИ-систем в корпоративные вычислительные сети предприятий, при этом часто такое подключение является недостаточно защищенным, используемые механизмы защиты не соответствуют базовым требованиям отечественных регуляторов в области информационной безопасности.
- крайне низкая защищенность SCADA-систем, обусловленная тем, что системы контроля производства работают в режиме реального времени, требуют простоты в использовании и бесперебойной работы. Ограниченность вычислительных ресурсов и пропускной способности каналов связи, жесткие требования по времени реакции, экономические факторы – все это привело к тому, что в системах не применяются в достаточном объеме стандартные практики информационной безопасности, такие как идентификация-аутентификацияавторизация, потоковое шифрование, межсетевое экранирование, управление циклом обновлений безопасности и т.д.
Предполагается, что рассматриваемая система не применяется на критически важных или потенциально важных объектах, объекты автоматизации в аварийном состоянии не представляют потенциальной опасности для жизни и здоровья людей и окружающей среды и в системе обрабатывается информация, не составляющая государственную тайну (информация категорируется как коммерческая тайна).
Рассматриваемая лабораторная АСУ ТП подключена к автоматизированной информационной системе организации. Такой подход в настоящее время является стандартной практикой и позволяет подразделениям организации оперативно обмениваться информацией о результатах своей работы, а также позволяет вести учет производственных и трудовых затрат через используемую в организации ERP-систему.
Необходимость защиты информации, получаемой с использованием экспериментального стенда, обусловливается тем, что на основе полученных на установке данных могут быть приняты проектные решения для объектов большего масштаба. Данные о ходе технологического процесса, о применяемых в нем оборудовании и программном обеспечении, полученные злоумышленником, позволят ему заранее разработать подходы к реализации несанкционированного доступа к таким объектам. Утечка данных о результатах исследований позволит конкурентам повысить эффективность своих научно-исследовательских и опытно-конструкторских работ, а в случае искажения результатов – последствия для организации-жертвы могут быть катастрофическими.
Стандартными практиками с точки зрения безопасности являются:
- разработка модели угроз, определяющей уязвимые точки защищаемой системы;
- разработка модели нарушителя, в которой составляется профиль злоумышленника и определяются его возможности в отношении защищаемой системы;
- разработка комплекса организационно-технических мер, компенсирующего угрозы, позволяющие нарушителю получить несанкционированный доступ к защищаемой системе.
При составлении модели угроз в первую очередь определяют объекты защиты, а также объекты и субъекты доступа в защищаемой автоматизированной системе и составляют модель нарушителя – рассматриваются потенциальные нарушители и их возможности.
Нарушители подразделяются на внутренние и внешние. Внутренние нарушители имеют доступ в здание, в котором размещено технологическое оборудование, доступ к подлежащим защите каналам связи, а также к управляющей части АСУ ТП.
Внешние нарушители не имеют физического доступа в здание и помещения, но могут воздействовать на защищаемые объекты удаленно или через посредников.
К внутренним нарушителям в общем случае можно отнести сотрудников организации, не имеющих непосредственного физического доступа к защищаемому лабораторному комплексу; обслуживающий лабораторный комплекс персонал.
К внешним нарушителям обычно относятся сотрудники конкурирующих организаций и организаций-конкурентов клиентов, в интересах которых выполняются работы; злоумышленники, действующие в собственных интересах; вирусное программное обеспечение; прочее вредоносное программное обеспечение, способное нарушить корректность функционирования лабораторной информационной системы.
Перечисленные группы нарушителей различаются по квалификации, ресурсам, возможностям, используемым каналам реализации и векторам атак на промышленные системы.
Кроме того, следует учитывать, что нарушители могут совершать несанкционированные действия преднамеренно или непреднамеренно.
Стандартный подход к проектированию предполагает, что администраторы безопасности, обеспечивающие мониторинг состояния средств защиты, а также реагирующие на инциденты информационной безопасности, нарушителями не являются. Это допущение обеспечивается организационно-кадровыми мерами.
Целями нарушителей при преднамеренном несанкционированном доступе могут являться:
- нарушение технологического процесса, влекущее снижение качества целевого продукта (неверный результат исследования);
- нарушение технологического процесса, влекущее простои, необходимые для расследования инцидента информационной безопасности, устранения причин взлома и восстановления работоспособности систем (задержка выполняемых научно-исследовательских и опытно-конструкторских работ);
- нарушение технологического процесса, влекущее повреждение оборудования, что может привести к длительным простоям производства (длительная задержка выполняемых научно-исследовательских и опытно-конструкторских работ).
Среди векторов атак, которым подвержены системы автоматизации и управления технологическим процессом, можно выделить следующие:
- нарушение производственного цикла путем внесения задержек или блокирования обмена данными в сетях управления (нарушение доступности ресурсов);
- несанкционированное внесение изменений в программное обеспечение, что может привести к повреждению оборудования, преждевременному прерыванию технологических процессов, частичному или полному нарушению процесса управления технологическим процессом, процесса исследования оборудования (нарушение целостности);
- отправка заведомо ложной информации оператору системы с целью сокрытия несанкционированных изменений или вынуждения оператора предпринять действия, которые не требуются и могут нарушить ход технологического процесса (нарушение достоверности);
- несанкционированное внесение изменений в прошивки контроллеров и общесистемное программное обеспечение SCADA-системы (нарушение целостности) с целью нарушения их стабильной работы и, как следствие, нарушения процесса управления и технологического процесса.
При разработке модели угроз и модели нарушителя учитывают особенности конкретного лабораторного стенда, используемые в его составе программно-аппаратные средства, решения в части кабельных проводок, а также кадровую политику найма обслуживающего персонала.
Общий вид модели угроз представлен в таблице.
Подсистема защиты информации АСУ ТП формируется на основании результатов рассмотрения возможностей нарушителя, модели угроз, присущих системе.
Для компенсации возможностей реализации угроз в системе должен быть предусмотрен комплекс организационно-технических мер, а также внедрены необходимые средства защиты информации:
- функции защиты информации, встроенные в общесистемное и серверное программное обеспечение;
- средства антивирусной защиты;
- средства ограничения доступа к физическим портам оборудования;
- средства доверенной загрузки;
- средства шифрования передаваемых данных и средства межсетевого экранирования;
- средства анализа защищенности системы;
- средства обнаружения вторжений;
- средства мониторинга состояния системы;
- средства резервного копирования информации;
Организационно-технические и организационно-кадровые меры
Существенная часть угроз получения несанкционированного доступа к оборудованию, каналам передачи данных и информации требует физического доступа к объектам защиты. Для исключения такого рода угроз обычно предусматриваются следующие основные меры:
1. Использование системы контроля и управления доступом для исключения бесконтрольного доступа посторонних лиц в помещения, где размещается оборудование АСУ ТП, каналы связи, ПЭВМ управления оборудованием, серверное оборудование;
2. Использование системы видеонаблюдения для контроля действий обслуживающего систему персонала;
3. Прокладка кабелей связи (где это целесообразно) в местах, затрудняющих несанкционированный доступ к ним;
4. Отключение на ПЭВМ управления, сервере обработки данных и контроллерах неиспользуемых сервисов;
5. Доступ посторонних лиц в помещения, где размещается оборудование АСУ ТП, каналы связи, ПЭВМ управления оборудованием, серверное оборудование, должен производиться только в присутствии сопровождающих;
6. Разработка руководств и регламентирующей документации для исключения ошибочных действий персонала;
7. Обучение персонала (при возможности с получением сертификатов о прохождении обучения и сдаче квалификационного экзамена) использованию оборудования в составе АСУ ТП – в первую очередь работе с контроллерами и SCADA-системой, – а также работе с применяемым в системе общесистемным и серверным программным обеспечением и средствами защиты информации;
8. Проведение кадровых проверок чистоплотности сотрудников – анализ рекомендаций, полученных сотрудниками на предыдущих местах работы, психологическое профилирование сотрудников и т.д.;
9. Изоляция сети АСУ ТП, а также связанных с ней сетей, от открытых сетей передачи данных или сегментов корпоративной сети, имеющих доступ в открытые сети передачи данных. Информация, содержащая отчеты о результатах работы, может выноситься за пределы изолированных сегментов на носителях однократной записи, таких как CD-R, DVD-R;
10. Тестирование поведения новых прошивок контроллеров, обновлений программного обеспечения и изменения конфигураций АСУ ТП на тестовом макете лаборатории;
11. Опечатывание неиспользуемых портов оборудования, а также крышек корпусов системных блоков и периодический контроль состояния печатей; 12. Ведение журнала учета персональных идентификаторов пользователей (получение идентификаторов только на время дежурства).
Объект защиты | Угрозы | Примечание |
Технологическое оборудование | Нарушение условий проведения технологического процесса | Требует физического доступа к оборудованию с целью его порчи |
Вывод оборудования из строя | ||
Результаты исследований |
Хищение информации об условиях проведения исследований | Требует физического доступа к оборудованию с целью установки собственных датчиков в технологическое оборудование |
Нарушение условий проведения технологического процесса | Требует физического доступа к используемому оборудованию и расходным материалам | |
Хищение результатов работы | Требует доступа к объектам защиты | |
Порча результатов работы | Требует доступа к объектам защиты | |
Датчики и исполнительные устройства | Вывод объектов защиты из строя с целью нарушения или прерывания технологического процесса | Требует физического доступа к объектам защиты с целью их порчи |
Отправка исполнительным устройствам несанкционированных команд с целью нарушения или прерывания технологического процесса |
Реализуется удаленно или посредством физического доступа. Требует подключения к каналам связи между контроллером и исполнительными устройствами | |
Контроллер |
Вывод контроллера из строя с целью нарушения условий проведения технологического процесса | Реализуется удаленно или посредством физического доступа. При удаленном подключении требует доступа к каналам связи между контроллером, датчиками и исполнительными устройствами или каналам связи со SCADA-системой |
Захват управления контроллером с целью хищения информации об условиях проведения технологического процесса | Реализуется удаленно. Требует доступа к каналам связи со SCADA-системой | |
Захват управления контроллером с целью подмены информации, отправляемой в SCADA-систему или передаваемой на исполнительные устройства | Реализуется удаленно или локально (физический доступ). При физическом доступе необходимо подключение
к портам локального управления контроллером. При удаленном доступе необходимо подключение к каналам связи со SCADA-системой |
|
Создание условий для возникновения временных задержек при обработке контроллером информации (получении- передачи информации от подключаемых к нему компонентов системы автоматизации) или невозможности обработки поступающих на контроллер данных и передачи информации | Реализуется удаленно. Требует доступа к каналам связи между контроллером, датчиками и исполнительными устройствами или каналам связи
со SCADA-системой |
|
Подмена или хищение карты загрузочной памяти центрального процессора | Требует физического доступа | |
Каналы связи между контроллерами и датчиками, и исполнительными механизмами |
Несанкционированное получение информации о передаваемых датчиками на контроллер данных, а также о командах, передаваемых на исполнительные механизмы | Реализуется удаленно |
Навязывание контроллеру ложной информации о параметрах протекания технологического процесса. Отправка исполнительным механизмам ложных команд | Реализуется удаленно | |
Частичное или полное нарушение связи между контроллером, датчиками и исполнительными механизмами | Может реализовываться как через физический, так и через удаленный доступ | |
Объект защиты | Угрозы | Примечание |
ПЭВМ управления технологическим процессом |
Вывод ПЭВМ из строя путем его физического повреждения. | Требует физического доступа к оборудованию с целью его порчи. |
Вывод ПЭВМ из строя путем повреждения общесистемного программного обеспечения | Может реализовываться как через физический доступ, путем удаления критичных компонентов программного обеспечения, так и путем внедрения на ПЭВМ вредоносного программного обеспечения посредством физического или удаленного доступа к ПЭВМ | |
Вывод из строя программного обеспечения, отвечающего за мониторинг и управление технологическим процессом | ||
Уничтожение информации о протекании технологического процесса | Может реализовываться как через физический, так и через удаленный доступ. Может реализовываться уполномоченным лицом | |
Внесение задержек (вплоть до полного «зависания») в функционирование установленного программного обеспечения, с целью нарушения условий мониторинга и управления технологическим процессом | Может реализовываться путем установки на ПЭВМ стороннего программного обеспечения, занимающего часть вычислительных мощностей, или путем передачи на ПЭВМ большого объема информации, не относящейся к технологическому процессу, но требующей обработки | |
Отправка ложных команд управления с ПЭВМ на другие объекты защиты обслуживающим персоналом с целью нарушения условий протекания технологического процесса |
Реализуется через физический доступ к ПЭВМ и программное обеспечение управления технологическим процессом уполномоченным лицом |
|
Отправка ложных команд управления на другие объекты защиты вредоносным программным обеспечением с целью нарушения условий протекания технологического процесса | Внедрение вредоносного программного обеспечения может реализовываться удаленно или локально | |
Захват управления ПЭВМ с целью навязывания оператору ложной информации о протекании технологического процесса | Может осуществляться как локально, так и удаленно с применением средств социальной инженерии | |
Захват управления ПЭВМ с целью получения несанкционированного доступа к данным об условиях протекания технологического процесса или нарушения хода технологического процесса | Может осуществляться как локально, так и удаленно с использованием программного обеспечения, не являющегося вредоносным (программы удаленного управления) и с применением средств социальной инженерии | |
Несанкционированное подключение к ПЭВМ мобильных устройств и организация канала утечки через мобильные устройства | Требует физического доступа к ПЭВМ | |
Каналы связи между ПЭВМ управления технологическим процессом и контроллерами | Навязывание ПЭВМ управления ложной информации о параметрах протекания технологического процесса. Отправка контроллеру ложных команд управления | Реализуется удаленно |
Частичное или полное нарушение связи между контроллером и ПЭВМ управления | Может реализовываться как через физический, так и через удаленный доступ | |
Нарушение работы программного обеспечения, отвечающего за процесс дублирования данных с ПЭВМ управления на сервер обработки данных, в результате чего данные не будут переданы своевременно или не будут переданы вообще | Может реализовываться как через физический, так и через удаленный доступ. Может реализовываться уполномоченным лицом | |
Несанкционированное получение информации, передаваемой между контроллером и ПЭВМ управления | Реализуется удаленно | |
Объект защиты | Угрозы | Примечание |
Сервер обработки данных о ходе технологического процесса |
Уничтожение данных о протекании технологического процесса | Может реализовываться как через физический, так и через удаленный доступ |
Вывод сервера из строя путем его физического повреждения | Требует физического доступа к оборудованию с целью его порчи | |
Вывод сервера из строя путем повреждения общесистемного программного обеспечения | Может реализовываться как через физический доступ, путем удаления критичных компонентов программного обеспечения, так и путем внедрения на сервер вредоносного программного обеспечения посредством физического или удаленного доступа к серверу | |
Захват управления сервером с целью навязывания информации о протекании технологического процесса структурам, ответственным за анализ результатов работы, а также ERP-системе | Может реализовываться как через физический, так и через удаленный доступ | |
Внесение задержек (вплоть до полного
«зависания») в функционирование установленного программного обеспечения, с целью нарушения своевременного предоставления информации о протекании технологического процесса структурам, ответственным за анализ результатов работы, а также ERP-системе |
Может реализовываться путем установки на сервер стороннего программного обеспечения, занимающего часть вычислительных мощностей, или путем передачи на сервер большого объема информации, не относящейся к технологическому процессу, но требующей обработки | |
Каналы связи между сервером обработки данных о ходе технологического процесса и ПЭВМ управления технологическим процессом | Нарушение связи между сервером обработки данных и ПЭВМ управления | Может реализовываться как через физический, так и через удаленный доступ (перегрузка канала связи) |
Навязывание серверу ложной информации о протекании технологического процесса | Реализуется удаленно |
Предложенные мероприятия и средства защиты информации позволяют снизить потери от действий злоумышленников и вредоносного программного обеспечения, разграничить область ответственности между различными участниками работ, однако они не являются достаточными. Для обеспечения оптимальных условий защищенности от несанкционированного доступа, а также возможности использования систем в интересах государственного заказчика необходимо подкреплять выработанные проектные решения требованиями стандартов, разработанных государственными регулирующими органами. Примером такого стандарта являются Требования [3]. Исследования требований и предложение возможных подходов к их выполнению могут быть темой для отдельных статей.
Список литературы
- Зубов Д.В., Строков С.С. Автоматизация стендового комплекса для изучения фототрофов и анализ возможностей повышения энергоэффективности процесса//Известия Московского государственного технического университета МАМИ. 2013. №1 (15). Т.4.
- Беляевский М.Ю., Колмогоров Г.Ю., Заика А.И., Беляевский Д.М., Бабарыкин Н.М. Определение гидравлического сопротивления и эффективности массообменных тарелок//Нефтепереработка и нефтехимия. 2014. №1.
- «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. №31.