Киберриски как неотъемлемая часть цифровизации
Владимир Максименко, 16/02/22
Основа цифровизации – это переход к широкому использованию таких технологий, как Интернет вещей, облака и Big Data. Все они опираются на применение IP-протокола для обмена данными. С точки зрения систем автоматизации зданий это означает переход от использования открытых технологий, таких как KNX, LonWorks и BACnet, требующих определенного профессионального уровня для работы с ними, к массовому использованию IP. Так проблемы использования IP-протокола, прежде всего связанные с кибербезопасностью и киберрисками, становятся проблемами систем автоматизации зданий. Данная тема уже рассматривалась ранее1, однако за последнее время в этой области появились новые разработки.
По данным компании SIEMENS, более 50% мировых данных были сгенерированы за 2020 г., но проанализировано или использовано было менее чем 0,5% этого объема.
Более 700 уязвимостей были выявлены в компонентах АСУ ТП и IIoT за 2017–2018 гг., 56% промышленных предприятий, использующих SCADA/ICS, сообщили о кибератаках в 2018 г.2
Основные причины такого положения:
- устаревшие технологии (средний срок службы АСУ ТП – 15–25 лет);
- децентрализованность;
- фрагментарные решения на местах;
- недостаточность имеющихся средств защиты;
- различные технологические подходы к обеспечению информационной безопасности в разных системах, средах, регионах;
- зависимость от вендора;
- отсутствие ясных методических рекомендаций;
- высокие риски.
Основной вывод в обеспечении кибербезопасности можно сделать такой: кибербезопасность – это не продукт, а процесс. И этот процесс состоит из набора этапов (рис. 1).
Рис. 1. Этапы обеспечения кибербезопасности
Из чего состоит комплексный анализ защищенности
Эффективным инструментом обеспечения кибербезопасности является комплексный анализ защищенности, который может включать в себя следующие компоненты:
- Поиск информации об объекте в открытых источниках.
- Сбор информации обо всех системах АСУ ТП и смежных системах.
- Инструментальный и ручной анализ защищенности различных компонентов.
- Выявление недостатков ИБ и анализ конфигураций безопасности различных систем.
- Детальная проработка как можно большего количества векторов атак.
- Рекомендации по исправлению недостатков, внедрению компенсационных мер или средств ИБ.
- Возможность проверки на соответствие различных национальных стандартов ИБ или стандартов ИБ производителя.
- Возможность анализа процессов обновления и резервного восстановления.
- Оценка рисков кибербезопасности АСУ ТП и др.3
Рис. 2. Кибербезопасность и функциональная безопасность
Причем здесь функциональная безопасность?
При рассмотрении автоматизированных систем управления зданиями (АСУЗ) представляет интерес понятие функциональной безопасности – части системы безопасности или оборудования, обычно сфокусированной на отказоустойчивой работе электроники и ПО4. Функциональная безопасность направлена на снижение риска и уменьшение негативного влияния за счет электронных устройств безопасности и является неотъемлемой частью единой системы наряду с кибербезопасностью.
Основное различие кибербезопасности и функциональной безопасности состоит в том, что кибербезопасность направлена на защиту от атак и внешних факторов в условиях постоянно меняющихся угроз, а функциональная безопасность – на защиту от опасностей системы в условиях известных и предсказуемых угроз5.
Рис. 3. Различия кибербезопасности и функциональной безопасности
Типы киберрисков
Международная практика риск-ориентированного подхода может быть разбита на киберриски системы безопасности (NAMUR) и киберриски технологии и процесса (KENEXIS).
Оценка киберрисков системы безопасности при этом производится в соответствии с последовательностью, представленной на рис. 4.
Рис. 4. Оценка киберрисков системы безопасности (NAMUR)
Оценка киберрисков процесса (KENEXIS) должна быть сфокусирована на рисках технологического процесса. Методика позволяет оценить сценарии процесса в условиях киберугроз и принять меры по снижению рисков. При этом правильно спроектированные процессы не нуждаются в кибербезопасности.
Перечисленные решения не исчерпывают арсенал средств обеспечения безопасности систем и решений. Помимо рассматриваемых в данной статье киберрисков, существуют неуязвимые для киберрисков решения. К ним относятся средства механической защиты (клапаны и мембраны), релейная защита двигателей/насосов и т.д.
4 требования к информационной безопасности в IoT
Что касается обеспечения информационной безопасности в IoT, то здесь устройства собирают информацию в том числе о локации, состоянии здоровья владельца, его благосостоянии, личных предпочтениях и т.д. Таким образом, IoT может нарушать приватность. Соответственно, к минимальным требованиям к информационной безопасности в IoT относятся следующие:
- защита от атак, выводящих устройство из строя;
- защита от несанкционированного доступа;
- устройство не должно быть вектором атаки;
- использование лучших современных методов обеспечения безопасности устройств Интернета вещей (аутентификация и шифрование, которые должны поддерживаться в рабочем состоянии)6.
Защита информации – непрерывный процесс
Таким образом, применение современных технологий, таких как IP, IoT, Big Data и облака, существенно повышает качество и расширяет спектр решаемых задач АСУЗ, однако вызывает необходимость защиты от возникающих при этом киберрисков. Эта непростая задача может быть успешно решена благодаря имеющимся в распоряжении специалистов современным средствам защиты. При этом защита информации и технологических процессов представляет собой непрерывный процесс и требует постоянной поддержки.