Обеспечение безопасности АСУ ТП: важен комплексный подход

Современные системы управления технологическими процессами (АСУ ТП) стали неотъемлемой частью многих отраслей, от энергетики до производства. Однако с ростом зависимости от цифровых технологий, растет и риск кибератак, которые могут привести к серьезным последствиям, от простоев до аварийных ситуаций.

В статье рассмотрим ключевые аспекты обеспечения безопасности АСУ ТП и поговорим о том, как защитить системы управления от современных киберугроз.

АСУ ТП: важность и угрозы

От энергетики и нефтегазовой промышленности до производства и транспорта, АСУ ТП отвечают за управление сложными технологическими процессами, обеспечивая бесперебойную работу предприятий и стабильность инфраструктуры. Их роль в поддержании стабильности и эффективности критически важных отраслей сложно переоценить.

Однако с развитием цифровых технологий, системы управления становятся все более уязвимыми перед киберугрозами. Злоумышленники могут получить доступ к системам управления, нарушить их работу, вывести из строя оборудование или даже создать угрозу для жизни и здоровья людей. Но и сами сотрудники предприятий, использующий АС ТП могут стать причиной нарушений ее безопасности.

Дмитрий Дудко

Заместитель генерального директора Spacebit

АСУ ТП — это ключевая информационная система в компании. Ее ни в коем случае не рекомендуется подключать к сетям общего пользования и даже внутренним сетям предприятия. Очень важно также контролировать конфигурации оборудования и вносить в них изменения в случае необходимости. Обнаружить уязвимости в настройках и определить уровень их критичности помогут специализированные решения для управления безопасностью конфигураций.

Самая фатальная ошибка при настройке и эксплуатации АСУ ТП — отсутствие контроля над внесением изменений в настройки систем. От влияния человеческого фактора не застрахован никто. Именно поэтому для снижения рисков ИБ крайне важно выстроить постоянный автоматизированный процесс управления безопасностью конфигураций системного, прикладного программного обеспечения, а также сетевого оборудования.

Примеров реальных атак на АСУ ТП множество:

1. 2010 год — вирус Stuxnet, созданный специально для саботажа иранской ядерной программы, повредил центрифуги на ядерном объекте в Натанзе.
2. 2015 год — хакеры атаковали украинскую электроэнергетическую сеть, вызвав отключение электричества в десятках тысяч домов.
3. 2017 год — вирус NotPetya, направленный на корпоративные сети, привел к серьезным сбоям в работе многих предприятий, включая крупные транспортные компании.

Эти случаи показывают, что киберугрозы для АСУ ТП — не просто теоретическая угроза, а реальная опасность, которая может привести к катастрофическим последствиям.

Основные угрозы для АСУ ТП

Современные АСУ ТП сталкиваются с широким спектром киберугроз, которые могут привести к серьезным последствиям. Злоумышленники могут атаковать системы с помощью DDoS-атак, заражать их вредоносным ПО, использовать фишинг для кражи данных или напрямую вмешиваться в работу промышленных контроллеров. Отдельно стоит отметить, что использование современных технологий, таких как IoT и облачные решения в производстве, зачастую работает на руку киберпреступникам.

Владимир Дащенко

Эксперт Kaspersky ICS CERT

С одной стороны, внедрение новых технологий предоставляет новые возможности для повышения эффективности и гибкости производства, а также для оптимизации ресурсов. С другой стороны, использование IoT и облачных технологий увеличивает поверхность атаки, появляются дополнительные точки входа для злоумышленников.

Увеличивается количество потенциально эксплуатируемых уязвимостей, связанных с использованием открытых протоколов связи, уязвимых компонентов от третьих сторон и недостаточной защищенностью облачных сервисов.

Новые технологии требуют более комплексного подхода к безопасности, который включает в себя следование принципам безопасной разработки, проведение различных тестирований по безопасности программных компонентов, мониторинг и анализ трафика, управление доступом и идентификацией устройств. Конечная цель — переход к киберимунному подходу на этапе проектирования новых устройств и технологий.

Мотивы злоумышленников могут быть различными: финансовая выгода, политические цели или желание нанести ущерб предприятиям или инфраструктуре. Успешные кибератаки могут привести к простою оборудования, материальному ущербу и даже угрозе жизни и здоровью людей.

К сожалению, угрозы для систем управления технологическими процессами не всегда приходят извне. При настройке и эксплуатации АСУ ТП часто допускаются ошибки, которые могут привести к серьезным последствиям, вплоть до сбоев в работе и угрозы безопасности. 

Илья Карпов

Руководитель экспертной группы в области безопасности АСУ ТП, BI.ZONE

К сожалению, типичных ошибок при настройке и эксплуатации АСУ ТП много:

1. Несоблюдение или отсутствие парольной политики. Например, если после пусконаладочных работ сотрудники не меняют пароли и учетные записи, а оставляют варианты «по умолчанию».
2. Невыполнение в полной мере регламентов кибербезопасности, которые приняты в компании. Например, регламентация правил и процедур идентификации и аутентификации, правил и процедур управления доступом и т. п.
3. Частые модернизации, добавления устройств или ПО и объединения сетей не документируются, а инвентаризируются и восстанавливаются по факту, иногда после инцидентов кибербезопасности. Инвентаризация активов происходит слишком поздно и отличается от проектируемой.
4. Отсутствие специальных временных окон и регламентов для обновления ПО и прошивок. Наличие актуальных уязвимостей в программном и аппаратном обеспечении.
5. Ошибки конфигураций, которые могут привести к несанкционированному доступу к важным компонентам системы автоматизации и управления технологическими процессами.
6. Неконтролируемое подключение инженерных ноутбуков в разных сетях и отсутствие контроля за используемыми на них СЗИ и ПО.
7. По умолчанию настроенные, не обновляемые или даже отключенные СЗИ.
8. Использование незадокументированного оборудования, особенно с возможностью удаленного доступа.
9. Наличие вредоносного ПО и использование нелицензионного контента, включая ПО, патчи и т. д.
10. Отсутствие двухфакторной аутентификации, особенно для удаленного доступа.
11. Отсутствие шифрования каналов связи.

В результате возможны сбои в работе оборудования, потеря данных, финансовые потери и даже угроза жизни и здоровью людей. Поэтому очень важно уделять максимальное внимание безопасности АСУ ТП, правильно настраивать и эксплуатировать системы, а также регулярно проводить аудит и мониторинг безопасности.

Современные технологии для обеспечения безопасности АСУ ТП

Современные технологии играют все более важную роль в обеспечении безопасности АСУ ТП. Системы обнаружения и предотвращения вторжений (IDS/IPS) позволяют выявлять и предотвращать кибератаки в реальном времени, анализируя сетевой трафик и выявляя подозрительную активность.

Системы анализа угроз и управления рисками помогают оценить уязвимость систем и выработать стратегии по снижению рисков кибератак. Технологии промышленного интернета вещей (IoT) позволяют собирать и анализировать данные о безопасности с различных устройств АСУ ТП, что позволяет выявлять аномалии и угрозы в реальном времени.

Облачные решения предоставляют возможность хранить и обрабатывать данные АСУ ТП в безопасном облачном хранилище, а также использовать облачные сервисы для обеспечения безопасности и управления системами. Это позволяет снизить затраты на создание и поддержание собственной инфраструктуры безопасности, а также получить доступ к более современным и гибким решениям.

При этом как говорилось выше, технологии промышленного интернета вещей (IoT) и облачные решения, вместо обеспечения безопасности и упрощения процессов, могут стать дополнительной угрозой.

Максим Большаков

Директор по развитию направления кибербезопасности EdgeЦентр

Переход к автоматизированным системам управления технологическими процессами оказывает значительное влияние на количество и качество уязвимостей в области информационной безопасности. В качестве основных аспектов можно рассмотреть:

1. Увеличение точек входа. Подключение к Интернету вещей (IoT) расширяет количество устройств и сенсоров, которые могут быть доступными для атак. Чем больше устройств, тем больше возможностей для злоумышленников. С этим пока ничего не поделать, так как это обратная сторона медали цифровизации.
2. Новая архитектура сетей. Переход на распределенные облачные решения изменяет архитектуру сетей и создает новые уязвимости. Облачные системы могут стать мишенью для атак, если не будут должным образом защищены.
3. Протоколы безопасности. Использование протоколов IoT, таких как MQTT или CoAP, требует особого внимания к их безопасности. Не все протоколы обеспечивают достаточный уровень защиты, что может привести к уязвимостям. Своевременное поддержание версионности протоколов поможет уменьшить влияние на уровень угрозы, но не исключит его полностью.
4. Обновления и патчи. Автоматизированные системы требуют регулярных обновлений для устранения уязвимостей. Необновленные системы могут стать легкой целью для атак, особенно в облачных средах.
5. Недостаток стандартов. В области IoT и облачных решений до сих пор отсутствуют универсальные стандарты безопасности, что может привести к незащищенности отдельных компонентов системы.
6. Человеческий фактор. Переход на новые технологии часто сопровождается недостатком знаний и навыков у персонала, что увеличивает риск неправильной настройки и эксплуатации систем.
7. Подход к архитектуре безопасности. Важно внедрять комплексный подход к безопасности, включая контроль доступа, шифрование данных и мониторинг трафика, чтобы минимизировать количество уязвимостей.

Поэтому переход к автоматизированным системам управления технологическими процессами, включая использование IoT и облачных решений, значительно увеличивает как количество, так и комплексность уязвимостей информационной безопасности.

Необходимы тщательные меры по обеспечению защиты на всех уровнях системы для минимизации рисков.

Рекомендации по обеспечению безопасности АСУ ТП

Чтобы минимизировать риски кибератак на АСУ ТП, необходимо принять ряд мер по обеспечению безопасности систем.

Ильфат Гильмутдинов

Директор по развитию бизнеса Cloud Networks

ИБ — процесс системный. При постоянно возрастающей сложности задач автоматизации и связанным с ней развитием управляющих функций АСУ ТП в условиях постоянно изменяющегося ландшафта угроз обеспечение ИБ не может быть «статичной» деятельностью. Процесс обеспечения ИБ должен быть системным, а средства (включая организационные меры и документальное обеспечение) — актуальными, чтобы обеспечивать эффективное реагирование на возникающие вызовы кибербезопасности.

Недостаточно опираться только на требования Регулятора, необходимо на системной основе анализировать потенциальные риски и актуализировать мероприятия по обеспечению ИБ, делая меры и методы противодействия адекватными актуальным угрозам. Как известно, ИБ «денег не зарабатывает», поэтому в «битве за финансы» немаловажно иметь под рукой инструмент обоснования бюджета и «доведения задачи до числа», позволяющий приоритизировать меры ИБ и четко обосновывать их эффективность. ИБ не зарабатывает, ИБ экономит.

Помимо технических мер, важную роль играет постоянный мониторинг безопасности систем, чтобы своевременно выявлять уязвимости и принимать меры по их устранению.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Для безопасности автоматизированной управленческой системы большое значение имеет изоляция от корпоративных сетей. Наилучший вариант — полная изоляция, при которой технологические системы физически изолированы от других сетей. Однако на практике это встречается редко. Если, к примеру, требуется передача телеметрии АСУ ТП в корпоративную сеть, возможно использовать сетевые диоды, которые представляют собой однонаправленные шлюзы передачи данных. Эти устройства физически ограничивают движение трафика только в одном направлении и используются для передачи информации из сети АСУ ТП в другие сети.

Самым сложным с точки зрения обеспечения безопасности является необходимость двухсторонней связи с сегментами решения. В этом случае используют не только межсетевой экран на периметре технологической сети с функцией предотвращения сетевых атак (IPS), но и дополнительные меры защиты, как, например, организация демилитаризованной зоны с терминальными серверами, чтобы избежать прямых соединений из корпоративной сети.

После выбора подходящего уровня изоляции определяют необходимость использования дополнительных средств защиты, таких как защита конечных точек (антивирус и EDR), выявление аномалий в сети (NTA), регулярный анализ защищенности компонентов АСУ ТП (Vulnerability Management), анализ и корреляция событий безопасности (SIEM). Важно иметь в виду, что средства защиты должны быть в специализированных версиях для АСУ ТП, чтобы обеспечить полноценную защиту и совместимость с используемыми технологическими системами.

Необходимо разработать четкий план действий при возникновении кибератаки, чтобы быстро и эффективно восстановить работу системы. Обучение персонала основам информационной безопасности, осведомление о киберугрозах и правилах безопасной работы с компьютерами и системами являются неотъемлемой частью предотвращения кибератак. Наконец, важно создать контакты с правоохранительными органами и информировать их о подозрительной активности, чтобы быстро и эффективно реагировать на кибератаки и пресекать преступную деятельность.

Заключение

Обеспечение безопасности АСУ ТП — это не единоразовая задача, а постоянный процесс, требующий комплексного подхода. Только сочетание физических, сетевых и программных мер безопасности, а также четкой политики и обучения персонала может обеспечить надежную защиту от кибератак. 

Виктор Гулевич

Директор центра компетенций по информационной безопасности Т1 Интеграция

Для обеспечения кибербезопасности АСУ ТП предприятиям рекомендуется в первую очередь проводить комплексный аудит безопасности всей ИТ-инфраструктуры и использовать многоуровневую систему защиты: межсетевые экраны, средства антивирусной защиты, а также системы обнаружения и предотвращения вторжений. Необходимо внедрять строгие политики управления доступом, используя при этом многофакторную аутентификацию. Важно не забывать о регулярном обновлении ПО и прошивок всех без исключения компонентов систем управления.

Важно постоянно мониторить безопасность систем, своевременно обновлять программное обеспечение, отслеживать новые угрозы и совершенствовать меры безопасности. В будущем необходимо уделить особое внимание дальнейшим исследованиям и разработкам в области кибербезопасности АСУ ТП.