Повышение защищенности автоматизированных систем управления технологическими процессами » mogilew.by
 

Повышение защищенности автоматизированных систем управления технологическими процессами

Повышение защищенности автоматизированных систем управления технологическими процессами


Валерий Конявский, 15/05/23
При несанкционированном изменении характеристик производственных процессов многие из них могут нанести серьезный вред окружающей среде, животным и людям. В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне. Неизменность (целостность) потока управляющих сигналов, поступающих на конечные механизмы, необходимо контролировать, иначе внешние воздействия могут привести к катастрофическим последствиям.
Авторы: Валерий Конявский, д.т.н., Светлана Конявская, к.ф.н.

Программно-управляемое оборудование следует считать подконтрольными объектами (ПКО), а каналы связи с вычислительными средствами управления технологическими процессами – информационной инфраструктурой. Эта инфраструктура является критической, если вмешательство в ее использование может привести к значительным проблемам.
Защита критических информационных инфраструктур (КИИ) является сложной задачей, так как:
огромное количество КИИ не проектируется изначально, а уже создано и нуждается в модернизации;
могут использоваться различные каналы связи с различными протоколами информационного взаимодействия;
зачастую КИИ характеризуются жесткими требованиями ко времени и порядку выполнения автоматизированных функций;
зачастую в составе КИИ применяются множество разнородных ПКО, распределенных в пространстве;
отключение ряда ПКО для проведения мероприятий по технической защите информации на длительный срок нежелательно, так как может привести к значительным издержкам.
Это далеко не полный перечень особенностей, но и он дает представление о сложности задачи.
В описанных случаях точно потребуется криптографическая защита. Для этого необходимо в состав ПКО включить средства защиты информации (СЗИ) и средства криптографической защиты информации (СКЗИ). К слову, все существующие сегодня сертифицированные СКЗИ сертифицированы для работы в контролируемой зоне.
ПКО, как правило, имеют разнообразные габариты и свободные места для установки СКЗИ. В связи с этим может случиться так, что потребуется множество средств защиты, имеющих примерно одинаковые функции, но различные формфакторы. С учетом того что разработка СКЗИ и последующая сертификация – процесс трудоемкий и длительный, необходимо найти универсальное решение, что позволит значительно сократить затраты на защиту значимых объектов критических информационных инфраструктур.

Особенности и варианты решений


КИИ в "классическом" смысле, и особенно в части АСУ ТП, характеризует следующее:
основной защищаемой информацией в них является технологическая (обеспечивающая управление технологическими процессами), программно-техническая (программы системного и прикладного характера, обеспечивающие функционирование АСУ ТП), командная (управляющая) и измерительная;
средства защиты должны работать без вмешательства человека, в автоматическом режиме;
средства защиты, в том числе криптографической, должны функционировать в общем случае вне контролируемой зоны, то есть необходимо предусмотреть физическую защиту криптографических ключей от инвазивных воздействий;
опасность последствий вывода из строя и (или) нарушения функционирования АСУ ТП.
Негативные последствия выхода из строя не только АСУ ТП, но и КИИ других типов могут быть отнесены к несущим определенного рода опасность, например при выходе из строя системы обеспечения платежей финансовой организации заметным образом пострадают интересы большого числа граждан. Но именно выход из строя объектов АСУ ТП зачастую связан с угрозой жизни и здоровью людей, что закономерно трактуется как более высокая степень опасности последствий. Речь идет именно о выходе из строя и нарушении нормального функционирования в результате непредвиденного сбоя или вредоносного внешнего вмешательства, а не о переводе системы в нештатный режим функционирования, что, конечно, нежелательно и должно быть сведено к минимуму, однако в некоторых случаях обеспечивает достаточный уровень безопасности.
Большая часть этих особенностей определяет, по существу, лишь одно требование общего характера к используемым средствам защиты информации: они должны создаваться с повышенным вниманием к качеству на всех этапах, от проектирования до производства. Как правило, гарантия особенно высокого качества связана с более высокой ценой продукта, а значит, данный сегмент должен быть крайне привлекательным для производителя, что, в свою очередь, обеспечит конкуренцию, а та повысит общий уровень качества и т.д.
На деле так, к сожалению, не всегда происходит, потому что в основе находятся именно те особенности объектов КИИ, которые характеризуют их техническую, а не организационную уникальность. В первую очередь это то, что вычислительные ресурсы объектов КИИ – не офисные компьютеры общего назначения, на работу с которыми ориентированы в основном производители средств защиты информации. И смежная с нею особенность – вид обрабатываемых на этих вычислительных ресурсах данных. Основания для этого вывода дают следующие рассуждения.
Иметь в своей продуктовой линейке варианты исполнения СЗИ с огромным разнообразием интерфейсов, в том числе довольно экзотических, производителю сложно и невыгодно, ведь многотысячные продажи обеспечивают стандартные интерфейсы, свойственные офисным компьютерам. Аналогично обстоит дело с форматами данных, с файловыми системами, с поддержкой подключаемого оборудования. Поэтому эксплуатирующая или подрядная организация при создании проекта подсистемы защиты информации вынуждена использовать то, что есть, и за ту цену, которую назначит подчас единственный поставщик, а не то, что соответствует высоким требованиям к качеству, надежности и живучести.

Какие существуют решения?


Структурно в КИИ может быть выделена совокупность ПКО и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО.
Это достаточно очевидная схема для любой информационной инфраструктуры, а нетривиальной задачу делает не что иное, как необходимость внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:
криптографическую защиту информации о состоянии ПКО и управляющих сигналов для них (а не файлов, как это делается большинством СКЗИ);
информационное взаимодействие с ПКО через каналы взаимодействия разных типов (USB, Ethernet и др.);
возможность использования стандартных цифровых каналов;
использование разнородных приборных интерфейсов (RS-232, RS-435 и др.).
Очевидно, что большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют в лучшем случае некоторой доработки отдельных ПКО, а в худшем случае – изменения функциональной структуры и замены ПКО на другие, совместимые со средствами защиты. Оба варианта связаны с существенными финансовыми и временными затратами, вплоть до приостановки функционирования, что зачастую неприемлемо. Актуальным становится вариант разработки СЗИ для конкретной системы под заказ. Этот вариант тоже связан с временными и финансовыми затратами, причем успех разработки, разумеется, не гарантирован (хотя обращение к проверенному разработчику существенно повышает его вероятность). Зато заметно снижается травматичность внедрения такой подсистемы для системы в целом. Решение могло бы сочетать плюсы использования серийного продукта и индивидуальной разработки, не сочетая их минусов, если положить в его основу адаптацию к оборудованию конкретного объекта КИИ серийного средства защиты информации. Обязательным условием для того, чтобы такая адаптация не равнялась разработке новой аппаратной платформы, является архитектура, разделяющая интерфейсную и функциональную части изделия.
Пример такого решения на рынке уже есть и в КИИ (особенно в связанных с различного рода транспортом) успешно применяется – это реализация защищенного микрокомпьютера "Новой гарвардской архитектуры" с аппаратной защитой данных в форме постоянного вычислительного компонента и интерфейсной док-станции, специфичной для каждого конкретного типа оборудования. Универсальное СЗИ, выполненное на базе защищенного микрокомпьютера, устанавливается на целевое оборудование через адаптируемую именно к нему интерфейсную док-станцию. Сертифицируется – СЗИ, адаптируется – докстанция, и задача решена. Это все, что допустимо рассказать в рамках статьи нерекламного характера, однако sapienti sat, решение уже известно на рынке.

Что еще не сделано?


Нет нормального определения "контролируемая зона".
"Контролируемая зона" – термин из понятийной системы ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении". Контролируемая зона: пространство, в пределах которого осуществляется контроль над пребыванием и действиями лиц и/или транспортных средств [1]. Очевидно, что понятие имеет весьма опосредованное отношение к защите информации. Привязывает его к этой области, во-первых, стандарт, которым понятие введено, и затем – приказы ФСТЭК России, где к людям и транспортным средствам в число контролируемого включены еще технические и материальные средства [2], то есть, иначе говоря, зона, где контролируется все.
Создать такие условия для работы СКЗИ в КИИ почти невозможно.
Нет также исполняемых требований к защите ключей: имеющиеся требования предусматривают использование микроконтроллеров, которых еще нет в природе. Таким образом, методологический вакуум необходимо заполнить, а пока нужно предложить совокупность компенсирующих мер, позволяющих обеспечить достаточный уровень защищенности.
Например, построить систему инженерной защиты, которая позволит защитить систему от инвазивных атак, обеспечив некоторую степень контролируемости оборудования, расположенного вне контролируемой зоны. Это позволит удалять криптографические ключи в случае детектирования вскрытия корпуса устройства на основании показаний совокупности различных датчиков и т.п.
В целом уже понятно, что необходима разработка новых типов датчиков, интегрированных с устройствами обеспечения неизвлекаемости ключей. Работы в этом направлении уже ведутся.
И разумеется, обязательной мерой должно стать страхование информационных рисков, так как абсолютной защищенности техническими мерами достичь невозможно [3].
ГОСТ Р 52863–2007 “Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования" [электронный ресурс]. URL: https://docs.cntd.ru/document/1200065692 (дата обращения: 23.01.2023).
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [электронный ресурс]. URL: https://fstec.ru/Normotvorcheskaya/akty/53prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 23.01.2023).
Вусс Г., Конявский В., Хованов В. Система страхования информационных рисков // Финансовый бизнес. 1998. № 3. С. 34–36.

www.itsec.ru
рейтинг: 
  • Не нравится
  • +910
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости