Информационная безопасность автоматизированных систем управления (АСУ)

Автоматизированная система управления (АСУ) — это систематизированный набор методов, программных и технических средств, используемый для регулирования и контроля над различными операциями в работе организации.

Информационная безопасность автоматизированных систем (ИБ) — это состояние информационной системы, при котором обеспечены секретность, доступность и целостность данных, циркулирующих в ней.

Выделяют следующие виды автоматизированных систем:

• объектами — АСУО;
• технологическим процессом — АСУ ТП;
• отраслью — ОАСУ;
• предприятием — АСУП;
• войсками — АСУВ;
• дорожным движением — АСУ ДД;
• и проч.

Преимущества использования АСУ в промышленности

Автоматизированная система управления, как правило, состоит из трех уровней: пульта (панели) управления, оборудования для обработки данных и типовых элементов автоматики, то есть различных датчиков, маршрутизаторов, устройств управления и проч.

Использование АСУ позволяет компаниям существенно сокращать эксплуатационные расходы, наращивать объемы выпускаемой продукции без потери в качестве, повышать уровень безопасности на предприятии за счет минимизации влияния человеческого фактора — то есть сокращения количества ошибок в производственном процессе.

Так, согласно данным Fortune Business Insights, объем мирового рынка промышленной автоматизации показывает стабильный рост, стремясь к отметке в $400 млрд к концу десятилетия.

При этом ожидается, что такие новшества, как цифровизация, появление беспроводной технологии 5G, расширение дополненной реальности (AR), использование технологии цифрового двойника и промышленного интернета вещей (IIoT) еще больше ускорят рост мирового рынка промышленной автоматизации.

Сегодня автоматизированные системы используются не только для управления промышленным оборудованием. АСУ хорошо зарекомендовали себя в энергетике, логистике, медицине, образовании, системах освещения, дорожного движения и практически во всех областях сельского и промышленного хозяйства.

Зачем нужна защита информации в АСУ?

Цифровизация промышленности характеризуется высоким уровнем автоматизации и растущей связью с внешними сетями, что открывает новые уязвимости для реализации информационных угроз: саботажа, кибератак, хищения конфиденциальных данных и проч. Все это актуализирует вопрос обеспечения безопасности автоматизированных систем управления, а также и данных, которые обрабатываются в АСУ.

При этом многие предприятия, в том числе относящиеся к энергетическому комплексу, являются объектами критической информационной инфраструктуры (КИИ) — и обеспечение информационной безопасности таких предприятий обязательно по закону. Проверки реализованных мер осуществляются регуляторами: ФСТЭКом, ФСБ, ФСО, Минкомсвязи, Роскомнадзором. В случае если регуляторы сочтут недостаточными принятые меры ИБ, предприятие получит крупный штраф, размер которого постоянно пересматривается в сторону увеличения (вплоть до оборотных штрафов).

Утечки информации в учреждениях, которые с помощью АСУ обрабатывают огромные массивы персональных данных, чреваты финансовым и репутационным ущербом. Личная, иногда чувствительная информация пользователей или граждан представляет особый интерес для криминальных групп.

Специфика эксплуатации и уязвимости

Большая часть АСУ распределены территориально, при этом взаимодействуют между собой через обмен большим массивом данных. Выделяют следующие особенности распределенных АСУ:

• используется большое количество различных методов передачи и хранения информации;
• данные из разных источников объединены в базы, при этом некоторые размещены в распределенных узлах сети;
• информация, обрабатываемая средствами АСУ, используется большим количеством пользователей;
• существует острая нехватка кадров и специализированного ПО для защиты АСУ от киберугроз.

Векторы атак и угрозы ИБ

Автоматизированные системы управления особенно чувствительны даже к самым минимальным угрозам ИБ. Рассмотрим основные векторы атак.

• Технические и сетевые угрозы

   
  • Нарушение периметра технологической сети. Проникновение через корпоративную сеть в технологический сегмент (преодоление "воздушного зазора").
  • Атаки на ОС и ПО. Эксплуатация уязвимостей, переход по фишинговым ссылкам.
  • Проникновение через удаленный доступ. Использование небезопасных протоколов подключения.
  • Использование неучтенных программ. Установка незарегистрированного ПО с уязвимостями.
  • Перехват информации. Считывание данных по электромагнитным, акустическим и иным каналам.
• Человеческий фактор и инсайдеры

   
  • Разглашение доступов. Передача логинов/паролей третьим лицам по халатности.
  • Вербовка сотрудников. Шантаж или подкуп персонала, имеющего привилегированный доступ.
  • Внедрение инсайдеров. Работа агентов внутри штата для хищения сведений или саботажа.
  • Саботаж. Умышленные действия нелояльных сотрудников (изменение режимов работы, забастовки).
• Физические угрозы

   
  • Неправомерное отключение оборудования. Разрыв сети, обесточивание.
  • Физическое разрушение. Уничтожение компонентов системы.
  • Хищение носителей. Кража дисков, флеш-накопителей, ЭВМ.
  • Использование остаточной информации. Восстановление данных с выброшенных, но не уничтоженных носителей.
  • Шпионаж. Использование подслушивающих устройств, скрытая съемка.

Реальные инциденты на АСУ ТП

Меры по обеспечению безопасности АСУ

Комплексная защита строится на сочетании трех типов мер. Представим их в таблице.

Стандарты и ГОСТы

Чтобы успешно реализовать проекты по защите АСУ, нужно применять подход, объединяющий потребности организации, требования регуляторов и лучшие мировые практики.

• IEC 62443 — международные стандарты для промышленных систем управления (риск-ориентированный подход).
• Постановление Правительства РФ №676 — требования к государственным информационным системам.
• Приказ ФСТЭК №17 — требования по обеспечению безопасности значимых объектов КИИ.
• ГОСТ Р 51583–2014 — требования к ПО встроенных систем управления технологическими процессами.

Вывод

При обеспечении информационной безопасности автоматизированных систем управления важно внедрять меры по противодействию не только внешним, но и внутренним угрозам. Как показывает практика, наибольший риск для АСУ представляет именно деятельность человека: халатность сотрудников при выполнении рабочих задач, деятельность инсайдеров и нелояльных организации сотрудников, промышленный шпионаж.

Часто задаваемые вопросы (FAQ)

• Что такое «воздушный зазор» (Air Gap) в АСУ?

   

  Это метод защиты, при котором технологическая сеть физически изолирована от корпоративной сети и интернета. Однако в современных реалиях полная изоляция затруднена необходимостью обновлений и удаленного мониторинга.

• Обязательно ли устанавливать антивирус на промышленные контроллеры?

   

  На сами контроллеры (PLC) антивирус обычно не ставится из-за специфики ОС, но рабочие станции операторов (SCADA) и серверы управления обязательно должны быть защищены специализированным промышленным антивирусным ПО.

• Как DLP-система помогает защитить завод?

   

  DLP-система (например, SecureTower) контролирует передачу файлов, использование флешек и действия сотрудников за ПК. Это предотвращает утечку чертежей, рецептур и кодов доступа к оборудованию.

• Является ли любая АСУ объектом КИИ?

   

  Не любая, но если АСУ функционирует в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сферы и других стратегических отраслей, она может быть отнесена к объектам Критической Информационной Инфраструктуры (КИИ).

• Чем отличается АСУ ТП от АСУП?

   

  АСУ ТП управляет физическими процессами (станками, турбинами, конвейером), а АСУП (предприятием) — организационными и экономическими процессами (бухгалтерия, кадры, планирование).