Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как защитить критически важные объекты?

В рубрику "ИТ-интеграция" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как защитить критически важные объекты?

В сентябре 2010 г. вирус StuxNet привел к остановке иранской атомной станции. В марте 2013 г. хакеры парализовали работу нескольких крупных финансовых учреждений Южной Кореи. Это лишь пара ярких примеров, подтверждающих общую тенденцию: раньше от киберугроз страдали преимущественно коммерческие организации, сейчас злоумышленники все чаще нацеливаются на так называемые критически важные объекты (КВО). Как же их защитить?
Дмитрий Костров
Директор департамента информационно-
коммуникационных технологий компании "Энвижн Груп"

Согласно определению, используемому в ряде отечественных нормативно-правовых актов, критически важными считаются объекты, нарушение или прекращение функционирования которых приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению или разрушению экономики страны, субъекта или административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени. К разряду КВО можно отнести промышленные предприятия, железнодорожные и авиакомпании, системы электронных платежей, интеллектуальные системы автоматизации для жилых зданий и сооружений инфраструктуры.

Что есть что?

Как правило, в основе КВО лежат автоматизированные системы управления технологическими процессами (АСУ ТП) – специализированные аппаратные и программные средства, предназначенные для мониторинга и контроля промышленного оборудования. В состав АСУ ТП могут входить компоненты разного уровня:

  • системы автоматического управления (Automatic Control System, ACS);
  • промышленные системы управления (Industrial Control System, ICS);
  • распределенные системы управления (Distributed Control System, DCS);
  • системы диспетчерского управления и сбора данных (Supervisory Control and Data Acquisition, SCADA);
  • системы на программируемых логических контроллерах (Program Logic Controller, PLC).

Следует оговориться, что SCADA – довольно широкое понятие. Это инструмент для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. Поэтому иногда SCADA выступает как синоним АСУ ТП, а иногда служит ее подсистемой или частью других автоматизированных систем: контроля и учета энергоресурсов (АСКУЭ), автоматизации здания (BIM), систем научных исследований (АСНИ), экологического мониторинга и т.д.

Вышеперечисленные системы укладываются в понятие эксплуатационных или операционных технологий (OT): словарь Gartner определяет их как аппаратное и программное обеспечение, которое обнаруживает и вызывает изменения путем прямого мониторинга и/или управления физическими устройствами, процессами и явлениями.

Поскольку методики защиты OT-систем проработаны весьма глубоко и успешно применяются на практике, рационально использовать эти действенные подходы для обеспечения безопасности КВО. То есть в широком смысле ОТ-безопасность можно рассматривать как направление кибербезопасности, ориентированное на защиту промышленных систем, в частности, АСУ ТП или SCADA.

ИТ-безопасность и ОТ-безопасность

ОТ-рынок составляет малую часть ИТ-рынка: его отличают специфические стандарты (ProfiBus, AS-Interface, CC-Link, CAN и т.д.), узконаправленные решения, ограниченный круг вендоров. Кроме того, долгое время киберугроз для промышленных систем просто не существовало. Неудивительно, что до определенного момента проблемам ОТ-безопасности не уделяли должного внимания. Но повсеместная автоматизация и вирусы, подобные StuxNet, в корне изменили ситуацию.

Сейчас ИТ-инфраструктура и ОТ-инфраструктура совпадают примерно на 80%, примерно в таком же соотношении подходы к обеспечению ИТ-безопасности применимы к обеспечению ОТ-безопасности. Разница оказывается скромной только на первый взгляд.

Во-первых, базовый принцип ИТ-безопасности – соблюдение трех основных требований: конфиденциальность, целостность и доступность (CIA) - именно в таком порядке. Для ОТ-безопасности список приоритетов обратный: главное - доступность, потом целостность, а на последнем месте конфиденциальность (AIC).


Во-вторых, значительные нюансы проявляются практически во всех ключевых процессах обеспечения безопасности - от антивирусной защиты до жизненного цикла поддержки технологий (см. таблицу).

Добро пожаловать, или Посторонним вход воспрещен

Соблюсти принцип AIC и автоматизировать выполнение вышеназванных процессов безопасности позволяет "принцип замка" (рис. 1): единое правило межсетевого экрана обеспечивает высокий уровень защиты и облегчает управление ОТ-системами, а значит, и КВО в целом.


В общем случае система ОТ-безопасности включает в себя три основных компонента: центр управления и мониторинга (Service Center), коммуникационный сервер (Comm Server) и удаленные программные компоненты (Site Server), оснащенные коннекторами для взаимодействия с ОТ-подсистемами. Такое решение можно реализовать, произведя довольно простые настройки в имеющейся системе ИТ-безопасности. Это означает, что ИТ- и ОТ-специалисты могут даже не пересекаться - каждое подразделение использует инфраструктуру в своих целях.

В качестве примера можно рассмотреть централизованное управление удаленными площадками (рис. 2).


Локальные серверы осуществляют непрерывный мониторинг ОТ-систем на своих площадках и "общаются" с центральным сервером, используя классический VPN-туннель и протокол SSL. Достоинства очевидны: передаваемые данные инкапсулированы, компрессированы и зашифрованы, обманные соединения и внешние DDoS-атаки невозможны.

Как и всякую комплексную задачу, вопросы ОТ-безопасности или, в более широком смысле, защиты КВО следует решать на нескольких уровнях. Рассмотренный подход относится к программно-техническим мерам, которые следует дополнять административными и процедурными. Это значит, что в идеале процедуры ОТ-безопасности должны включаться в общую концепцию безопасности данного объекта, опираться на тщательно проработанную документацию и быть максимально прозрачными

Опубликовано: Журнал "Системы безопасности" #2, 2015
Посещений: 6346

  Автор

Дмитрий Костров

Дмитрий Костров

Директор департамента информационно-коммуникационных технологий компании "Энвижн Груп"

Всего статей:  1

В рубрику "ИТ-интеграция" | К списку рубрик  |  К списку авторов  |  К списку публикаций