+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    04.12.2024

    Информационная безопасность автоматизированных систем управления (АСУ)

    План статьи:

    1. Преимущества использования АСУ в промышленности

    2. Зачем нужна защита информации в АСУ?

    3. Специфика эксплуатации автоматизированных систем управления в контексте ИБ

    4. Угрозы информационной безопасности для АСУ

    5. Векторы атак на автоматизированные системы

    6. Реальные инциденты на АСУ ТП

    7. Стандарты и ГОСТы по обеспечению безопасности данных в АСУ

    Автоматизированная система управления (АСУ) — это систематизированный набор методов, программных и технических средств, используемый для регулирования и контроля над различными операциями в работе организации. Выделяют следующие автоматизированные системы:

    • объектами — АСУО;
    • технологическим процессом — АСУ ТП;
    • отраслью — ОАСУ;
    • предприятием — АСУП;
    • войсками — АСУВ;
    • дорожным движением — АСУ ДД;
    • и проч.

    Информационная безопасность (ИБ) — это состояние информационной системы, при котором обеспечены секретность, доступность и целостность данных, циркулирующих в ней. 

    Преимущества использования АСУ в промышленности

    Автоматизированная система управления, как правило, состоит из трех уровней: пульта (панели) управления, оборудования для обработки данных и типовых элементов автоматики, то есть различных датчиков, маршрутизаторов, устройств управления и проч.

    Важно отметить, что участие человека в работе с АСУ сведено к минимуму, но все же присутствует — на этапе настройки системы и при принятии важных решений.

    Использование АСУ позволяет компаниям существенно сокращать эксплуатационные расходы, наращивать объемы выпускаемой продукции без потери в качестве, повышать уровень безопасности на предприятии за счет минимизации влияния человеческого фактора — то есть сокращения количества ошибок в производственном процессе. Преимущества эксплуатации АСУ обуславливают рост их популярности во всех отраслях промышленности.

    Так, согласно данным Fortune Business Insights, объем мирового рынка промышленной автоматизации в 2022 году оценивался приблизительно в $206 млрд, а к 2029 году, по прогнозам, достигнет $395 млрд, что соответствует среднегодовому темпу роста практически в 10%.

    При этом ожидается, что такие новшества, как цифровизация, появление беспроводной технологии 5G, расширение дополненной реальности (AR), использование технологии цифрового двойника и промышленного интернета вещей (IIoT) еще больше ускорят рост мирового рынка промышленной автоматизации.

    Сегодня автоматизированные системы используются не только для управления промышленным оборудованием. АСУ хорошо зарекомендовали себя в энергетике, логистике, медицине, образовании, системах освещения, дорожного движения и практически во всех областях сельского и промышленного хозяйства.

    Помимо этого, многие автоматизированные системы поддерживают функционал по сбору и обработке данных с объекта. Это позволяет ускорить процесс принятия решений и еще больше минимизировать участие человека в производственных операциях.

    Тем не менее, значительное усложнение информационных систем на промышленных предприятиях, а также архитектуры их операционных технологий, включая АСУ, расширили масштаб угроз, реализация которых может привести к катастрофическим последствиям. 

    Зачем нужна защита информации в АСУ?

    Цифровизация промышленности характеризуется высоким уровнем автоматизации и растущей связью с внешними сетями, что открывает новые уязвимости для реализации информационных угроз: саботажа, кибератак, хищения конфиденциальных данных и проч.  Все это актуализирует вопрос обеспечения безопасности автоматизированных систем управления, а также и данных, которые обрабатываются в АСУ.

    Зачем это нужно?

    Как уже говорилось выше, помимо экономического и репутационного ущерба, кибератаки и утечки данных на АСУ могут спровоцировать крупные, порой катастрофические события (например, выбросы опасных веществ в атмосферу, пожары, взрывы) — с серьезными последствиями для работников, населения и окружающей среды. При этом многие предприятия, в том числе относящиеся к энергетическому комплексу, являются объектами критической информационной инфраструктуры (КИИ) — и обеспечение информационной безопасности таких предприятий обязательно по закону. Проверки реализованных мер осуществляются регуляторами: ФСТЭКом, ФСБ, ФСО, Минкомсвязи, Роскомнадзором. В случае если регуляторы сочтут недостаточными принятые меры ИБ, предприятие получит крупный штраф — до 50 тыс рублей для должностных лиц и до 500 тыс для юридических. При этом на рассмотрении находится законопроект, который позволит при повторном выявлении нарушений назначать штраф от 0,1% до 3% от годового оборота предприятия.

    Утечки информации в учреждениях, которые с помощью АСУ обрабатывают огромные массивы персональных данных, чреваты финансовым и репутационным ущербом. Личная, иногда чувствительная информация пользователей или граждан представляет особый интерес для криминальных групп. Сотрудники предприятия могут непреднамеренно открыть доступ к конфиденциальным данным третьим лицам — по ошибке или вследствие фишинговой атаки, либо целенаправленно — действуя из личной выгоды или руководствуясь злым умыслом.

    Любые инциденты ИБ могут привести к нарушению технологических процессов, осуществляемых посредством АСУ. 

    Специфика эксплуатации автоматизированных систем управления в контексте ИБ

    Большая часть АСУ распределены территориально, при этом взаимодействуют между собой через обмен большим массивом данных.

    Выделяют следующие особенности распределенных АСУ:

    • используется большое количество различных методов передачи и хранения информации;
    • данные из разных источников объединены в базы, при этом некоторые размещены в распределенных узлах сети;
    • информация, обрабатываемая средствами АСУ, используется большим количеством пользователей;
    • сегодня существует острая нехватка кадров и специализированного ПО для защиты АСУ от киберугроз.

    Как уже говорилось выше, операционные технологии оптимизируют производственные процессы, при этом открывают новые векторы для реализации киберугроз. 

    Так, следующие уязвимости АСУ значительно увеличивают риски возникновения инцидентов ИБ.

    • Долгий срок службы систем управления. Как правило, срок службы АСУ составляет от 15 до 30 лет. Это значит, некоторые системы разработаны больше десятилетия назад, и у злоумышленников было достаточно времени, чтобы досконально изучить все уязвимости.
    • Удаленный доступ. Подключение АСУ к беспроводным сетям, а также возможность подключаться к ним удаленно упростили процессы управления, при этом значительно расширили ландшафт угроз. 
    • Сведения о работе автоматизированных систем легко найти. Как правило, с системами работает большое количество людей: инженеры, операторы, управляющие, а также стажеры и специалисты иных направлений. Этот факт значительно увеличивает вероятность утечки сведений об АСУ — особенно по сравнению с периодом, когда доступ к системам имел очень ограниченный круг лиц, подписавших соглашения о неразглашении.
    • Человеческий фактор. Речь идет о сотрудниках, намеренно или непреднамеренно нарушающих политику информационной безопасности предприятия, например, использующих непроверенные съемные носители и проч.
    • Физический доступ. При недостаточности мер, ограничивающих физический доступ к оборудованию, сохраняются риски саботажа или непреднамеренной порчи АСУ.

    Учет описанных выше уязвимостей при организации системы ИБ на предприятии существенно снизит риски реализации угроз. При этом, как показывает практика, большинство предприятий концентрируются на защите от внешних угроз и часто не уделяют внимания угрозам, связанным с внутренними рисками — утечками данных по вине сотрудников, изменением или уничтожением важной информации, а также саботажем или непреднамеренной порче оборудования. Как показывает практика, именно сотрудники и руководители организаций чаще всего становятся виновниками утечек. Помимо этого, контрагенты компаний также нередко совершают действия, которые приводят к несанкционированному распространению конфиденциальной информации.

    Почему так происходит? 

    Чаще всего утечки важной информации о работе АСУ связаны с критически низким уровнем осведомленности о правилах ИБ среди персонала. Сотрудники используют слабые пароли, не умеют распознавать различные схемы мошенничества, по халатности передают важные сведение и документы третьим лицам, используют непроверенные съемные носители.

    Предотвратить утечки конфиденциальной информации по вине сотрудников можно с использованием DLP-системы Falcongaze SecureTower. Оцените возможности системы в бесплатной 30-дневной версии. 

    Угрозы информационной безопасности для АСУ

    Автоматизированные системы управления, в том числе установленные на объектах КИИ, особенно чувствительны даже к самым минимальным угрозам ИБ, которые в других областях не считались бы нарушением. При этом сегодня мы можем наблюдать острую нехватку кадров и ПО, специализирующихся на информационной безопасности автоматизированных систем, а текущие меры ИБ, принятые в организациях, в большинстве случаев ненадежны и не способны обеспечить должный уровень защиты. 

    При организации системы ИБ многие до сих пор сосредотачиваются преимущественно на внедрении систем обнаружения и предотвращения вторжений. При этом очень важно обращать внимание и на другие векторы атак.

    Рассмотрим их подробнее. 

    Векторы атак на автоматизированные системы

    1. Не так давно информационную безопасность АСУ обеспечивали в том числе посредством ограничения физического доступа, то есть через использование так называемых воздушных зазоров. Сегодня большинство АСУ так или иначе подключены к сетям для решения рабочих задач. Если злоумышленник получит доступ к корпоративной сети, он сможет попасть и в технологическую сеть — к автоматизированной системе.
    2. Халатность. Использование непроверенных съемных носителей и подключение внешних модемов. Носитель может быть заражен вредоносным программным обеспечением, модем может открыть доступ из технологической сети в открытый интернет — чего быть не должно.
    3. Цепочки поставок и подрядные организации. Еще один вектор атаки — подрядные организации, которые обслуживают автоматизированные системы и технологическое оборудование и у которых есть возможность подключаться к АСУ удаленно. Если в подрядных организациях недостаточно развита система информационной безопасности, злоумышленники могут проникнуть в технологическую сеть АСУ, минуя все — даже самые основательные — средства защиты информации.

    Исходя из описанных выше векторов, можно выделить наиболее распространенные угрозы ИБ для автоматизированных систем.

    Угроза №1. Нарушение периметра технологической сети. Большая часть АСУ разрабатывались с учетом того, что будут изолированы от интернета и даже от корпоративных сетей. Такой воздушный зазор довольно эффективно защищает от злонамеренных действий на местах, на которых чаще всего реализуются события, приводящие к инцидентам: SCADA-серверах, рабочих станциях персонала, программируемых логических контроллерах и проч.

    Угроза №2. Атаки на операционные системы и программное обеспечение. Как правило, данная угроза связана с нарушениями политики безопасности персоналом предприятия: переходом по фишинговым ссылкам, использованием незарегистрированных съемных носителей, установкой ненадежного программного обеспечения на рабочие станции, эксплуатацией незащищенной системы удаленного доступа и проч.

    Для минимизации влияния угрозы рекомендуется внедрить систему обучения персонала основам информационной безопасности, а также своевременно обновлять программное обеспечение, используемое на предприятии.

    Угроза №3. Проникновение через удаленный доступ. Современные АСУ все чаще подключены к Глобальной сети, что существенно упрощает процесс управления, при этом открывает новые пути для несанкционированного доступа к инфраструктуре предприятия. Еще одна уязвимость, приводящая к реализации данной угрозы, — использование небезопасных протоколов удаленного подключения.

    Угроза №4. Неправомерное отключение оборудования от сети. Реализуется при недостаточности мер, ограничивающих физический доступ к элементам АСУ.

    Угроза №5. Использование неучтенных программ. Незарегистрированное ПО может быть установлено сотрудниками, нарушающими установленные на предприятии правила ИБ. Небезопасное, непроверенное ПО, а также его компоненты, могут содержать уязвимости, открывающие киберпреступникам доступ к компонентам системы.

    Угроза №6. Разглашение, утрата, передача доступов к системе. Происходит по вине персонала организации. Данные для авторизации могут быть переданы третьим лицам умышленно или вследствие ошибки.

    Угроза №7. Физическое разрушение или уничтожение компонентов системы. Реализуется при недостаточности мер, ограничивающих физический доступ к элементам АСУ.

    Угроза №8. Вербовка сотрудников, имеющих определенные полномочия или доступ к охраняемой информации. Может быть реализована путем шантажа, подкупа и проч.

    Угроза №9. Хищение носителей информации: дисков, флеш-накопителей, устройств, имеющих внутреннюю память, и целых ЭВМ.

    Угроза №10. Использование остаточной информации из оперативной памяти и с внешних запоминающих устройств, а также из секторов оперативной памяти, используемых ОС.

    Угроза №11. Хищение отработанных носителей информации, не уничтоженных своевременно согласно регламенту: различных документов, флеш-накопителей, магнитных дисков и проч.

    Угроза №12. Использование подслушивающих устройств и средств перехвата, слежка, несанкционированная фото- и видеосъемка.

    Угроза №13. Внедрение инсайдеров или агентов в штат, последующее хищение или саботаж охраняемых сведений.

    Угроза №14. Различные действия, направленные на саботаж работы предприятия, например, создание напряженной атмосферы в коллективе нелояльными сотрудниками, забастовки, а также изменения режимов работы АСУ, установка оборудования, создающего радиопомехи на частотах, на которых работают автоматизированные системы.

    Угроза №15. Перехват информации, передаваемой по электромагнитным, акустическим и иным каналам связи.

    Важно! Как правило, для достижения цели злоумышленники используют не один, а сразу несколько способов, чтобы проникнуть в систему.

    Как мы видим из перечня, описанного выше, в большинстве своем угрозы ИБ для автоматизированных систем основаны на человеческом факторе и носят преднамеренный характер. Именно поэтому при организации системы безопасности информации для АСУ целесообразно уделить внимание не только мерам, направленным на защиту от внешних угроз, но и защитить системы от непреднамеренной порчи и саботажа, а также обрабатываемые в них данные от эксфильтрации — по вине сотрудников.

    Защитить данные от утечки, изменения и уничтожения можно с помощью DLP-системы Falcongaze SecureTower. Подробнее. 

    Реальные инциденты на АСУ ТП

    Убытки в $1 000 000 на EnerVest вследствие саботажа

    Узнав, что его собираются уволить, сетевой инженер энергетической компании EnerVest из Западной Вирджинии сбросил все сетевые серверы до заводских настроек по умолчанию и отключил удаленное резервное копирование. Известно, что Митчелл столкнулся с уголовным преследованием за совершенное правонарушение. Тем не менее, в результате EnerVest не могла проводить операции в течение 30 дней и понесла убытки более чем в 1 миллион долларов.

    Большой ущерб из-за кибератаки на колбасном заводе «Тавр»

    Весной 2022 года колбасный завод «Тавр» (РФ) — один из крупнейших на юге России производителей продуктов питания — подвергся кибератаке. После установки вредоносное ПО атаковало всю информационную систему — и работа предприятия была парализована. Вследствие инцидента «Тавру» был нанесен значительный экономический ущерб. Представители предприятия заявляют, что это была диверсия.

    Меры по обеспечению безопасности АСУ

    Выделяют три типа мер по обеспечению безопасности автоматизированных систем: физические, организационные и программно-технические.

    Организационные меры направлены на нивелирование влияния человеческого фактора на ИБ:

    • разработка, утверждение и внедрение политики безопасности (далее — ПБ);
    • назначение лиц, ответственных за обеспечение ИБ;
    • разграничение доступов сотрудников к АСУ и ее компонентам.

    Важно: разработка даже самой точной и основательной ПБ не имеет смысла, если сотрудники предприятия не следуют описанным в ней правилам. Контролировать соблюдение политики безопасности при работе с АСУ можно с помощью DLP-системы SecureTower. 

    Также выделяют следующие меры ИБ для автоматизированных систем.

    Обеспечение физической защиты

    Ограничение доступа к оборудованию и компонентам АСУ, рабочим станциям, с помощью ограждений, систем контроля доступа и видеонаблюдения. Установка контрольно-пропускного пункта и охранной сигнализации. Обеспечение сохранности компонентов системы в случае стихийных бедствий: пожаров, землетрясений, наводнений и проч.

    Шифрование данных

    Использование криптографических методов для защиты передаваемых и хранимых данных от несанкционированного доступа.

    Резервное копирование

    Создание резервных копий важных данных и ПО для быстрого восстановления в случае сбоев, саботажа или атак.

    Своевременное обновление ПО

    Установка исправлений и обновлений для устранения уязвимостей и повышения уровня безопасности системы.

    Мониторинг и аудит

    Сбор и анализ информации о событиях в системе для выявления подозрительной активности и потенциальных угроз.

    Обучение персонала 

    Проведение так называемых киберучений, тренингов и семинаров по вопросам ИБ для персонала, работающего с АСУ.

    Использование антивирусов и других средств защиты от вредоносного ПО 

    Необходимо для предотвращения заражения АСУ вирусами и иными вредоносными программами.

    Важно: использование данных мер не гарантирует полную информационную безопасность объекта, при этом существенно сократит риски возникновения инцидентов.

    При обеспечении мер защиты автоматизированных систем важно учитывать требования, описанные в нормативно-правовых актах регуляторов, а также опираться на мировые стандарты безопасности, которые мы рассмотрим ниже. 

    Стандарты и ГОСТы по обеспечению безопасности данных в АСУ

    Чтобы успешно реализовать проекты по защите АСУ, нужно применить подход, который объединит потребности организации, требования регуляторов и лучшие мировые практики. Далее мы подробно рассмотрим мировые стандарты и российские ГОСТы, содержащие требования и рекомендации по защите АСУ.

    • Семейство стандартов IEC 62443. Стандарты базируются на риск-ориентированном подходе и устанавливают требования к безопасности промышленных систем управления. В документах информационная безопасность описана как совокупность операций, которые необходимо регулярно проводить на всех этапах жизненного цикла АСУ.
    • Постановление Правительства Российской Федерации от 06.07.2015 №676, в котором утверждены требования к порядку создания, развития, ввода в действие, эксплуатации и вывода из действия государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.
    • Приказ ФСТЭК от 11.02.2013 №17, утверждает требования по обеспечению безопасности значимых объектов КИИ.
    • ГОСТ Р 51583–2014, устанавливает требования к ПО встроенных систем управления технологическими процессами. Стандарт распространяется на программное обеспечение, которое используется во встраиваемых системах управления и предназначено для выполнения функций контроля и управления объектами автоматизации.

    В заключение

    При обеспечении информационной безопасности автоматизированных систем управления важно внедрять меры по противодействию не только внешним, но и внутренним угрозам. Как показывает практика, наибольший риск для АСУ представляет именно деятельность человека: халатность сотрудников при выполнении рабочих задач, деятельность инсайдеров и нелояльных организации сотрудников, промышленный шпионаж и проч.

    При этом потенциальные риски для экологии и граждан, которые несет остановка технологических процессов или повреждения оборудования на предприятиях, могут быть интересны для служб иностранных государств — особенно в условиях текущей геополитической ситуации в мире. Это делает вопрос обеспечения ИБ автоматизированных систем особенно актуальным.

    Важные публикации

    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Система защиты информации: принципы, методы, преимущества
    Система защиты информации: принципы, методы, преимущества
    Система защиты информации (СЗИ) – это комплекс мер и технологий, деятельность которых направлена на предотвращение утечки защищаемой информации из-за несанкционированного доступа, случайности, либо злонамеренности сотрудника. К основным методам относятся DLP и SIEM системы. В конце прописан порядок внедрения системы информационной безопасности в организацию.
    Средства и системы контроля и управления доступом
    Средства и системы контроля и управления доступом
    Безопасность организации или предприятия – одна из основных задач руководителя. Чтобы сократить риски реальной угрозы возникновения чрезвычайной ситуации, во многих случаях следует обеспечивать физическую защиту и охрану проектируемых или функционирующих объектов. Сегодня такие задачи возлагают на специальные средства и системы контроля и управления доступом (СКУД). В статье специалисты аналитического центра Falcongaze SecureTower собрали основную информацию, которую необходимо знать руководителю о СКУД.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации