Киберриски как неотъемлемая часть цифровизации

Основа цифровизации – это переход к широкому использованию таких технологий, как Интернет вещей, облака и Big Data. Все они опираются на применение IP-протокола для обмена данными. С точки зрения систем автоматизации зданий это означает переход от использования открытых технологий, таких как KNX, LonWorks и BACnet, требующих определенного профессионального уровня для работы с ними, к массовому использованию IP. Так проблемы использования IP-протокола, прежде всего связанные с кибербезопасностью и киберрисками, становятся проблемами систем автоматизации зданий. Данная тема уже рассматривалась ранее¹, однако за последнее время в этой области появились новые разработки.

По данным компании SIEMENS, более 50% мировых данных были сгенерированы за 2020 г., но проанализировано или использовано было менее чем 0,5% этого объема.

Более 700 уязвимостей были выявлены в компонентах АСУ ТП и IIoT за 2017–2018 гг., 56% промышленных предприятий, использующих SCADA/ICS, сообщили о кибератаках в 2018 г.²

Основные причины такого положения:

• устаревшие технологии (средний срок службы АСУ ТП – 15–25 лет);
• децентрализованность;
• фрагментарные решения на местах;
• недостаточность имеющихся средств защиты;
• различные технологические подходы к обеспечению информационной безопасности в разных системах, средах, регионах;
• зависимость от вендора;
• отсутствие ясных методических рекомендаций;
• высокие риски.

Основной вывод в обеспечении кибербезопасности можно сделать такой: кибербезопасность – это не продукт, а процесс. И этот процесс состоит из набора этапов (рис. 1).

Рис. 1. Этапы обеспечения кибербезопасности

Из чего состоит комплексный анализ защищенности

Эффективным инструментом обеспечения кибербезопасности является комплексный анализ защищенности, который может включать в себя следующие компоненты:

1. Поиск информации об объекте в открытых источниках.
2. Сбор информации обо всех системах АСУ ТП и смежных системах.
3. Инструментальный и ручной анализ защищенности различных компонентов.
4. Выявление недостатков ИБ и анализ конфигураций безопасности различных систем.
5. Детальная проработка как можно большего количества векторов атак.
6. Рекомендации по исправлению недостатков, внедрению компенсационных мер или средств ИБ.
7. Возможность проверки на соответствие различных национальных стандартов ИБ или стандартов ИБ производителя.
8. Возможность анализа процессов обновления и резервного восстановления.
9. Оценка рисков кибербезопасности АСУ ТП и др.³

Рис. 2. Кибербезопасность и функциональная безопасность

Причем здесь функциональная безопасность?

При рассмотрении автоматизированных систем управления зданиями (АСУЗ) представляет интерес понятие функциональной безопасности – части системы безопасности или оборудования, обычно сфокусированной на отказоустойчивой работе электроники и ПО⁴. Функциональная безопасность направлена на снижение риска и уменьшение негативного влияния за счет электронных устройств безопасности и является неотъемлемой частью единой системы наряду с кибербезопасностью.

Основное различие кибербезопасности и функциональной безопасности состоит в том, что кибербезопасность направлена на защиту от атак и внешних факторов в условиях постоянно меняющихся угроз, а функциональная безопасность – на защиту от опасностей системы в условиях известных и предсказуемых угроз⁵.

Рис. 3. Различия кибербезопасности и функциональной безопасности

Типы киберрисков

Международная практика риск-ориентированного подхода может быть разбита на киберриски системы безопасности (NAMUR) и киберриски технологии и процесса (KENEXIS).

Оценка киберрисков системы безопасности при этом производится в соответствии с последовательностью, представленной на рис. 4.

Рис. 4. Оценка киберрисков системы безопасности (NAMUR)

Оценка киберрисков процесса (KENEXIS) должна быть сфокусирована на рисках технологического процесса. Методика позволяет оценить сценарии процесса в условиях киберугроз и принять меры по снижению рисков. При этом правильно спроектированные процессы не нуждаются в кибербезопасности.

Перечисленные решения не исчерпывают арсенал средств обеспечения безопасности систем и решений. Помимо рассматриваемых в данной статье киберрисков, существуют неуязвимые для киберрисков решения. К ним относятся средства механической защиты (клапаны и мембраны), релейная защита двигателей/насосов и т.д.

4 требования к информационной безопасности в IoT

Что касается обеспечения информационной безопасности в IoT, то здесь устройства собирают информацию в том числе о локации, состоянии здоровья владельца, его благосостоянии, личных предпочтениях и т.д. Таким образом, IoT может нарушать приватность. Соответственно, к минимальным требованиям к информационной безопасности в IoT относятся следующие:

1. защита от атак, выводящих устройство из строя;
2. защита от несанкционированного доступа;
3. устройство не должно быть вектором атаки;
4. использование лучших современных методов обеспечения безопасности устройств Интернета вещей (аутентификация и шифрование, которые должны поддерживаться в рабочем состоянии)⁶.

Защита информации – непрерывный процесс

Таким образом, применение современных технологий, таких как IP, IoT, Big Data и облака, существенно повышает качество и расширяет спектр решаемых задач АСУЗ, однако вызывает необходимость защиты от возникающих при этом киберрисков. Эта непростая задача может быть успешно решена благодаря имеющимся в распоряжении специалистов современным средствам защиты. При этом защита информации и технологических процессов представляет собой непрерывный процесс и требует постоянной поддержки.

Опубликовано в журнале "Системы безопасности" №6/2021

Все статьи журнала "Системы безопасности"

доступны для скачивания в iMag >>