Основа цифровизации – это переход к широкому использованию таких технологий, как Интернет вещей, облака и Big Data. Все они опираются на применение IP-протокола для обмена данными. С точки зрения систем автоматизации зданий это означает переход от использования открытых технологий, таких как KNX, LonWorks и BACnet, требующих определенного профессионального уровня для работы с ними, к массовому использованию IP. Так проблемы использования IP-протокола, прежде всего связанные с кибербезопасностью и киберрисками, становятся проблемами систем автоматизации зданий. Данная тема уже рассматривалась ранее1, однако за последнее время в этой области появились новые разработки.
По данным компании SIEMENS, более 50% мировых данных были сгенерированы за 2020 г., но проанализировано или использовано было менее чем 0,5% этого объема.
Более 700 уязвимостей были выявлены в компонентах АСУ ТП и IIoT за 2017–2018 гг., 56% промышленных предприятий, использующих SCADA/ICS, сообщили о кибератаках в 2018 г.2
Основные причины такого положения:
Основной вывод в обеспечении кибербезопасности можно сделать такой: кибербезопасность – это не продукт, а процесс. И этот процесс состоит из набора этапов (рис. 1).
Эффективным инструментом обеспечения кибербезопасности является комплексный анализ защищенности, который может включать в себя следующие компоненты:
При рассмотрении автоматизированных систем управления зданиями (АСУЗ) представляет интерес понятие функциональной безопасности – части системы безопасности или оборудования, обычно сфокусированной на отказоустойчивой работе электроники и ПО4. Функциональная безопасность направлена на снижение риска и уменьшение негативного влияния за счет электронных устройств безопасности и является неотъемлемой частью единой системы наряду с кибербезопасностью.
Основное различие кибербезопасности и функциональной безопасности состоит в том, что кибербезопасность направлена на защиту от атак и внешних факторов в условиях постоянно меняющихся угроз, а функциональная безопасность – на защиту от опасностей системы в условиях известных и предсказуемых угроз5.
Международная практика риск-ориентированного подхода может быть разбита на киберриски системы безопасности (NAMUR) и киберриски технологии и процесса (KENEXIS).
Оценка киберрисков системы безопасности при этом производится в соответствии с последовательностью, представленной на рис. 4.
Оценка киберрисков процесса (KENEXIS) должна быть сфокусирована на рисках технологического процесса. Методика позволяет оценить сценарии процесса в условиях киберугроз и принять меры по снижению рисков. При этом правильно спроектированные процессы не нуждаются в кибербезопасности.
Перечисленные решения не исчерпывают арсенал средств обеспечения безопасности систем и решений. Помимо рассматриваемых в данной статье киберрисков, существуют неуязвимые для киберрисков решения. К ним относятся средства механической защиты (клапаны и мембраны), релейная защита двигателей/насосов и т.д.
Что касается обеспечения информационной безопасности в IoT, то здесь устройства собирают информацию в том числе о локации, состоянии здоровья владельца, его благосостоянии, личных предпочтениях и т.д. Таким образом, IoT может нарушать приватность. Соответственно, к минимальным требованиям к информационной безопасности в IoT относятся следующие:
Таким образом, применение современных технологий, таких как IP, IoT, Big Data и облака, существенно повышает качество и расширяет спектр решаемых задач АСУЗ, однако вызывает необходимость защиты от возникающих при этом киберрисков. Эта непростая задача может быть успешно решена благодаря имеющимся в распоряжении специалистов современным средствам защиты. При этом защита информации и технологических процессов представляет собой непрерывный процесс и требует постоянной поддержки.